Le stockage de données de Doctolib sur des serveurs Amazon est licite

La société Doctolib, qui propose un service de prise de rendez-vous médicaux en ligne, héberge ses données sur les serveurs d’une filiale d’Amazon Web Services (AWS), société de droit états-unienne. Dans le cadre de la campagne de vaccination contre la covid-19, Doctolib a été désignée par le ministère des Solidarités et de la santé pour gérer les prises de rendez-vous y afférent. Le juge des référés du Conseil d’État a été saisi d’une demande de suspension de ce partenariat en ce qu’il méconnaîtrait le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD). Rejetant la demande, le Conseil d’État juge que les garanties apportées par Doctolib et son hébergeur sont suffisantes, après avoir rappelé les récentes évolutions qu’a apporté l’arrêt Schrems II en matière de transfert international de données à caractère personnel vers les États-Unis (CJUE 16 juill. 2020, aff. C-311/18, Dalloz actualité, 22 juill. 2020, obs. C. Crichton ; D. 2020. 2432, obs. C. Castets-Renard ; Dalloz IP/IT 2020. 640, obs. B. Bertrand et J. Sirinelli ; AJ Contrat 2020. 436, obs. T. Douville). L’arrêt rappelle les enjeux attachés à la dépendance américaine tout en les tempérant.

Une dépendance américaine supposément incompatible avec le droit de l’Union

Un transfert de données personnelles hors Union européenne doit, en l’absence d’une décision d’adéquation (RGPD, art. 45), être accompagné de garanties appropriées (RGPD, art. 46). En tout état de cause, ce transfert international de données suppose qu’un niveau de protection équivalent des personnes concernées soit assuré dans l’État destinataire des données, y incluant à la fois la protection accordée par le RGPD et à la fois celle de la Charte des droits fondamentaux de l’Union européenne.

Concernant les États-Unis, l’arrêt Schrems II (CJUE 16 juill. 2020, préc.) a invalidé le Privacy Shield, équivalent d’une décision...