https://www.nehs-digital.com

Acteurs

Vaccination Covid-19: le Conseil d'Etat ne suspend pas le partenariat entre le ministère et Doctolib

0 265

PARIS (TICsanté) - Le Conseil d'Etat "ne suspend pas le partenariat entre le ministère de la santé et Doctolib pour la gestion des rendez-vous de vaccination contre le Covid-19", a fait savoir le 12 mars au soir le Palais-Royal, considérant que "les données recueillies dans le cadre des rendez-vous de vaccination ne comprennent pas d’indications sur les motifs médicaux d’éligibilité à la vaccination".

Un collectif d'associations a déposé le 25 février une requête devant le Conseil d'Etat s'opposant au choix des pouvoirs publics de confier à Doctolib la prise de rendez-vous en ligne pour la vaccination contre le Covid-19, rappelle-t-on.

Les sociétés Doctolib, Maiia et KelDoc ont été retenues par les pouvoirs publics mi-janvier via l'Ugap (Union des groupements d'achats publics) pour la gestion de la prise de rendez-vous de vaccination anti-Covid.

La requête déposée le 25 février ne concerne que la société Doctolib, à laquelle il est reproché de passer par l'entreprise américaine Amazon Web Services (AWS), filiale du géant Amazon, pour héberger leurs données de santé.

Les requérants sont l'association Interhop, la Fédération des médecins de France (FMF), l’Union française pour une médecine libre (UFML), le Syndicat national des jeunes médecins généralistes (SNJMG), le Syndicat de la médecine générale (SMG), Marie Citrini, représentante des usagers et membre du conseil de surveillance de l'Assistance publique-hôpitaux de Paris (AP-HP), la fédération SUD santé sociaux, la Ligue des droits de l'Homme, l'Association Constances, les Actupiennes, Actions traitements, Act Up Sud-Ouest, et le Pr Didier Sicard, ancien président du Comité consultatif national d'éthique (CCNE).

Dans une ordonnance publiée le 12 mars, le juge des référés a décidé de ne pas ordonner la suspension du partenariat établi entre le ministère des solidarités et de la santé et la société Doctolib, dans le cadre de la gestion des rendez-vous pour la vaccination anti-Covid.

"Les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination, les personnes intéressées se bornant, au moment de la prise de rendez-vous, à certifier sur l’honneur qu’elles entrent dans la priorité vaccinale, qui est susceptible de concerner des adultes de tous âges sans motif médical particulier", peut-on lire dans la décision.

"Ces données sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne."

En outre, le juge des référés a souligné que "la société Doctolib et la société AWS ont conclu un addendum complémentaire sur le traitement des données instaurant une procédure précise en cas de demandes d’accès par une autorité publique aux données traitées pour le compte de Doctolib prévoyant notamment la contestation de toute demande générale ou ne respectant pas la règlementation européenne".

"La société Doctolib a également mis en place un dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers", a-t-il également considéré.

"Eu égard à ces garanties et aux données concernées, le niveau de protection des données de prise de rendez-vous dans le cadre de la campagne de vaccination contre la Covid-19 ne peut être regardé comme manifestement insuffisant au regard du risque de violation du règlement général de protection des données invoqué par les requérants."

Par ailleurs, le Conseil d'Etat a écarté la demande de saisine de la Commission nationale de l’informatique et des libertés (Cnil) portée par les requérants, au motif qu'il n’apparaît pas que le partenariat entre le ministère et Doctolib constitue "une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles".

Doctolib accueille "positivement" la décision

De son côté, Doctolib a salué la décision du Conseil d'Etat et a rappelé qu'il "protège efficacement la confidentialité des données personnelles de ses utilisateurs", dans un communiqué de presse diffusé le 12 mars.

"Depuis mai 2019, Doctolib héberge les données de ses utilisateurs en France et en Allemagne auprès d’un hébergeur certifié hébergeur de données de santé (HDS), AWS, qui figure sur la liste des hébergeurs certifiés fournie par l’agence du ministère des solidarités et de la santé chargée du numérique (ANS). Doctolib a choisi l’un des tout premiers hébergeurs du monde, notamment en matière de protection des données", a expliqué l'entreprise.

Doctolib a également rappelé que "les patients et les professionnels de santé sont propriétaires de leurs données"; qu'il utilise "uniquement les données de ses utilisateurs pour le bon fonctionnement de ses services" et qu'il "met tout en œuvre pour protéger les données de ses utilisateurs de Doctolib".

La société a, par ailleurs, listé les mesures supplémentaires mises en place pour garantir la protection des données de santé de ses utilisateurs: "les données des utilisateurs de Doctolib sont hébergées en France et en Allemagne"; "l'ensemble des données des utilisateurs de Doctolib est chiffré"; "les clefs de chiffrement sont quant à elles hébergées en France chez Atos, une entreprise française" et "ces mesures rendent impossible l’accès aux données de santé par AWS".

"Les informations qui touchent à notre santé sont personnelles. Le respect de la vie privée est un droit fondamental et l’une des valeurs essentielles de Doctolib", a fait valoir la licorne française, rappelant son attachement à la réglementation française et européenne sur la protection des données personnelles de santé.

