Vaccination : les données de santé de Doctolib suscitent l'inquiétude de médecins

Un patient âgé reçoit une dose du vaccin de Pfizer-BioNtech dans un centre situé à Garlan, dans l'ouest de la France, le 2 mars 2021. Soucieux de la protection des données de santé de millions de Français, plusieurs syndicats de médecins ont déposé devant le Conseil d’État un recours qui doit être examiné lundi. En cause, l’utilisation par le site de prise de rendez-vous Doctolib des services d’hébergement du géant américain Amazon. Le ministère de la Santé devra justifier, lundi 8 mars devant le Conseil d’État, le choix de Doctolib pour la prise de rendez-vous dans le cadre de la stratégie vaccinale française contre le Covid-19. Avec Maiia et Keldoc, la plateforme est une des trois sociétés du secteur privé à avoir été retenues par le gouvernement pour gérer cette tâche. Plusieurs syndicats de médecins mais aussi des représentants d’associations de patients dénoncent un niveau de sécurité insuffisant pour le stockage des données de santé de millions de personnes. Ils reprochent à la société franco-allemande d'avoir recours aux prestations d'Amazon Web Services (AWS), une filiale du géant américain du e-commerce. “Amazon Web Services est soumis au droit américain qui autorise la collecte de données”, assure à France 24 Me Juliette Alibert, qui représente l’ensemble des requérants. “Savoir à quelle heure vous avez vu tel médecin, c’est une donnée de santé”. Dans le viseur des plaignants : le Cloud Act. Ce texte permet notamment aux agences de renseignement des États-Unis d’accéder aux informations stockées sur les serveurs d’entreprises américaines. De son côté, Doctolib se veut rassurant et affirme dans un communiqué avoir recours publiquement aux services d’Amazon depuis mai 2019. Ces données chiffrées sont hébergées en France et en Allemagne, c’est donc bien le droit européen et le Règlement Général sur la Protection des Données (RGPD) entré en vigueur en mai 2018 dans l'UE, qui s’appliquent. Le précédent Microsoft Mais selon Me Juliette Alibert, ces précautions ne suffisent pas car “le droit américain a des effets extraterritoriaux importants qui ne garantissent pas un niveau de protection conforme au RGPD. Peu importe où se trouvent ces données.” L’avocate s'appuie notamment sur la jurisprudence européenne. En juillet dernier, un bouleversement majeur a eu lieu dans le domaine de la protection des données. La Cour de justice de l'Union européenne a invalidé le Privacy Shield, un texte qui établissait que la législation américaine offrait les mêmes garanties que le droit européen. Une décision judiciaire qui a sérieusement compromis un autre contrat passé entre le gouvernement français et Microsoft. L’État voulait alors confier au géant américain la gestion du Health Data Hub, un mégafichier censé compiler l’ensemble des données du système de santé français. Le gouvernement a dû revoir sa copie après un jugement d'octobre 2020. Le Conseil d’État a reconnu “le risque d’un transfert de données vers les États-Unis” après un avis défavorable de la CNIL, le gendarme français des données personnelles. Même si Microsoft n’a finalement pas été écarté du dossier, le ministre de la Santé, Olivier Véran, a promis de confier le stockage des données à un hébergeur français ou européen. La confiance des patients en jeu Avec leur action en justice, les syndicats de médecins veulent attirer l’attention de tous les acteurs de la santé sur la question de la protection des données, “intimement liée au secret médical qui est essentiel pour conserver la confiance des patients”, estime Benoît Blaes, du Syndicat national des jeunes médecins généralistes (SNJMG), qui fait partie des requérants. Doctolib revendique aujourd’hui “plus de quatre millions de rendez-vous de vaccination” depuis le début de cette campagne. Autant dire que la société franco-allemande, qui pèse aujourd’hui plus d’un milliard d’euros, est un outil incontournable pour le gouvernement dans la lutte contre le Covid-19. Mais la place de plus en plus importante accordée au secteur privé interroge certains professionnels de santé. “Ces éditeurs de logiciels ou plateformes de prise de rendez-vous sont des services qui ont pour but de générer des bénéfices, souligne Benoît Blaes. Leur objectif premier n’est pas l’amélioration de la qualité ni de la sécurité des soins”. Si le Conseil d’État devrait statuer d’ici mercredi dans cette affaire, il est cependant peu probable - comme le rappelle le réseau de médias européens Euractiv - que le juge suspende dans l’immédiat le partenariat entre l’État et Doctolib, au regard de la “complexité technique et juridique du dossier”.