Un collectif d’associations de patients et de syndicats de médecins a déposé un référé auprès du Conseil d’Etat « pour demander l’annulation du contrat qui lie Doctolib et l’Etat dans le cadre de la prise de rendez-vous pour la vaccination contre le Covid-19 ». Pour le collectif, le partenariat noué avec Doctolib n’est pas conforme au Règlement Général de Protection des Données (RGPD), car l’entreprise a choisi Amazon Web Services (AWS) pour héberger les données de santé dont il est dépositaire. (Cf.Données de santé : Doctolib à la conquête d’un nouveau marché)
Bien qu’Amazon soit certifié « hébergeur de données de santé », pour les requérants, il s’agit d’une « violation du RGPD ». « Une atteinte grave au droit au respect de la vie privée », « le droit américain n’assur[ant] pas un niveau de protection adéquat ». Le sujet avait déjà suscité une controverse autour du Health Data Hub, qui avait choisi la solution d’hébergement de Microsoft .
Un risque pour les données de santé des patients ?
Le collectif rappelle que « Doctolib dispose d’une importante quantité d’informations sur de nombreux patients » . Ainsi « en croisant les données recueillies en lien avec la vaccination contre le Covid-19 avec l’historique des rendez-vous, il est possible de définir directement les pathologies dont souffre le patient et de renseigner son état de santé », estime-t-il.
Doctolib indique pour sa part « avoir mis en place “un chiffrement systématique de l’ensemble des données hébergées chez AWS” », « les clefs de chiffrement et déchiffrement [étant] quant à elles hébergées en France chez un hébergeur français ».
En janvier, le partenariat avec Doctolib avait déjà été critiqué, sur le fait qu’une « mission de santé publique » soit confiée à une entreprise privée. A ce jour, « le site revendique plus de 40 millions d’utilisateurs. »
Sources : Numerama, Julien Lausson (01/03/2021) ; L’Usine digitale, Alice Vitard (01/03/2021) ; InterHop (26/02/2021)