Le Conseil d’Etat décide que les données sur les prises de rendez-vous vaccins Covid-19 ne sont pas des données médicales
En cette période de pandémie, jamais le juge des référés du Conseil d’Etat n’a été autant sollicité dans toute son histoire. Il n’est pas un jour sans qu’une association, un syndicat ou une collectivité territoriale ne le saisisse pour contester tel ou tel aspect de la gestion de crise sanitaire. Dans l’affaire ici commentée, plusieurs associations, dont Interhop pour l’informatique médicale libre, les Actupiennes, c’est-à-dire les femmes militantes à Actup, et d’autres associations actives dans la santé, mais aussi le syndicat SUD et des syndicats catégoriels ainsi que la Ligue des droits de l’Homme, l’ont saisi pour mettre en cause le partenariat entre Doctolib, une entreprise franco-allemande assurant un service de prise de rendez-vous médicaux en ligne, et son hébergeur, la filiale française d’Amazon Web Services Inc. (« AWS »).
Au soutien des demandes de suspension de ce partenariat et d’injonction faite au ministre de la Santé d’imposer l’hébergement des données par une société française, les requérants faisaient valoir que ce partenariat portait une atteinte grave et manifestement illégale à la protection des données. En dépit de l’absence de transfert de données vers les Etats-Unis, le risque subsistait selon eux de voir les autorités américaines demander à AWS d’accéder aux données. Or Les Etats-Unis n’assurent pas un niveau de protection de la vie privée équivalent à celui garanti par le Règlement Général européen de Protection des Données (« RGPD »). De plus, l’annulation par la Cour de Justice de l’Union européenne (« CJUE ») du « Privacy Shield » par l’arrêt du 16 juillet 2020, prive les sociétés américaines, en se soumettant à cet accord entre l’Union européenne (« UE ») et le gouvernement américain, de la possibilité d’un transfert libre de données depuis l’Europe.
La décision de la CJUE vise deux textes jugés incompatibles avec les exigences du RGPD : le Foreign Intelligence Surveillance Act (« FISA ») sur le renseignement extérieur, et l’Executive Order (« EO ») 12333. La requête en référé mettait l’accent sur la possibilité pour les services de renseignements américains, sur la base de ces deux textes, de puiser chez les opérateurs de communications électroniques les données utiles à leur recherche par des « accès massifs, indiscriminés et non minimisés ». Le Conseil d’Etat n’a pas retenu cette argumentation, non seulement parce que les données de Doctolib resteront hébergées dans l’Union, mais pour la bonne raison qu’elles ne sont pas médicales et donc pas sensibles : elles ne portent « pas sur les éventuels motifs médicaux d’éligibilité à la vaccination ». Les intéressés doivent seulement déclarer sur l’honneur qu’ils sont éligibles au vaccin. Par ailleurs, les données sont supprimées au bout de trois mois. Les autorités publiques n’ont pas un accès généralisé aux données et celles-ci sont chiffrées via un tiers de confiance.
Cet arrêt s’inscrit dans la ligne de l’ordonnance en référé du 13 octobre 2020 « Association Le Conseil National du Logiciel Libre et autres » sur la Plateforme des données de santé sur la Covid 19 (« Health Data Hub ») traitées par Microsoft. Dans cette affaire, les requérants demandaient également la suspension des opérations de traitement, en l’espèce de la Plateforme, du fait également de l’invalidation du Privacy Shield. Le Conseil d’Etat, pour rejeter la requête, a tenu compte de l’interdiction par arrêté ministériel de tout transfert en dehors de l’UE, sauf à permettre un transfert des seules données de télémétrie destinée à contrôler le bon fonctionnement des services offerts par Microsoft.
Il a aussi fait valoir l’intérêt de bénéficier des moyens techniques de la Plateforme, « sans équivalent à ce jour », en cette période d’urgence sanitaire et eu égard à la nécessité d’améliorer les connaissances sur le virus. Le RGPD n’a donc pas pour effet d’interdire de contractualiser avec les GAFAM. Il serait d’ailleurs plus efficient que l’Europe se donne les moyens de renforcer sa capacité technologique pour atteindre le niveau de services offerts par ces sociétés.