Le partenariat entre l’État et Doctolib dans le cadre de la campagne de vaccination vient se faire attaquer devant le Conseil d’État. En cause : le fait que Doctolib passe par Amazon, une entreprise américaine, pour héberger ses activités.

La polémique sur l’implication de Doctolib dans la campagne de vaccination rebondit, cette fois avec un tout autre angle d’attaque. Alors qu’en janvier dernier, c’était le fait de voir le gouvernement s’en remettre à une entreprise privée pour prendre en charge une mission de santé publique qui était au cœur de la controverse, ce sont maintenant les conditions d’hébergement de Doctolib qui sont en cause.

La problématique tient en une phrase : Doctolib passe par l’entreprise américaine Amazon Web Services pour héberger ses activités, alors même que la société française joue un rôle central dans l’activité des centres de vaccination (deux autres sociétés françaises sont aussi impliquées, Maiia et Keldoc). Selon Mediapart, près de 80 % d’entre eux se servent des solutions de Doctolib pour gérer leurs rendez-vous.

Une controverse aux airs de déjà-vu

Cela vous rappelle quelque chose ? C’est normal : elle a le même profil que la querelle sur l’hébergement du Health Data Hub, une plateforme pour les données de santé. Aujourd’hui, celle-ci passe par un hébergeur américain, Microsoft, via un centre de données basé dans l’Union européenne. L’affaire a pris des proportions importantes, au point aujourd’hui que le Health Data Hub devra quitter Microsoft.

L’hébergement du Health Data Hub par Microsoft et les conditions dans lesquelles le deal entre les deux parties a été conclu ont fait l’objet en 2020 de recours devant le Conseil d’État, la plus haute juridiction de l’ordre administratif français. Si l’analyse de l’instance a été au départ rassurante, elle a sensiblement évolué par la suite, du fait d’une nouvelle donne juridique transatlantique.

En janvier, nous anticipions que l’hébergement de Doctolib sur Amazon Web Services — une indication qui est renseignée dans sa politique de protection des données à caractère personnel — allait vraisemblablement prolonger la controverse. Notre supposition s’est concrétisée fin février, avec le collectif InterHop annonçant un recours devant le Conseil d’État pour invalider le partenariat entre Doctolib et l’État.

« Conformément à une série de décisions intervenue devant la Cour de justice de l’Union européenne mais également en ce qui concerne le Health Data Hub hébergé chez Microsoft, le droit américain n’assure pas un niveau de protection adéquat avec le Règlement général de protection des données », argue le collectif, qui rassemble douze organisations de professionnels de santé.

Health Data Hub
L’accueil du Health Data Hub.

En juillet dernier, la Cour de justice de l’Union européenne a estimé que les programmes de surveillance américains ne sont pas assez bien encadrés. Faute d’un cadre juridique adapté aux standards européens, la Cour a invalidé l’accord de 2016 conclu entre les États-Unis la Commission européenne sur le transfert des données personnelles. Cet accord s’avère être le deuxième du genre à être dénoncé par la Cour.

En passant par Amazon Web Services, Doctolib, via son partenariat avec le gouvernement, « soumet les patient.e.s à un risque inutile surtout qu’il existe de nombreuses alternatives, notamment les deux autres prestataires choisis par le gouvernement qui assurent un hébergement des données de santé auprès de sociétés françaises, non soumises au droit américain », continue le collectif.

Keldoc utilise la société française OVH, selon ses conditions générales d’utilisation, tandis que Maiia passe par Cegedim, est-il écrit dans ses mentions légales. Ces deux hébergeurs, tout comme Amazon Web Services, sont des prestataires certifiés hébergeurs de données de santé. Cette certification autorise notamment la sauvegarde des données de santé sur leurs infrastructures.

Quel impact sur la campagne de vaccination ?

Le collectif InterHop demande donc de couper les liens entre l’État et Doctolib : « Il s’agit dès lors de demander au juge qu’il soit mis fin à l’utilisation de cette plateforme de prise de rendez-vous en ligne dans le cadre de la politique de vaccination car elle constitue une atteinte grave au droit au respect de la vie privée ». Rien n’interdirait ensuite aux deux parties de re-conclure un partenariat, si l’hébergeur change.

Pour sa part, Doctolib se veut rassurant : la certification d’hébergeur de données de santé impose à Amazon des exigences élevées en matière de sécurisation, et l’entreprise se doit par ailleurs d’être conforme à l’ensemble des réglementations françaises et européennes dont le RGPD. D’ailleurs, comme Microsoft, Amazon localise le stockage des données en Europen, plus précisément en Allemagne et en France.

Plus spécifiquement, Doctolib fait remarquer « qu’un chiffrement systématique de l’ensemble des données hébergées chez AWS » est en place. Par ailleurs, «  les clefs de chiffrement et déchiffrement sont hébergées en France chez un hébergeur français », ce qui ajoute une garantie supplémentaire, en cas d’éventuel mésusage ou bien de fuite de données.

Reste toutefois une interrogation : si l’invalidation est prononcée, qu’elle en sera l’impact sur la campagne de vaccination en France ? Depuis son lancement, en décembre, elle est régulièrement l’objet de controverses, parce que le démarrage a été trop lent, ou parce que la vaccination en pharmacie n’a pas été immédiatement enclenchée, ou sur la logistique ou encore la stratégie d’une ou deux doses par personnes.

L’absence de Doctolib dans la boucle, alors que la plateforme est la plus utilisée en France — le site revendique plus de 40 millions d’utilisateurs, pourrait de fait causer des frictions additionnelles pour dispatcher les personnes qui sont éligibles à une injection, alors même que le plan du gouvernement pour sortir le pays de la crise sanitaire repose sur une campagne vaccinale massive et rapide.

(mise à jour avec des précisions apportées par Doctolib)

Partager sur les réseaux sociaux

La suite en vidéo