Le Conseil d’Etat saisi par un « collectif de treize associations, syndicats et citoyens » ne suspend pas le partenariat noué par l’Etat avec Doctolib pour les rendez-vous de vaccination contre le Covid-19. Pour le collectif, « le choix de l’État ne pouvait pas être conforme au règlement général européen de protection des données (RGPD), Doctolib ayant choisi AWS[1] pour héberger les données ».
« Les données recueillies dans le cadre des rendez-vous de vaccination ne comprennent pas d’indications sur les motifs médicaux d’éligibilité à la vaccination » affirme le juge des référés, et le « niveau de protection n’est pas insuffisant », estime-t-il, s’appuyant sur « un addendum complémentaire » entre Doctolib et AWS qui « instaure une procédure précise en cas de demandes d’accès par une autorité publique ».
Suite au rejet de sa requête, le collectif déclare être « indigné » et demeurer « “ferme” sur son argumentation initiale ». Pour le collectif qui invoque la Commission nationale de l’informatique et des libertés (Cnil) et l’Ordre national des médecins, « les données d’identification des personnes et données relatives aux rendez-vous peuvent renseigner sur l’état de santé des patients ». Et « au sein de l’App Server les données sont à un moment accessibles en clair (Data Access) » souligne Interhop, l’une des associations ayant saisi le Conseil d’Etat. « La donnée de santé n’est pas chiffrée sur tout son parcours. »
Le collectif déplore également l’absence de saisie de la Cnil.
[1] Amazon Web Services
Sources : Hospimedia, Géraldine Tribault (15/03/2021) ; L’Usine Digitale, Alice Vitard (15/03/2021)
