Décision du Conseil d’Etat du 12 mars 2021

Publié le lundi 15 mars 2021, par SMG

Suite à la décision du Conseil d’Etat, le SMG est consterné concernant les choix du ministère de la Santé.
En effet, les différentes analyses techniques développées lors de la procédure font apparaître de sérieuses inquiétudes quant aux risques sur la protection des données de santé qu’encourraient les utilisateurs et utilisatrices de Doctolib. Depuis octobre dernier suite à des décisions du Conseil d’Etat et de la CNIL, le ministère a pourtant connaissance des dangers liés à l’hébergement de données de santé par des entreprises américaines. Ses choix font fi de la prudence de mise avec des données aussi sensibles et exposent au final le secret médical à des risques inutiles ; secret médical garant d’une relation de confiance entre soignant.es et soigné.es qui semble cruciale en ces moments de crise sanitaire.

Après une audience de plus de 2h et une instruction de 5 jours, les parties entendent faire valoir leur indignation suite à la décision intervenue ce jour et limitée à un unique paragraphe en ce qui concerne l’instruction.

Ces dernières restent fermes sur leur argumentation initiale.

Données de santé

Dans son ordonnance du 12 mars, le juge considère que les données en cause ne sont pas des données de santé :

“Les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination”

Les parties rejettent fermement cette interprétation qui contrevient à la définition juridique telle que prévue par le RGPD, rappelé avec constance par la CNIL et l’Ordre des Médecins [1] :

« Ces informations peuvent renseigner sur l’état de santé des patients, de même que la simple connaissance d’une consultation d’un spécialiste peut donner une indication sur l’état de santé (ex. consulter un cardiologue régulièrement). »

Le secret médical est un principe pluri-centenaire, co-substantiel à la relation de soin.

« Il n’y a pas de soins sans confidences, de confidences sans confiance, de confiance sans secret »[2].

Les requérants ne remettent pas en cause l’intérêt du service proposé par Doctolib.
Le combat se situe sur le terrain des libertés fondamentales. Comme la CNIL ou la Cour de Justice de l’Union Européenne, ils veulent pérenniser ce contrat de confiance tacite entre les soignant.e.s et les soigné.e/s.

Extraterritorialité du droit américain

Si le juge reconnait les ingérences des lois américaines et leurs effets sur le droit à la protection des données à caractère personnel, il fait valoir que la procédure déployée par Amazon est suffisante.

Cette procédure conclue par addendum complémentaire permettrait à Amazon de s’opposer directement aux demandes d’accès par des autorités américaines ou de les notifier à la société Doctolib.

Les parties récusent cette affirmation. Elle rappellent que les demandes fondées sur la section 702 du FISA et sur l’EO 12333 sont des demandes qui peuvent contraindre Amazon à passer sous silence cette “collecte en vrac” des données de santé. Cette garantie juridique additionnelle serait insuffisante et ne garantirait nullement la préservation des données de santé.

Mesures techniques additionnelles

Les parties rappellent l’analyse technique développée par InterHop lors de l’audience.

Leurs conclusions sont les mêmes que celles déployés par plusieurs spécialistes de sécurité informatique[3][4] ou journalistes dont France Inter[5]. Les mesures techniques seraient insuffisantes pour garantir le droit à la protection des données de santé.

Hier, le journaliste Olivier Tesquet a révélé un document d’importance daté de septembre 2019, par laquelle Doctolib elle-même admettait un accès possible aux données :

Sans titre

Les parties constatent que l’ensemble de leurs arguments techniques ne figurent pas dans l’ordonnance du juge alors qu’ils ont donné lieu à près de 45 minutes de débat.

Elles regrettent que la CNIL n’ait pas été saisie malgré les maintes demandes réalisées par leur avocate Me Juliette Alibert.

Vous êtes expert.e.s en sécurité ? Vous êtes développeur.euse.s web ? Aidez-nous ! Donnez votre avis !

Pour rappel, voici les 13 requérants :
• Association InterHop
• Syndicat National Jeunes Médecins Généralistes (SNJMG)
• Syndicat de la Médecine Générale (SMG)
• Union française pour une médecine libre (UFML)
• Fédération des Médecins de France (FMF)
• Didier Sicard, ancien président du Comité Consultatif National d’Ethique CCNE
• Association Constances
• Marie Citrini, personne qualifiée au Conseil de l’APHP, représentante des usagers
• Les Actupiennes
• Actions Traitements
• Act-Up Sud Ouest
• Fédération SUD Santé Sociaux
• La Ligue des Droits de l’Homme

Contact : j.alibert@alibert-avocat.fr

1. Le juge des référés ne suspend pas le partenariat entre le ministère de la santé et Doctolib pour la gestion des rendez-vous de vaccination contre la covid-19
2. Guide Pratique sur la protection des données personnelles
3. Secret médical : respect, partage, dérogation et violation
4. https://twitter.com/ldubost/status/1369347379724496896
5. Doctolib est trop bavard
6. Doctolib : le chiffrement des données incomplet ?

Lire aussi

Continuer à accueillir et soigner les non vaccinées

22 décembre 2021
par SMG
Récemment, l’Autriche a décidé un confinement sélectif épargnant les vacciné·e·s. Singapour a quant à elle décidé de dérembourser les soins des patient·e·s hospitalisé·e·s pour Covid et non …

Refusons de demander le Pass sanitaire dans les structures de soin et d’accès aux droits

12 août 2021
par SMG
Avec l’entrée en vigueur du Pass sanitaire ce lundi 09/08/21 , l’accès aux soins, à la vie culturelle et sociale est une nouvelle fois attaqué. Dans le domaine de la santé, la loi …

Signalement CNIL co-porté par plusieurs associations et syndicats

29 mai 2021
par SMG
Dans le cadre du reportage Cash Investigation diffusé sur France 2 portant comme intitulé « Nos données personnelles valent de l’or ! », les journalistes se sont intéressés aux pratiques de …

Appel interassociatif et intersyndical du 9 mars 2021 : Il faut dissoudre l’Ordre des médecins

9 mars 2021
Après le rapport accablant de la Cour des Comptes paru en décembre 2019, l’Ordre des médecins tente de se justifier et réaffirme « être au service des médecins dans l’intérêt des patient·e·s ». …