Après une audience de plus de 2h et une instruction de 5 jours, les parties entendent faire valoir leur indignation suite à la décision intervenue ce jour et limitée à un unique paragraphe en ce qui concerne l’instruction.
Ces dernières restent fermes sur leur argumentation initiale.
Données de santé
Dans son ordonnance du 12 mars, le juge considère que les données en cause ne sont pas des données de santé :
“Les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination”
Les parties rejettent fermement cette interprétation qui contrevient à la définition juridique telle que prévue par le RGPD, rappelé avec constance par la CNIL et l’Ordre des Médecins [1] :
« Ces informations peuvent renseigner sur l’état de santé des patients, de même que la simple connaissance d’une consultation d’un spécialiste peut donner une indication sur l’état de santé (ex. consulter un cardiologue régulièrement). »
Le secret médical est un principe pluri-centenaire, co-substantiel à la relation de soin.
« Il n’y a pas de soins sans confidences, de confidences sans confiance, de confiance sans secret »[2].
Les requérants ne remettent pas en cause l’intérêt du service proposé par Doctolib.
Le combat se situe sur le terrain des libertés fondamentales. Comme la CNIL ou la Cour de Justice de l’Union Européenne, ils veulent pérenniser ce contrat de confiance tacite entre les soignant.e.s et les soigné.e/s.
Extraterritorialité du droit américain
Si le juge reconnait les ingérences des lois américaines et leurs effets sur le droit à la protection des données à caractère personnel, il fait valoir que la procédure déployée par Amazon est suffisante.
Cette procédure conclue par addendum complémentaire permettrait à Amazon de s’opposer directement aux demandes d’accès par des autorités américaines ou de les notifier à la société Doctolib.
Les parties récusent cette affirmation. Elle rappellent que les demandes fondées sur la section 702 du FISA et sur l’EO 12333 sont des demandes qui peuvent contraindre Amazon à passer sous silence cette “collecte en vrac” des données de santé. Cette garantie juridique additionnelle serait insuffisante et ne garantirait nullement la préservation des données de santé.
Mesures techniques additionnelles
Les parties rappellent l’analyse technique développée par InterHop lors de l’audience.
Leurs conclusions sont les mêmes que celles déployés par plusieurs spécialistes de sécurité informatique[3][4] ou journalistes dont France Inter[5]. Les mesures techniques seraient insuffisantes pour garantir le droit à la protection des données de santé.
Hier, le journaliste Olivier Tesquet a révélé un document d’importance daté de septembre 2019, par laquelle Doctolib elle-même admettait un accès possible aux données :
Les parties constatent que l’ensemble de leurs arguments techniques ne figurent pas dans l’ordonnance du juge alors qu’ils ont donné lieu à près de 45 minutes de débat.
Elles regrettent que la CNIL n’ait pas été saisie malgré les maintes demandes réalisées par leur avocate Me Juliette Alibert.
Vous êtes expert.e.s en sécurité ? Vous êtes développeur.euse.s web ? Aidez-nous ! Donnez votre avis !
Pour rappel, voici les 13 requérants :
• Association InterHop
• Syndicat National Jeunes Médecins Généralistes (SNJMG)
• Syndicat de la Médecine Générale (SMG)
• Union française pour une médecine libre (UFML)
• Fédération des Médecins de France (FMF)
• Didier Sicard, ancien président du Comité Consultatif National d’Ethique CCNE
• Association Constances
• Marie Citrini, personne qualifiée au Conseil de l’APHP, représentante des usagers
• Les Actupiennes
• Actions Traitements
• Act-Up Sud Ouest
• Fédération SUD Santé Sociaux
• La Ligue des Droits de l’Homme
Contact : j.alibert@alibert-avocat.fr
1. Le juge des référés ne suspend pas le partenariat entre le ministère de la santé et Doctolib pour la gestion des rendez-vous de vaccination contre la covid-19
2. Guide Pratique sur la protection des données personnelles
3. Secret médical : respect, partage, dérogation et violation
4. https://twitter.com/ldubost/status/1369347379724496896
5. Doctolib est trop bavard
6. Doctolib : le chiffrement des données incomplet ?