Les arguments de ces treize requérants n’ont pas suffi à convaincre. Ce 12 mars, le Conseil d’État a refusé de suspendre le partenariat passé entre l’État et Doctolib pour la prise des rendez-vous de la campagne de vaccination anti-covid. Un partenariat qui s’appuie sur les services d’Amazon Web Services.
« Après une audience de plus de deux heures et une instruction de cinq jours, les parties entendent faire valoir leur indignation suite à la décision intervenue ce jour et limitée à un unique paragraphe en ce qui concerne l’instruction ». D’où vient la colère de ces 13 requérants ?
L’association InterHop, le Syndicat National Jeunes Médecins Généralistes (SNJMG), le Syndicat de la Médecine Générale (SMG) Act-Up Sud Ouest ou encore Fédération SUD Santé Sociaux et la Ligue des Droits de l’Homme avaient saisi le Conseil d’État pour réclamer la suspension du partenariat litigieux.
Ils épinglaient en particulier le choix fait par Doctolib d’héberger des données dans les infrastructures d’Amazon Web Services, choix incompatible selon eux avec le règlement général sur la protection des données. Ils réclamaient de la haute juridiction, une saisine pour avis de la CNIL et du ministre de la Santé pour un basculement vers une autre solution plus respectueuse du texte entrée en application le 25 mai 2018.
Certes, AWS est certifié hébergeur de données de santé. Certes encore les données sont hébergées en France et en Allemagne. Mais les requérants opposent à ces boucliers de papier les effets extraterritoriaux des textes de surveillance américains.
Or, « les données traitées par la plateforme Doctolib dans le cadre de la gestion de la politique de vaccination contre la Covid-19 sont susceptibles de donner une indication précise sur l’état de santé de la personne », outre que le droit d’opposition est bien faible face aux pouvoirs tentaculaires des autorités américaines.
L'invalidation du Privacy Shield
Dans le barillet de leur requête, les enseignements tirés de l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne. Le 20 juillet 2020, elle a justement fait tomber cette décision d’adéquation au regard des pouvoirs conférés par les textes de surveillance américains, en particulier l’article 702 du Foreign Intelligence Surveillance Act (FISA) et l’executive ordrer 12333.
La CJUE a jugé dans le même temps qu’en l’absence d’une décision d’adéquation, un responsable de traitement se devait de « compenser l’insuffisance de la protection des données dans le pays tiers » afin d’« assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union », au besoin en ajoutant des dispositions solides dans ses conditions générales.
Et la justice européenne de réclamer de cet acteur la vérification de l’« éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel transférées » outre « les éléments pertinents du système juridique de celui-ci ».
Elle a au surplus estimé nécessaire de disposer de « mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté ».
En face, le ministre de la Santé a en substance contesté, comme Doctolib d’ailleurs, l’existence d’une atteinte grave et manifestement illégale aux libertés fondamentales invoquées, condition inévitable pour espérer voir le juge ordonner des mesures nécessaires à la sauvegarde d’une liberté fondamentale.
Le ministère a de plus considéré qu’il existait « un intérêt public visant à permettre la poursuite de l’utilisation des services de gestion des rendez-vous de vaccination de Doctolib pour les besoins de la gestion de l’urgence sanitaire et de la lutte contre la pandémie de SARS-CoV-2 ».
Un argumentaire qui ne convient pas
Si les requérants se sont indignés de cette ordonnance, c’est en raison de l’argumentaire choisi par le Conseil d’État pour rejeter leur procédure, qui a quelque peu négligé leurs derniers développements.
Selon son instruction, « les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous, mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination ».
Il y a donc des données à caractère personnel, mais non des données sensibles, puisque les personnes prenant un rendez-vous se limitent « à certifier sur l’honneur qu’elles entrent dans la priorité vaccinale ».
Autre poids, dans la balance, « ces données sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne ».
Enfin, Doctolib et AWS ont enrichi leur contrat d’un addendum pour instaurer « une procédure précise en cas de demandes d’accès par une autorité publique aux données traitées pour le compte de Doctolib ».
Cette rustine prévoit notamment « la contestation de toute demande générale ou ne respectant pas la règlementation européenne ». De plus, Doctolib a sécurisé les données hébergées par AWS « par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers » (Atos). La plateforme, accusée d'être trop bavarde sur les données de santé, s'en est défendue d'ailleurs dans un post sur Medium.
Pour le Conseil d’État, au final, il n’y a pas d’« atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles ». Et celui-ci n’a pas jugé utile de saisir cette fois la Commission nationale de l’informatique et des libertés d’une demande d’avis, contrairement au précédent du Health Data Hub révélé dans nos colonnes.
Les dernières publications d’Interhop ont visiblement laissé ainsi la juridiction de marbre. Le 10 mars, soit deux jours avant sa décision de rejet, l’association contestait déjà l’existence d’un chiffrement de bout en bout sur Doctolib.
