Le ministère de la santé a confié la gestion des rendez-vous en ligne de vaccination contre la Covid-19 à Doctolib. Les données de ce dernier sont stockées sur les serveurs de la filiale luxembourgeoise d’Amazon Web Services (AWS), une société de droit américain.
Par conséquent, estimant que ces données risquent d’être transférées aux Etats-Unis ou, du moins, que les autorités américaines pourront y avoir accès (si elles le demandent) en violation du RGPD, des associations et syndicats professionnels ont demandé la suspension de ce partenariat.
Le juge des référés du Conseil d’Etat a rejeté la demande en relevant que :
- La collecte ne concerne que les données d’identification et celles relatives au rendez-vous, à l’exclusion des données de santé ;
- La durée de conservation est de trois mois à compter de la date de prise de rendez-vous ;
- Les données sont protégées par le biais d’un chiffrement reposant sur un tiers de confiance domicilié en France.
Conseil d’Etat, ordonnance de référé, 12 mars 2021, Doctolib, req. n°450163