Les arguments de ces treize requérants n’ont pas suffi à convaincre. Ce 12 mars, le Conseil d’État a refusé de suspendre le partenariat passé entre l’État et Doctolib pour la prise des rendez-vous de la campagne de vaccination anti-covid. Un partenariat qui s’appuie sur les services d’Amazon Web Services.
« Après une audience de plus de deux heures et une instruction de cinq jours, les parties entendent faire valoir leur indignation suite à la décision intervenue ce jour et limitée à un unique paragraphe en ce qui concerne l’instruction ». D’où vient la colère de ces 13 requérants ?
L’association InterHop, le Syndicat National Jeunes Médecins Généralistes (SNJMG), le Syndicat de la Médecine Générale (SMG) Act-Up Sud Ouest ou encore Fédération SUD Santé Sociaux et la Ligue des Droits de l’Homme avaient saisi le Conseil d’État pour réclamer la suspension du partenariat litigieux.
Ils épinglaient en particulier le choix fait par Doctolib d’héberger des données dans les infrastructures d’Amazon Web Services, choix incompatible selon eux avec le règlement général sur la protection des données. Ils réclamaient de la haute juridiction, une saisine pour avis de la CNIL et du ministre de la Santé pour un basculement vers une autre solution plus respectueuse du texte entrée en application le 25 mai 2018.
Certes, AWS est certifié hébergeur de données de santé. Certes encore les données sont hébergées en France et en Allemagne. Mais les requérants opposent à ces boucliers de papier les effets extraterritoriaux des textes de surveillance américains.
Or, « les données traitées par la plateforme Doctolib dans le cadre de la gestion de la politique de vaccination contre la Covid-19 sont susceptibles de donner une indication précise sur l’état de santé de la personne », outre que le droit d’opposition est bien faible face aux pouvoirs tentaculaires des autorités américaines.
L'invalidation du Privacy Shield
Dans le barillet de leur requête, les enseignements tirés de l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne. Le 20 juillet 2020, elle a justement fait tomber cette décision d’adéquation au regard des pouvoirs conférés par les textes de surveillance américains, en particulier l’article 702 du Foreign Intelligence Surveillance Act (FISA) et l’executive ordrer 12333.
La CJUE a jugé dans le même temps qu’en l’absence d’une décision d’adéquation, un responsable de traitement se devait de « compenser l’insuffisance de la protection des données dans le pays tiers » afin d’« assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union », au besoin en ajoutant des dispositions solides dans ses conditions générales.
Et la justice européenne de réclamer de cet acteur la vérification de l’« éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel transférées » outre « les éléments pertinents du système juridique de celui-ci ».
Elle a au surplus estimé nécessaire de disposer de « mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté ».
En face, le ministre de la Santé a en substance contesté, comme Doctolib d’ailleurs, l’existence d’une atteinte grave et manifestement illégale aux libertés fondamentales invoquées, condition inévitable pour espérer voir le juge ordonner des mesures nécessaires à la sauvegarde d’une liberté fondamentale.
Le ministère a de plus considéré qu’il existait « un intérêt public visant à permettre la poursuite de l’utilisation des services de gestion des rendez-vous de vaccination de Doctolib pour les besoins de la gestion de l’urgence sanitaire et de la lutte contre la pandémie de SARS-CoV-2 ».
Un argumentaire qui ne convient pas
Si les requérants se sont indignés de cette ordonnance, c’est en raison de l’argumentaire choisi par le Conseil d’État pour rejeter leur procédure, qui a quelque peu négligé leurs derniers développements.
Selon son instruction, « les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous, mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination ».
Il y a donc des données à caractère personnel, mais non des données sensibles, puisque les personnes prenant un rendez-vous se limitent « à certifier sur l’honneur qu’elles entrent dans la priorité vaccinale ».
Autre poids, dans la balance, « ces données sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne ».
Enfin, Doctolib et AWS ont enrichi leur contrat d’un addendum pour instaurer « une procédure précise en cas de demandes d’accès par une autorité publique aux données traitées pour le compte de Doctolib ».
Cette rustine prévoit notamment « la contestation de toute demande générale ou ne respectant pas la règlementation européenne ». De plus, Doctolib a sécurisé les données hébergées par AWS « par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers » (Atos). La plateforme, accusée d'être trop bavarde sur les données de santé, s'en est défendue d'ailleurs dans un post sur Medium.
Pour le Conseil d’État, au final, il n’y a pas d’« atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles ». Et celui-ci n’a pas jugé utile de saisir cette fois la Commission nationale de l’informatique et des libertés d’une demande d’avis, contrairement au précédent du Health Data Hub révélé dans nos colonnes.
