Tribune Jean-Pierre Blum

Campagne de prise de RDV en ligne chez Doctolib, un hébergement des données qui inquiète

Publié le 03/06/2021

Juliette Alibert, avocate au barreau de Paris a porté un recours devant le Conseil d’État contre le ministère de la Santé et la société Doctolib. Elle livre ses conclusions aux plans éthiques et juridiques.

Juliette Alibert, avocate au barreau de Paris
Crédit photo : DR

Vous avez défendu plusieurs syndicats de médecins et associations notamment de patients contre le choix du ministère de la Santé d’avoir recours à Doctolib pour la campagne de vaccination, qu’est ce qui précisément était exactement reproché ?

Dans le cadre de la politique de vaccination contre la covid19, le ministère de la Santé a fait le choix d’avoir recours à trois sociétés privées pour la gestion de la prise de rendez-vous en ligne : Maiia, Keldoc et Doctolib. Si d’une part il aurait été possible d’internaliser la prise de rendez-vous en créant une plateforme publique, les critiques se sont cristallisées contre la « licorne française » Doctolib, en raison de questionnement lié à la protection des données collectées. En effet, contrairement aux deux autres prestataires privés, Doctolib héberge les données de santé sur des serveurs appartenant à Amazon Web Services, une société de droit américain qui à son siège aux États-Unis. Jusqu’ici, il n’y a pas nécessairement de raison de s’inquiéter dès lors que les données sont sur des serveurs localisés en France. Il n’en n’est rien, au contraire, la Cour de justice de l’Union européenne (« CJUE ») dans un arrêt dit « Schrems II » de juillet 2020 a considéré que le droit américain n’était en l’état pas compatible avec le niveau de protection requis par le Règlement général sur la protection des données (« RGPD »). Par conséquent, le choix d’un prestataire de droit américain Amazon en l’occurrence pour héberger les données de Doctolib entrait en collision directe avec le droit à la protection des données à caractère personnel.

Pourquoi le droit américain serait-il incompatible avec le RGPD ?

Dans son arrêt « Schrems II » de juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) a annulé le « Privacy Shield » ou « Bouclier de Protection », -un accord négocié avec la Commission Européenne qui permettait pour toute société américaine qui y était intégrée de pouvoir faire de la sous-traitance de données en toute conformité avec le RGPD -. Or, en étudiant de façon précise les effets extraterritoriaux du droit américain, notamment la possibilité pour les autorités américaines du renseignement sur le fondement du FISA et de l’Executive Order d’avoir accès de façon massive et indiscriminée à de la collecte en vrac de données, le juge a estimé que le niveau de protection requis n’était pas atteint. Par conséquent, il a annulé le « Privacy Shield », ce qui montre bien à quel point l’incompatibilité entre le droit américain et le RGPD est manifeste.

Concernant les données traitées par Doctolib - et dont il n’est pas propriétaire -, leur hébergement chez Amazon serait donc illégal ?

Le juge européen et les autorités en charge de la protection des données personnelles estiment qu’en dehors du « Privacy Shield » (qui n’existe donc plus depuis juillet 2020 suite à son invalidation), il faut apporter des garanties suffisantes pour démontrer qu’on atteint le niveau de protection adéquate lorsqu’on sous-traite avec une société américaine. Concrètement, ce peuvent être des clauses contractuelles spécifiques ou des moyens techniques adaptés. En ce qui concerne les rapports avec une société sous-traitante soumise au droit américain, le problème reste entier. En effet, les garanties contractuelles sont inefficaces face au droit américain puisque sur le fondement du FISA, les demandes d’autorités américaines doivent donner lieu à des accès aux données et le cas échéant il est imposé aux sociétés qu’elles conservent le silence sur ces accès. Sur le fondement de l’Executive Order, les autorités américaines peuvent simplement se servir par le biais des câbles sous-marins où circulent les flux de communication internet. Aucune clause contractuelle ne peut permettre d’empêcher une autorité de surveillance américaine qui voudrait y avoir accès, de ne pas faire droit à une demande auprès d’Amazon. Par ailleurs, les garanties techniques sont insuffisantes en l’état des capacités technologiques, sauf à tout chiffrer de bout en bout.

