Le Quotidien du 2 décembre 2021 : Données personnelles

[Brèves] Publication du quatrième avis de la CNIL adressé au Parlement sur les conditions de mise en œuvre des dispositifs accompagnant la lutte contre la Covid-19

Réf. : CNIL, 21 octobre 2021, délibération n° 2021-139 (N° Lexbase : X0162CNC)

Lecture: 10 min

N9632BYE

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Publication du quatrième avis de la CNIL adressé au Parlement sur les conditions de mise en œuvre des dispositifs accompagnant la lutte contre la Covid-19. Lire en ligne : https://www.lexbase.fr/article-juridique/75038745-brevespublicationduquatriemeavisdelacniladresseauparlementsurlesconditionsdemiseenu
Copier

par Marie-Lou Hardouin-Ayrinhac

le 01 Décembre 2021

► À la suite de ses précédents avis et de ses 42 contrôles, la CNIL fait un nouveau bilan de ses actions concernant les systèmes et dispositifs mis en place par le Gouvernement depuis 18 mois pour lutter contre l’épidémie de Covid-19.

Contexte. En raison de la crise sanitaire qui perdure depuis mars 2020, la CNIL a été amenée à se prononcer à plusieurs reprises et en urgence, sur la mise en œuvre et l’évolution des traitements de données personnelles créés pour lutter contre l’épidémie.

Elle a joué un rôle essentiel dans l’encadrement normatif de ces dispositifs :

  • en amont, en se prononçant, à l’occasion de demandes d’avis, sur l’évolution des systèmes ;
  • en aval , en effectuant de nombreuses opérations de contrôle.

Par son action, la CNIL a également activement participé à éclairer les débats parlementaires autour des enjeux fondamentaux liés au respect de la vie privée et des données personnelles.

Concernant le fichier « SI-DEP ». Pour rappel, le fichier « SI-DEP » (système d’information de dépistage) est un système d’information national mis en œuvre par le ministère des Solidarités et de la Santé qui permet la centralisation des résultats des tests de dépistage de la Covid-19 réalisés par des laboratoires publics ou privés et certains professionnels de santé habilités, comme les pharmaciens.

La CNIL relève que ce fichier n’a pas connu d’évolution depuis la dernière campagne de contrôle. Elle n’a ainsi pas effectué de nouvelles vérifications, mais reste en contact régulier avec les équipes en charge de sa mise en œuvre.

Elle relève par ailleurs que les observations formulées dans son dernier avis sur le décret encadrant le fichier ont été suivies. Les évolutions mises en place concernant l’alimentation de la base pseudonymisée « SI-DEP » (constituée par la Caisse nationale d’assurance maladie (CNAM) pour la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus) ont permis, notamment, d’améliorer la sécurité du dispositif.

Enfin, la CNIL a effectué des vérifications concernant une violation de données subie par l’AP-HP en août 2021 et portant sur des données issues de « SI-DEP ». L’analyse des éléments recueillis est en cours.

Concernant le fichier « Contact Covid » et le suivi des cas contacts. Pour mémoire, le fichier « Contact Covid », mis en œuvre par la CNAM, recueille des informations sur les cas contacts et les chaînes de contamination. Il vise à détecter les cas contacts à trois niveaux différents :

  • les médecins de ville/établissements de santé/centres de santé ;
  • le personnel habilité de l’assurance maladie ;
  • les agences régionales de santé (ARS).

Depuis la publication de son troisième avis, la CNIL a réalisé plusieurs contrôles sur des dispositifs de suivi. Elle a ainsi constaté diverses mauvaises pratiques :

  • une conservation trop longue des données de santé des personnes dans le dispositif « Covidom Covisan » (dispositif permettant un suivi médical à domicile ou un accompagnement à l’isolement) ;
  • une information incomplète des patients ;
  • l’absence de réalisation d’une analyse d’impact relative à la protection des données de la part de l’ARS pour le dispositif « Contact Covid ».

En conséquence, la présidente de la CNIL a adressé des observations aux responsables de traitement concernés afin qu’ils prennent les mesures nécessaires. Parallèlement, elle a, de nouveau, alerté le ministère des Solidarités et de la Santé sur les mauvaises pratiques relevées.

Concernant l’application « TousAntiCovid ». Pour rappel, l'application « TousAntiCovid » (anciennement dénommée « StopCovid ») est une application mobile de suivi de contacts, basée sur le volontariat des personnes et utilisant la technologie Bluetooth. Mise à disposition par le Gouvernement, elle permet d’alerter les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué ou dépisté positif à la Covid-19. L’application a progressivement été enrichie et elle fournit désormais également des informations factuelles et sanitaires sur l’épidémie.

Plusieurs contrôles de l’application « TousAntiCovid » et des organismes impliqués dans sa mise en œuvre ont été réalisés en juillet et en septembre 2021. Les contrôles ont révélé l’existence de transferts hors Union européenne lors de la conversion d’un certificat au format européen. Une fois alerté par la CNIL sur cette situation, le ministère des Solidarités et de la Santé a toutefois immédiatement procédé aux aménagements nécessaires pour mettre fin à cette transmission.