"Nous avons reçu très positivement la décision du Conseil d’Etat. Chez Doctolib, nous sommes convaincus que le respect de la vie privée est un droit fondamental. Nous mettons tout en œuvre pour protéger la confidentialité des données de nos utilisateurs et le parfait respect des réglementations françaises et européennes. Concernant la campagne de vaccination, nos équipes vont poursuivre leur mobilisation jour et nuit pour épauler les centres de vaccination et les soignants et permettre aux Français d’accéder facilement à la vaccination", a déclaré Stanislas Niox-Chateau, cofondateur de Doctolib, cité dans le communiqué.

Les requérants "indignés"

"Après une audience de plus de 2h et une instruction de 5 jours, les parties entendent faire valoir leur indignation suite à la décision intervenue ce jour et limitée à un unique paragraphe en ce qui concerne l’instruction. Ces dernières restent fermes sur leur argumentation initiale", ont fait savoir les requérants dans une note de blog publiée le 12 mars.

"La décision a été mal reçue par les parties, parce qu'on ouvre une brèche très inquiétante sur les données de santé et notamment les données de rendez-vous qui ne seraient plus des données de santé", a indiqué lundi 15 mars à TICsanté, leur avocate, Me Juliette Alibert.

"A l'audience, il a été clairement rappelé qu'il s'agit bien de données de santé au sens du RGPD [règlement européen relatif à la protection des données, ndlr] et c'est un non-sens juridique de considérer le contraire. La simple réponse à la question 'la personne a-t-elle eu un rendez-vous vaccinal' est une donnée de santé".

"Les parties ont également été stupéfaites de voir que l'ensemble des éléments techniques sur le chiffrement n'ont absolument pas été mentionnés dans l'ordonnance, alors même que cela avait donné lieu à 45 minutes d'échanges pendant l'audience et que plusieurs articles de presse ont relayé la question du chiffrement, ou non, chez Doctolib et l'accès en clair aux données de santé", a poursuivi Me Alibert.

"Les éléments techniques sont le dernier rempart quand les éléments contractuels sont insuffisants."

Les parties ont rappelé que les demandes fondées sur la base du FISA [Foreign Intelligence Surveillance Act] et de l'Executive Order 12333 "sont des demandes qui peuvent contraindre Amazon à passer sous silence cette 'collecte en vrac' des données de santé". "Cette garantie juridique additionnelle serait insuffisante et ne garantirait nullement la préservation des données de santé."

Par ailleurs, les requérants se sont dits "sidérés" de l'absence de saisine de la Cnil "martelée à plusieurs reprises", a rapporté Me Alibert.

"Au regard des enjeux importants et des échanges sur les aspects techniques, marqués par un désaccord entre les deux parties, il nous semblait essentiel que la Cnil puisse être saisie", a expliqué le conseil des requérants.

"Les parties n'entendent pas se satisfaire de cette décision et entendent poursuivre des actions", a-t-elle prévenu.

Egalement interrogé par TICsanté lundi 15 mars, Adrien Parrot, président d'Interhop a confié avoir été "sidéré" à la lecture de la décision.

"Nous ne pensions pas que la justice pouvait ainsi remettre en cause le secret médical. Pendant l'audience, tout le monde était d'accord pour dire que les données de rendez-vous pour la vaccination sont des données sensibles qui doivent être protégées comme telles. Nous sommes surpris par ce revirement."

Pour le président d'Interhop, si la définition des données de santé dans le RGPD est "vaste", c'est "précisément pour être protectrice des droits des personnes". Il a dénoncé une "dérive" et déploré cette "distinction" entre les spécialités de santé, qui définissent si des informations sur un rendez-vous médical sont des données de santé ou non.

Concernant l'absence de saisine de la Cnil dans le cadre de cette procédure, Adrien Parrot s'est dit "étonné qu'un avis indépendant n'ait pas été demandé", notamment sur les aspects techniques de l'affaire.

"Nous n'avons pas envie de nous arrêter là, surtout au regard de l'empiétement du RGPD et l'attaque faite au secret médical. Nous nous donnons un peu de temps pour savoir ce que nous allons faire", a-t-il fait savoir.

Wassinia Zirar
Wassinia.Zirar@apmnews.com

http://www.computer-engineering.fr/

Politique

Covid-19: un certificat sanitaire disponible le 15 juin dans toute l'Union Européenne (Thierry Breton)

PARIS (TICsanté) - Un certificat sanitaire sera disponible dans toute l'Union Européenne (UE) à partir du 15 juin, a indiqué le 28 mars le commissaire européen chargé de l'industrie et pilote d'une "task force" sur la production de vaccins contre le Covid-19, Thierry Breton, lors du Grand jury RTL-Le Figaro-LCI.

0 137

Acteurs

Le GIE Sesam-Vitale détaille la feuille de route de l'application carte Vitale

LE MANS (TICsanté) - Le groupement d'intérêt économique (GIE) Sesam-Vitale a détaillé la feuille de route de l'application carte Vitale, anciennement appelée e-carte Vitale, pour les établissements de santé et professionnels libéraux, le 30 mars lors d'une conférence en ligne destinée aux éditeurs, à laquelle TICsanté a pu assister.

0 200

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
1 + 5 =
http://www.canyon.fr/
https://mailchi.mp/groupepsih.com/hospivision-offre-resah

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • L'UniversitĂ© d'Ă©tĂ© de la e-santĂ© 2021

    Du 22/06/2021 au 23/06/2021

  • SIDO 2021

    Du 22/09/2021 au 23/09/2021

https://www.santexpo.com/exposer/participer-au-salon/?utm_campaign=TICSANTE&utm_source=SW&utm_medium=BAN&utm_salon=SE