Colegios y gremios profesionales han pedido al juez del Consejo de Estado que suspenda la alianza suscrita entre el Ministerio de Salud y Doctolib, al considerar que el hospedaje de datos de citas de vacunación por parte de la filial de una empresa de Estados Unidos conllevaba riesgos en cuanto a las solicitudes de acceso por parte de las autoridades americanas. El juez sumario del Consejo de Estado rechaza esta solicitud, señalando que los datos recopilados en el marco de las citas de vacunación no incluyen datos de salud sobre la base médica de elegibilidad para la vacunación y que se han brindado garantías. una posible solicitud de acceso por parte de las autoridades estadounidenses.
Como parte de la campaña de vacunación contra el covid-19, el Ministerio de Solidaridad y Salud ha encomendado la gestión de las citas de vacunación en internet a varios proveedores, entre ellos la empresa Doctolib. Con el fin de alojar sus datos, Doctolib utiliza AWS Sarl, que es una subsidiaria de la empresa estadounidense Amazon Web Services Inc.
Las asociaciones de profesionales de la salud y los sindicatos han pedido al juez del Consejo de Estado que suspenda la asociación concluida entre el Ministerio de Salud y Doctolib. Consideraron que el alojamiento de datos de Doctolib por parte de la filial de una empresa estadounidense conllevaba riesgos en cuanto a las solicitudes de acceso por parte de las autoridades estadounidenses.
Esta impugnación se deriva de la sentencia «Schrems II» del Tribunal de Justicia de la Unión Europea (TJUE) 1 , que dictaminó que la protección de los datos transferidos a los Estados Unidos por el «Escudo de la privacidad» (o «escudo de protección de datos» ) era insuficiente según la legislación europea.
Para cumplir con los requisitos de esta sentencia, el juez sumario del Conseil d’État verificó por tanto el nivel de protección proporcionado durante el tratamiento de los datos, teniendo en cuenta la naturaleza de los datos en cuestión y lo previsto en el contrato. concluido entre Doctolib y la empresa AWS Sarl y la ley aplicable a esta empresa.
Los datos recopilados durante las citas de vacunación no incluyen información sobre los motivos médicos para la elegibilidad para la vacunación.
El juez del Consejo de Estado señaló en primer lugar que los datos transmitidos a Doctolib en el marco de la campaña de vacunación no incluyen datos de salud por motivos médicos de elegibilidad para la vacunación, sino que se refieren solo a la identificación de personas y la realización de citas. Estos datos también se eliminan a más tardar después de un período de tres meses a partir de la fecha de la cita, las personas interesadas también pueden eliminarlos directamente en línea.
A continuación, el juez sumario observó que el contrato celebrado entre Doctolib y AWS Sarl prevé un procedimiento específico en caso de solicitudes de acceso por parte de una autoridad extranjera que prevé la impugnación de cualquier solicitud que no cumpla con la normativa europea. Doctolib también ha configurado un sistema para proteger los datos alojados por AWS Sarl basado en un tercero de confianza ubicado en Francia para evitar que terceros lean los datos.
En estas condiciones, el juez sumario del Consejo de Estado considera que el nivel de protección de los datos en cuestión no es manifiestamente insuficiente en cuanto al riesgo invocado por las asociaciones y sindicatos solicitantes, y teniendo en cuenta la naturaleza de los datos en cuestión. . Por tanto, rechazó la solicitud de las asociaciones y sindicatos demandantes.
1 TJUE, 16 de julio de 2020, Data Protection Commissioner v / Facebook Ireland Ltd, Maximillian Schrems, caso C 311/18 ( comunicado de prensa n ° 91/20 ).
Descargar decisión n ° 450163