Article mis à jour avec la réaction de Cédric O
Doctolib est mis en difficulté. Selon Mediapart, un collectif de professionnel·le·s de santé a déposé jeudi 25 février une requête devant le Conseil d’État dans le but de contester la décision du gouvernement de confier à la plateforme la prise de rendez-vous en ligne en vue de la vaccination contre le Covid-19. Il est reproché à cette dernière d’avoir recours aux services d’Amazon Web Services (AWS), filiale du géant de l’e-commerce répondant du droit américain, afin d’héberger les données des patient·e·s français·es. La gestion de ces informations sensibles est ainsi l’un des points de tension auxquels Doctolib doit faire face… et ses concurrents n’hésitent pas à l’exploiter. Lui aussi retenu dans le cadre de la campagne, le service Maiia – filiale du groupe Cegedim – mettait justement en avant auprès de Maddyness son avantage stratégique lié aux infrastructures dont elle dispose et à la labellisation de maison-mère comme hébergeur de données de santé.
Plus de 80 % des rendez-vous en ligne
Ce référé-liberté, que Mediapart a donc pu consulter, a notamment été signé par le collectif InterHop, le professeur Didier Sicard, le Syndicat de la médecine générale, l’Union pour une médecine libre, le Syndicat national des jeunes médecins généralistes, la Fédération des médecins de France, ainsi que par des associations de patient·e·s, comme ActUp santé Sud- Ouest ou Marie Citrini, représentante des usagers de l’AP-HP (Assistance publique-Hôpitaux de Paris). Selon ces différents acteurs, Doctolib mettrait en danger les données personnelles des utilisateur·rice·s de son service en les soumettant à un programme de surveillance permis par le droit américain.
D’après Mediapart, le choix des plateformes partenaires pour la prise de rendez-vous pour la vaccination contre le Covid-19 a été "opéré à la dernière minute" par l’exécutif. Ce qui aurait conduit ce dernier, par manque d’anticipation, à signer sans étudier l’ensemble des aspects techniques. Pour mémoire, l’État a construit un système d’information pour le suivi des vaccinations à partir de trois plateformes privées – Doctolib, Maiia et Keldoc. Le site gouvernemental Santé.fr renvoie directement les candidats vers ces dernières… mais de manière inégale. Les requérants ont passé le service au crible, révélant "que 861 centres de vaccination passent par Doctolib, contre 39 et 97 pour les deux autres solutions (Keldoc et Maiia, respectivement)" , ce qui correspond à un taux de redirection de "plus de 80 %".
Les données confiées à AWS sont chiffrées
Mediapart rapporte que les requérants estiment qu’"en croisant les données recueillies en lien avec la vaccination contre le Covid-19 avec l’historique des rendez-vous précédents, il est possible de définir directement les pathologies dont souffre le patient et de renseigner son état de santé". Contacté par Maddyness ce lundi 1er mars, Doctolib indique "ne pas avoir connaissance du recours évoqué et ne pas disposer, à date, d’élément à ce sujet". L’entreprise française, qui affirme "respecter toute la réglementation française et européenne en matière de respect de la vie privée" – page web dédiée à l’appui –, indique avoir "publiquement recours à AWS depuis mai 2019". Soulignant le fait que AWS est "certifié par l’État français via l’agence du ministère des Solidarités et de la Santé chargée du numérique" , la plateforme rappelle aussi qu’un "chiffrement systématique des données hébergées chez AWS" a été mis en place et que "les clés de déchiffrement sont quant à elles hébergées en France, chez un hébergeur français".
AWS ne peut, à en croire Doctolib, avoir accès aux données personnelles sous aucun prétexte. Doctolib a rappelé sa "mobilisation jour et nuit pour aider les citoyens à accéder facilement à la vaccination et les centres de vaccination à gérer cette campagne". Joint par Maddyness, le secrétaire d'État chargé de la Transition numérique et des Communications électroniques, Cédric O, a jugé qu'il "n'y a pas de quoi être inquiet" de la situation. "Le Conseil d'État s'est déjà prononcé sur la question et le sujet a fait l'objet d'un jugement. Il faut considérer l'ensemble du dispositif d'hébergement d'AWS, mais le cadre juridique est protecteur" , nous a-t-il ainsi précisé.
Pour rappel, la question de l’hébergement des données médicales fait largement débat en France. En octobre 2020, un collectif avait déjà contesté devant le juge administratif le choix du gouvernement en matière d’hébergement de données de santé. À l’époque, il s’agissait de celles détenues à travers le Health Data Hub, la plateforme devant à terme centraliser l’ensemble des données de santé des Français·es en confiant l’hébergement de celles-ci à la solution Azure de Microsoft. La contestation se basait, dans ce cas, sur l’annulation récente du bouclier de protection des données ("privacy shield"), qui régulait les transferts de données personnelles entre les États-Unis et les pays membres de l’Union européenne. La Cnil avait alors appelé l’État à cesser "dans un délai aussi bref que possible" de confier l’hébergement des données de santé des Français·es à Microsoft ou toute autre société soumise "au droit états-unien".
Cédric O, le secrétaire d’État chargé de la Transition numérique et des Communications électroniques, et Olivier Véran, le ministre des Solidarités et de la Santé, avaient fait part de leur intention de "transférer le Health Data Hub sur des plateformes françaises ou européennes". Reste que l’urgence de la situation liée à la pandémie de Covid-19 semble repousser l’échéance.
Dans un courrier envoyé à la présidente de la Cnil, Marie-Laure Denis, et révélé par Mediapart fin novembre 2020, Olivier Véran affirmait souscrire "pleinement" aux craintes exprimées par l’institution et s’engageait à trouver une solution technique "dans un délai qui soit autant que possible compris entre 12 et 18 mois et qui, en tout état de cause, ne dépasse pas deux ans".