Les dernières publications d’Interhop ont visiblement laissé ainsi la juridiction de marbre. Le 10 mars, soit deux jours avant sa décision de rejet, l’association contestait déjà l’existence d’un chiffrement de bout en bout sur Doctolib.
Elle critique depuis l’analyse du Conseil d’État selon laquelle les données litigieuses ne comprennent pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination. Elle s’arme pour se faire de la doctrine de la CNIL selon qui « la simple connaissance d’une consultation d’un spécialiste peut donner une indication sur l’état de santé (ex. consulter un cardiologue régulièrement) ».
Elle cite également un document de septembre 2019 mis en ligne par Olivier Tesquet, montrant visiblement des fragilités chez Doctolib, mises en lumière dans le cadre d’un programme de bug bounty. Selon notre confrère, « jusqu'à l'année dernière, les données n'étaient chiffrées que côté serveur » et ce bug bounty « avait mis en lumière "des vulnérabilités critiques menaçant la vie privée" ».
La satisfaction de Doctolib
Pour Doctolib, le Conseil d’État a malgré tout confirmé que la plateforme « a mis en place les mesures adéquates pour protéger les données personnelles de ses utilisateurs ».
Le service en ligne assure respecter la réglementation française et européenne sur la protection des données personnelles de santé, que ce soit le RGPD ou la loi Informatique et Libertés. « Doctolib met tout en œuvre pour protéger les données de ses utilisateurs de Doctolib : sécurité des comptes, sécurité de la plateforme, sécurité des applications et chiffrement à plusieurs niveaux ».
Stanislas Niox-Chateau, cofondateur de la plateforme l'assure : « nous avons reçu très positivement la décision du Conseil d’État. Chez Doctolib, nous sommes convaincus que le respect de la vie privée est un droit fondamental. Nous mettons tout en œuvre pour protéger la confidentialité des données de nos utilisateurs et le parfait respect des réglementations françaises et européennes. Concernant la campagne de vaccination, nos équipes vont poursuivre leur mobilisation jour et nuit pour épauler les centres de vaccination et les soignants et permettre aux Français d’accéder facilement à la vaccination ». Et le site de rappeler sa page sur la protection des données.
« Une brèche très inquiétante », selon Me Alibert
Pour Me Juliette Alibert, avocate des requérants, cependant, « cette ordonnance ouvre une brèche très inquiétante sur le déclassement de certaines données de santé comme les rendez-vous médicaux ».
Selon la juriste, jointe par Next INpact, « cette décision dévoile une absence de considération pour les débats techniques. Les 45 minutes de débats sur les enjeux de chiffrement sont passées sous silence pour citer de façon laconique les garanties techniques de Doctolib. C’est pourtant d’un enjeu majeur puisqu’il s’agit du dernier rempart quand les garanties contractuelles sont inefficaces. Un addendum pour garantir qu’AWS puisse s’opposer aux demandes d’accès par les autorités américaines fait sourire quand la loi américaine lui impose de conserver la confidentialité des demandes (FISA) ou permet de se servir directement (EO 12333) ».
L’avocat regrette que, lors de l’audience, le ministère ait « introduit un débat dangereux sur le degré de sensibilité des données liées à la prise de rendez-vous vaccinale. Nous avons fermement contesté ces allégations, infondées juridiquement au regard du RGPD. Considérer que ces données, qui renseignent directement sur l’état vaccinal des individus ou indirectement sur des pathologies associées en raison du moment de prise de rendez-vous (public prioritaire), ne sont pas des données de santé est un non-sens juridique ! Il s’agit par ailleurs d’une atteinte au secret médical ».
Et celle-ci d’espérer que l’interprétation restera « une parenthèse juridictionnelle, vite oubliée pour revenir aux fondamentaux, qui sont le socle du cadre de confiance indispensable à toute relation de soin. En cas contraire, une telle dérive pourrait conduire à ce que des critères arbitraires soient progressivement retenus pour les données de santé. Rendez-vous chez le gynécologue ? Non ? Chez le cardiologue ? Oui ?... ou en fonction des maladies. Cancer oui ? Dépression non ? »
Quid maintenant ? « Plusieurs pistes sont à l’étude. Les parties sont loin d’accepter d’en rester là, les enjeux sont trop importants. Je rappelle que le rôle des CNIL doit être renforcé comme le martèle le juge de l’Union. Sur cette affaire, la CNIL n’a pas été saisie malgré nos maintes demandes ! Il faudra alors envisager de le faire soi-même. La crise liée au Covid-19 ne peut servir de prétexte à l’empiètement sur les droits et sur le secret médical. »