Elle critique depuis l’analyse du Conseil d’État selon laquelle les données litigieuses ne comprennent pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination. Elle s’arme pour se faire de la doctrine de la CNIL selon qui « la simple connaissance d’une consultation d’un spécialiste peut donner une indication sur l’état de santé (ex. consulter un cardiologue régulièrement) ».
Elle cite également un document de septembre 2019 mis en ligne par Olivier Tesquet, montrant visiblement des fragilités chez Doctolib, mises en lumière dans le cadre d’un programme de bug bounty. Selon notre confrère, « jusqu'à l'année dernière, les données n'étaient chiffrées que côté serveur » et ce bug bounty « avait mis en lumière "des vulnérabilités critiques menaçant la vie privée" ».
La satisfaction de Doctolib
Pour Doctolib, le Conseil d’État a malgré tout confirmé que la plateforme « a mis en place les mesures adéquates pour protéger les données personnelles de ses utilisateurs ».
Le service en ligne assure respecter la réglementation française et européenne sur la protection des données personnelles de santé, que ce soit le RGPD ou la loi Informatique et Libertés. « Doctolib met tout en œuvre pour protéger les données de ses utilisateurs de Doctolib : sécurité des comptes, sécurité de la plateforme, sécurité des applications et chiffrement à plusieurs niveaux ».
Stanislas Niox-Chateau, cofondateur de la plateforme l'assure : « nous avons reçu très positivement la décision du Conseil d’État. Chez Doctolib, nous sommes convaincus que le respect de la vie privée est un droit fondamental. Nous mettons tout en œuvre pour protéger la confidentialité des données de nos utilisateurs et le parfait respect des réglementations françaises et européennes. Concernant la campagne de vaccination, nos équipes vont poursuivre leur mobilisation jour et nuit pour épauler les centres de vaccination et les soignants et permettre aux Français d’accéder facilement à la vaccination ». Et le site de rappeler sa page sur la protection des données.
« Une brèche très inquiétante », selon Me Alibert
Pour Me Juliette Alibert, avocate des requérants, cependant, « cette ordonnance ouvre une brèche très inquiétante sur le déclassement de certaines données de santé comme les rendez-vous médicaux ».
Selon la juriste, jointe par Next INpact, « cette décision dévoile une absence de considération pour les débats techniques. Les 45 minutes de débats sur les enjeux de chiffrement sont passées sous silence pour citer de façon laconique les garanties techniques de Doctolib. C’est pourtant d’un enjeu majeur puisqu’il s’agit du dernier rempart quand les garanties contractuelles sont inefficaces. Un addendum pour garantir qu’AWS puisse s’opposer aux demandes d’accès par les autorités américaines fait sourire quand la loi américaine lui impose de conserver la confidentialité des demandes (FISA) ou permet de se servir directement (EO 12333) ».
L’avocat regrette que, lors de l’audience, le ministère ait « introduit un débat dangereux sur le degré de sensibilité des données liées à la prise de rendez-vous vaccinale. Nous avons fermement contesté ces allégations, infondées juridiquement au regard du RGPD. Considérer que ces données, qui renseignent directement sur l’état vaccinal des individus ou indirectement sur des pathologies associées en raison du moment de prise de rendez-vous (public prioritaire), ne sont pas des données de santé est un non-sens juridique ! Il s’agit par ailleurs d’une atteinte au secret médical ».
Et celle-ci d’espérer que l’interprétation restera « une parenthèse juridictionnelle, vite oubliée pour revenir aux fondamentaux, qui sont le socle du cadre de confiance indispensable à toute relation de soin. En cas contraire, une telle dérive pourrait conduire à ce que des critères arbitraires soient progressivement retenus pour les données de santé. Rendez-vous chez le gynécologue ? Non ? Chez le cardiologue ? Oui ?... ou en fonction des maladies. Cancer oui ? Dépression non ? »
Quid maintenant ? « Plusieurs pistes sont à l’étude. Les parties sont loin d’accepter d’en rester là, les enjeux sont trop importants. Je rappelle que le rôle des CNIL doit être renforcé comme le martèle le juge de l’Union. Sur cette affaire, la CNIL n’a pas été saisie malgré nos maintes demandes ! Il faudra alors envisager de le faire soi-même. La crise liée au Covid-19 ne peut servir de prétexte à l’empiètement sur les droits et sur le secret médical. »
Commentaires (19)
#1
le choix fait par ‘Doctolib’ d’héberger des données dans les infrastructures
‘d’Amazon Web Services’, choix ncompatible selon eux avec le ‘règlement général
sur la protection des données’…..
ah maintenant, je ‘comprends mieux : “pourquoi la vaccination N’AVANCE PAS” !
#2
Ils auraient du choisir OVH, on aurait été obligé de recommencer à zéro.
#2.1
toi ta du rater les commentaires des précédentes dépêche sur le sujet
#2.2
Excellent
#3
Bonjour,
Cela fait un moment que le conseil d’état ne joue plus son rôle…dérive dérive..
#4
On le savait que ça allait tourner vinaigre.
Voilà. Ça commence !
