Les questions écrites
Doctolib et nos données de santé
incompatibilité du RGPD avec le droit américain -
Par Laurence Cohen / 24 juin 2021Question n° 23553 adressée à M. le ministre des solidarités et de la santé
Mme Laurence Cohen attire l’attention de M. le ministre des solidarités et de la santé sur les risques concernant les données personnelles de santé gérées par des sociétés privées.
En janvier 2021, plutôt que de mettre en place une plateforme publique, le Gouvernement a passé des accords avec les entreprises Doctolib, Maiia et KelDoc, pour gérer l’accès aux rendez-vous de vaccination. Ainsi, Doctolib gère 90 % des rendez-vous dans les centres de vaccination et compte plus de 50 millions d’inscrits et d’inscrites.
En tant qu’entreprise française, Doctolib doit respecter le règlement général de protection des données (RGPD), mais, pour plusieurs de ses services, notamment la gestion de données et la consultation vidéo, elle sous-traite à des sociétés états-uniennes comme Amazon Web Service ou Cloudflare, qui sont soumises au droit américain, incompatible avec le RGPD. Ainsi, si le gouvernement américain l’exigeait, ces sociétés pourraient lui fournir ces données, sans que l’autorisation d’un juge soit nécessaire.
L’association InterHop, le syndicat de la médecine générale, la Ligue des droits de l’homme ont demandé une rupture du contrat entre Doctolib et le ministère de la santé, qui n’a pas abouti. Ces structures remettent en cause l’efficacité du chiffrement de bout en bout de la plateforme et dénoncent l’accessibilité des données de santé pour les sous-traitants de Doctolib, pour le gouvernement américain et pour n’importe quel hacker.
Aussi, elle lui demande quelles mesures il compte mettre en place pour mieux protéger les données de santé.