Conseil d’Etat Ord. Référé 12 mars 2021, Association Interhop & Autres, n°450163

Dans le cadre de la campagne de vaccination contre le covid-19, le Ministère de la Santé et de la Solidarité a conclu un contrat de partenariat le 11 janvier 2021 avec la plateforme Doctolib chargée de la gestion de prise de rendez-vous en ligne pour faciliter la gestion de cette campagne.

L’hébergement des données personnelles lié à ces prises de rendez-vous est assuré par un prestataire, filiale luxembourgeoise d’une société de droit américain. Le recours à ce prestataire d’hébergement pourrait comprendre un potentiel transfert des données personnelles en direction des Etats-Unis.

Les transferts de données personnelles à destination d’un pays non-membre de l’Espace Economique Européen sont strictement encadrés par le règlement européen général sur la protection des données (RGPD). D’après les articles 44 et suivants du RGPD, le transfert de données personnelles en direction d’un pays tiers, doit (i) être dirigé vers un pays ayant fait l’objet d’une décision d’adéquation publiée par la Commission, ou (ii) être encadré par des garanties appropriées, ou enfin (iii) dans le cas de transferts de données au sein d’un même groupe, des règles d’entreprises contraignantes doivent avoir été conclues.

Depuis le 16 juillet 2020, la décision d’adéquation UE-Etats-Unis dite « Privacy Shield », a été invalidée par la CJUE en raison des possibilités d’accès, estimées trop larges et indifférenciées, aux données par les autorités américaines par application de l’article 702 du Foreign Intelligence Surveillance Act (FISA) et de l’Executive Order 12333 (EO 12333). Pour la CJUE les Etats-Unis n’offraient pas un niveau de protection substantiellement équivalent à celui de l’Union Européenne (CJUE, 16 juillet 2020, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems,C-311/18).

La CJUE rappelle dans cet arrêt que l’appréciation du niveau d’adéquation d’un pays tiers au RGPD requiert une évaluation des stipulations contractuelles conclues entre le responsable du traitement ou le sous-traitant établi sur le territoire de l’Union et le destinataire des données ainsi que la prise en compte des spécificités juridiques concernant l’éventuel accès aux données par les autorités publiques du pays tiers.

C’est dans ce contexte que plusieurs associations et syndicats représentants la profession médicale ont saisi le juge des référés du Conseil d’Etat sur le fondement de l’article L. 521-2 du Code de la justice administrative. Les requérants entendaient obtenir la suspension immédiate du partenariat, d’ordonner au Ministère de la Santé d’opter pour une autre solution pour la gestion de la campagne de vaccination.

Plus précisément les requérants invoquent l’incompatibilité de ce partenariat avec le RGPD:

  • Les données collectées dans le cadre de la prise de rendez-vous en ligne pour la vaccination feraient l’objet d’un transfert aux Etats-Unis qui ne serait assorti d’aucune garantie effective, la société sous-traitante chargée de l’hébergement des données étant une filiale d’une société de droit américain ;

 

  • Dans l’hypothèse où aucun transfert de données en direction des Etats Unis ne serait réalisé, il existerait néanmoins un risque d’accès aux données par les autorités américaines par application des lois américaines de surveillance.

Il était donc demandé au juge des référés du Conseil d’Etat, d’apprécier au regard de l’arrêt « Schrems II », si le recours à ce prestataire pour la prise de rendez-vous de vaccination portait une atteinte grave et manifestement illégale au droit au respect de la vie privée et à la protection des données des personnes concernées. Les requérants demandaient également au juge des référés de solliciter l’avis de la CNIL.

Le juge des référés du Conseil d’Etat conclut au rejet de toutes les branches de la requête:

Il constate que le prestataire d’hébergement est certifié « hébergeur de données de santé » par application de l’article L. 1111-8 du code de la santé publique et que les contrats conclus entre le prestataire d’hébergement et la plateforme de prise de rendez-vous ne prévoient pas de transferts des données pour des raisons techniques en direction des Etats-Unis.

Concernant les catégories de données collectées lors de la prise de rendez-vous via la plateforme, le juge des référés considère qu’il ne s’agit pas de données de santé puisque « les personnes intéressées se bornant, au moment de la prise de rendez-vous, à certifier sur l’honneur qu’elles entrent dans la priorité vaccinale, qui est susceptible de concerner des adultes de tous âges sans motif médical particulier. ». Ces données sont supprimées à l’issue d’un délai de trois mois à compter de la date du rendez-vous ou directement par la personne concernée si celle-ci supprime son compte.

Concernant l’appréciation du risque d’accès aux données par les autorités américaines, le juge relève que la plateforme et son prestataire ont conclu un addendum complémentaire à leur contrat par lequel le prestataire s’engage à contester toute demande générale d’accès aux données formulée par les autorités américaines ou ne respectant pas le RGPD . Le juge des référés note également que Doctolib a mis en place un procédé de chiffrement des données reposant sur un tiers de confiance situé en France permettant d’empêcher l’accès à celles-ci par des tiers.

Le juge des référés estime dès lors que, eu égard à ces mesures additionnelles et à la nature des données concernées, le niveau de protection mis en place par la plateforme de prise de rendez-vous ne peut être considéré comme étant manifestement insuffisant, de sorte qu’aucune atteinte grave et manifestement illégale au droit au respect à la vie privée et à la protection des données n’est retenue dans le cadre de cette procédure de référé.