D’abord, pas de souci sur le choix d’hébergement pour des données de santé particulières que sont les rendez-vous de vaccination, puis, pas de souci pour d’autres données, puis, pas de souci à partager toutes les métadonnées, puis partager des données avec des partenaires de confiance…
#5
En même temps doctolib ça marche… Quand je vois le temps qu’à mis le logiciel développer par l’ars de ma région pour les téléconsultations lors du premier confinement. C’est bien simple il a fonctionne au moment du deconfinement quand en libérale ils utilisaient tous doctolib qui fonctionnait direct.
Je trouve ça bien qu’on contrôle et surveille de tels entreprises. Mais pour exiger que l’on fasse autrement, encore faudrait il qu’une alternative de qualité équivalente existe.
#5.1
Mais, AV. d’exiger que l’on fasse autrement, faudrait qu’il y ait une autre alternative….
mais ça, on a du mal-à-le-comprendre en ‘haut-lieu’ !!!
#5.2
Les requérants n’exigent pas de passer par une autre plate-forme pour ce partenariat, ils demandent la suspension du partenariat avec Doctolib parce que, selon eux, le niveau de sécurisation requis pour les données (personnelles et sensibles) de ce traitement n’est actuellement pas suffisant.
Ils veulent donc que le niveau de sécurisation soit amélioré, pas nécessairement que l’Etat annule son partenariat définitivement.
D’aileurs, le partenariat pour la prise de rendez-vous des vaccinations concerne aussi 2 autres plates-formes : Maiia et Keldoc …
#5.3
ok !
(j’me-disais-aussi)
#5.4
C’est bien le soucis on suspend sans alternative actuellement. Les données sensibles dun rendez vous? Nom Numero Telephione? ce n’ets pas un dossier médicale…
#5.5
Mais si, mais si, il y a des alternatives (voir les 2 autres plates-formes citées).
Sinon tu devrais lire l’article, le problème pointé par les requérants est le fait de ne pas considérer comme sensible (iso-donnée médicale) l’info comme quoi un patient se déclare prioritaire à la vaccination … Alors que cette info en dit long en soi sur le patient.
#6
Et elle en dit long en quoi ?
Diabète, age, cancer, obésité, insuffisance rénale ou cardiaque ?
C’est comme le fait de prendre RdV chez un médecin généraliste régulièrement ou pas: cela donne quelle information ?
#6.1
Que tu as certainement des problèmes de santé.
C’est déjà en soit une information très personnelle importante…
#7
On peut prendre RdV chez un généraliste pour un certificat d’aptitude, un rhume, une tendinite, etc.
Cela n’est pas ce que j’appelle des problèmes de santé.
Ensuite plus l’age avance plus les problèmes de santé apparaissent, ce n’est pas un scoop.
#7.1
La fréquence/récurrence des prises de RDV donne des indications. Quoiqu’il en soit, c’est une donnée de santé personnelle, confidentielle, il ne faut pas transiger là dessus.
Si tu es d’accord pour que tes propres infos de prises de RDV soient librement connues de tous, libre à toi de publier ces RDV sur Facebook (ou autre bien sur). Mais ce n’est pas le choix de tout le monde.
Quant aux “un rhume, une tendinite, etc. Cela n’est pas ce que j’appelle des problèmes de santé.”. Bin si, ce sont des pbs de santé. La tendinite par ex, ca peut etre une maladie professionelle chez les gens qui font de la manutention. C’est extrêmement confidentiel comme information.
On parle souvent des assureurs, qui seraient ravis de connaitre ce genre d’information. Je pense que ce n’est pas caricatural (à voir les questionnaires de santé à remplir pour obtenir un crédit immo).
#7.2
Si tu as des rendez-vous réguliers, tu as certainement des problèmes de santés.
Mais ça peut être utilisé par un potentiel employeur (certains utilisent déjà ce qui est publié sur les réseaux sociaux, de manière publique ou même privées !, ils ne sont plus à ça prêt…).
#8
Les assureurs se fichent de connaitre ce genre d’informations. Quand tu assures un crédit, tu dois remplir un formulaire de santé. Si tu mens dessus, tu paies l’assurance mais tu ne seras jamais remboursé en cas de problème.
Quant aux données confidentielles, tu n’as pas compris mon point de vue. Allez chez un médecin généraliste n’a rien d’extraordinaire et n’est en rien un gage de mauvaise santé.
Or vu que la raison de ton rdv n’est indiquée nulle part, je ne vois toujours pas ce que tu peux en déduire.
#9
C’est sûr qu’en parlant de généraliste, ça ne dit pas grand chose du contenu de la visite.
Mais est-ce pareil si on va voir un cardiologue ? Un cancérologue ? On peut aussi recouper les rendez-vous entre eux, par exemple en ayant un rdv pour un scanner et 2j avec un pneumologue, rdv qui se répète tous les 6 mois.
Évidemment ce ne sont que des recoupements, cela ne permet pas de donner de certitude, mais cela suffit à constituer un profil. Tout comme si je visite le site de Renault, cela ne veut pas dire que je suis un futur acheteur, mais ça permet quand même de m’afficher des pubs de Renault.