Vous parlez de chiffrement de bout en bout, mais les données de Doctolib ne seraient pas chiffrées ? C’est pourtant ce qu’ils annoncent ?

Lors de l’audience devant le Conseil d’État nous avons démontré avec une équipe de techniciens bénévoles de l’association InterHop que les données sont chiffrées mais pas tout au long du cycle de la vie de la donnée : ce n’est donc pas un chiffrement de bout en bout. Pour le dire simplement, il existe un chiffrement dit « HTTPS » qui sécurise la donnée qui transite entre l’ordinateur de l’utilisateur et les serveurs contre les attaques des tiers. Il y a également un système de clefs de chiffrement qui intervient à un moment donné sur les serveurs. Le problème qui a été très bien mis en lumière est que les données sont, à un moment, accessibles « en clair », c’est à dire lisibles sur le serveur. Cette démonstration peut être faite très simplement en regardant ce qui s’appelle le « JSON » (Java Script Object Notation). En conclusion, des données en clair (« non chiffrées ») sont lisibles par Amazon sur les serveurs Amazon. C’est très préoccupant pour le secret médical et le droit à la protection des données quand on connaît le nombre de données traitées par Doctolib. D’aucuns dénoncent les mêmes dérives avec le projet du Health Data Hub qui vise à stocker l’ensemble des données de santé sur une plateforme de Microsoft, modulo la pseudonymisation ce qui n’est pas le cas chez Doctolib !

Mais dans ce cas pourquoi le juge n’a-t-il pas censuré le recours à Doctolib pour la gestion de la politique vaccinale ?

Comme vous le savez nous sommes dans un moment très compliqué avec une crise sanitaire d’ampleur. Si la crise ne peut pas tout justifier, il semblerait que la décision juridictionnelle n’ait pas été sensible aux critiques techniques que nous avions pourtant fait valoir. C’est très dommageable car l’urgence sanitaire ne peut se faire au détriment de principes fondateurs de la relation médecin-patient tels que le secret médical. Or dans sa décision, le juge a considéré que les rendez-vous de vaccination n’étaient pas des données de santé. Une telle interprétation s’inscrit en contradiction avec le RDGP, mais également avec ce que martèlent depuis des années des autorités comme la Cnil ou l’ordre des médecins, il s’agit d’un non-sens juridique. En effet, à partir du moment où la donnée révèle directement ou indirectement une information sur l’état de santé de la personne, c’est une donnée de santé. « Être vacciné » ou non, est une donnée de santé. Par ailleurs, il suffit de croiser la date où la personne a pu être vaccinée (public prioritaire ou non) avec ses antécédents de rendez-vous sur Doctolib pour savoir de façon précise de quelle maladie elle souffre. C’est un coup de poignard à l’endroit du secret médical, qui plus est dans un moment où l’on voit la valeur des données de santé si l’on en croit les cyberattaques journalières dont sont victimes les hôpitaux ou le récent scandale sur IQVIA (ex-IMS) dénoncé dans Cash Investigation il y a quelques jours.

Plus généralement, quels sont selon vous les enjeux que révèle cette affaire ?

Les données de santé sont très convoitées. Selon McKinsey (2019), elles sont valorisées à 600 milliards de dollars par an. Elles sont sans doute essentielles au progrès de la recherche médicale et de la santé publique. Il y a une urgence à former les professionnels de santé afin qu’ils connaissent les outils et travaillent dans des conditions qui garantissent le secret médical mais également la protection des données. Les acteurs de la santé, les cadres dirigeants des établissements qui sont ceux qui sont impliqués sur le terrain en recueillant et traitant ces données doivent être les vigies d’un cadre éthique et confidentiel garant de la préservation des droits du patient.

Il est également urgent de prendre le temps d’une réflexion globale sur la gouvernance de ces projets centralisateurs. Un problème structurel des grands concentrateurs de données réside dans leur conformité au principe de minimisation de la collecte énoncé par le RGPD. Par opposition, une approche décentralisée en réseau est davantage protectrice des libertés numériques. Ces systèmes doivent être interopérables avec une mise en commun du code source des logiciels. Les développements devraient être dans le domaine public et librement réutilisables par différents acteurs.