Transferência de dados para uma nuvem estrangeira: a decisão Doctolib

CE, ref. ordem, 12 de Março de 2021, Doctolib, req. n° 450163 - Decisão sumária provisória

Na sua decisão Doctolib, o Conselho de Estado reconheceu a incompatibilidade da legislação dos EUA com a protecção de dados pessoais da UE

Em relação aos Estados Unidos, o acórdão Schrems II (CJEU 16 de Julho de 2020, processo C-311/18) invalidou o Privacy Shield, o equivalente a uma decisão de adequação, que permitiu às empresas a ele sujeitas exportarem dados pessoais para os Estados Unidos. A lei dos EUA permite às autoridades públicas acederem aos dados pessoais sem fornecer aos titulares dos dados vias de recurso eficazes.

A Doctolib, que oferece um serviço de marcação de consultas médicas online, aloja os seus dados nos servidores de uma subsidiária da Amazon Web Services (AWS), uma empresa constituída nos Estados Unidos da América. Como parte da campanha de vacinação contra a covid-19, Doctolib foi nomeada pelo Ministério da Solidariedade e Saúde para gerir as consultas relacionadas.

Foi pedido ao juiz interino do Conselho de Estado que suspendesse esta parceria com o fundamento de que ela iria ignorar o Regulamento Geral de Protecção de Dados (UE) 2016/679 de 27 de Abril de 2016 (GDPR).

O juiz rejeita nisso :

AWS Sarl, a subsidiária luxemburguesa da AWS Inc., é certificado como um "hospedeiro de dados de saúde". (CSP, art. L. 1111-8). Os dados estão alojados em centros localizados em França e Alemanha e não há nenhuma disposição no contrato para quaisquer transferências de dados para os EUA por razões técnicas. Uma vez que a AWS Sarl é uma subsidiária de uma empresa norte-americana, pode estar sujeita a um pedido de acesso por parte das autoridades públicas norte-americanas, de acordo com os requerentes.

Dados em questão. - O Conselho de Estado observa que "os dados em questão incluem dados de identificação pessoal e dados da nomeação mas nenhum dado de saúde sobre possíveis razões médicas para a elegibilidade para a vacinação", uma vez que os indivíduos só são obrigados a justificar a sua elegibilidade com uma declaração juramentada.

Período de Retenção. - Os dados " será abolida, o mais tardar, após um período de três meses a partir da data da marcação, e cada pessoa interessada que tenha criado uma conta na plataforma para efeitos de vacinação pode apagá-la directamente online.

Pedido de acesso pelas autoridades públicas dos EUA. - A fim de assegurar a sua relação, o contrato prevê queAWS terá de desafiar "qualquer aplicação que seja geral ou não esteja em conformidade com os regulamentos da UE ". Esta medida é acompanhada por um "mecanismo de segurança dos dados alojados pelo AWS por meio de um procedimento de encriptação com base num terceiro de confiança localizado em França a fim de impedir a leitura de dados por terceiros".

> O nível de protecção assim posto em prática pelas partes "não pode ser considerado como manifestamente insuficiente tendo em conta o risco de violação do RGPD".