Sur la seconde fonctionnalité « TousAntiCovid-Signal », la CNIL a mis en évidence plusieurs insuffisances en matière de protection des données, telles que l’absence d’anonymisation des données d’utilisations. La CNIL note néanmoins que le ministère des Solidarités et de la Santé a mis en place de nouvelles modalités permettant de réduire le risque d’exploitation malveillante des données collectées.

Concernant le fichier « Vaccin Covid ». Pour mémoire, le fichier « Vaccin Covid », géré conjointement par la Direction générale de la Santé et de la CNAM a pour objectif la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre la Covid-19. Il comprend des informations sur les personnes invitées à être vaccinées ou déjà vaccinées afin notamment d’organiser la campagne de vaccination, le suivi et l’approvisionnement en vaccins et consommables (seringues, etc.), et la réalisation de recherches et du suivi de pharmacovigilance. Ce fichier n’a pas vocation à s’étendre à d’autres vaccinations que celle contre la Covid-19.

La CNIL s’est prononcée à plusieurs reprises sur les modifications apportées au système d’information « Vaccin Covid », telles que l’accès à la liste des professionnels de santé non vaccinés soumis à l’obligation vaccinale par les ARS. Elle a rappelé à cette occasion que seules les ARS pourraient être destinataires des données relatives au statut vaccinal de ces professionnels, compte tenu du caractère particulièrement sensible de ces informations. La CNIL a également insisté sur la nécessité d’informer les professionnels de l’utilisation du Fichier national des professionnels de santé afin de contrôler leur statut vaccinal.

De plus, la CNIL s’est prononcée sur la création, à destination des médecins traitants et de certains personnels de la CNAM, de listes de patients non vaccinés. La CNIL a rappelé qu’elle n’est en principe pas favorable à la diffusion de ces listes, même si elle estime que ce dispositif ne porte pas atteinte au principe du secret médical : ces informations ne seraient communiquées, s’agissant des médecins traitants, qu’à leur demande.

Des contrôles ont été effectués, notamment dans des centres de vaccination en Île-de-France ainsi qu’à la direction du numérique du ministère des Solidarités et de la Santé. À la suite de plusieurs signalements qui ont révélé un défaut d’information des personnes candidates à la vaccination dans certains centres de vaccination, la CNIL a formulé des observations auprès du ministère des Solidarités et de la Santé ainsi que la CNAM, leur demandant de s’assurer que les personnes souhaitant se faire vacciner reçoivent une information claire et précise. 

Concernant le passe sanitaire « activités ». Pour rappel, le passe sanitaire « activités » est un dispositif au format papier ou numérique permettant d’accéder, en France, à certains lieux recevant du public. Pour être valide, le passe doit comporter une « preuve » sanitaire :

  • soit une attestation de vaccination (schéma vaccinal complet) ;
  • soit une preuve d’un test PCR, antigénique ou autotest négatif ;
  • soit un test montrant le rétablissement de la Covid-19.

Le passe sanitaire « voyages », au format européen, permet quant à lui le contrôle sanitaire aux frontières.

La CNIL s’est prononcée à plusieurs reprises sur les modalités de mise en œuvre du passe sanitaire, dont le champ d’application a été considérablement élargi afin d’inclure les activités du quotidien. Ainsi, elle a recommandé :

  • que les justificatifs puissent être présentés au format papier, afin de conserver le caractère volontaire de l’utilisation de l’application numérique « TousAntiCovid » ;
  • que les personnes autorisées à procéder aux vérifications ne devraient avoir accès qu’aux données d’identification et au résultat de validité du passe, et non à la nature du document ou aux autres données qu’il peut contenir.

Enfin, saisie dans le cadre d’une modification du décret encadrant les conditions de mise en œuvre du passe sanitaire, notamment dans l’objectif de lutter contre la fraude, la CNIL a invité le ministère à limiter expressément les finalités du dispositif envisagé et à prévoir une bonne information des personnes concernées, notamment sur les modalités de génération d’un nouveau passe.

Concernant l’application « TousAntiCovid Vérif ». Pour mémoire, l’application « TousAntiCovid Vérif » a été mise en place afin de vérifier la validité des passes sanitaires par des agents habilités.

Lorsqu’un passe sanitaire est scanné par l’application, seuls apparaissent le nom, prénom, la date de naissance ainsi que la validité (ou non) du passe.

La CNIL a effectué plusieurs contrôles de l’application et a constaté que les données des passes sanitaires vérifiés n’étaient pas conservées. Toutefois, la CNIL a relevé plusieurs dysfonctionnements (par exemple l’absence d’information des personnes sur le traitement des données dans certains lieux). La présidente de la CNIL a adressé un courrier aux organismes concernés les invitant à prendre les mesures nécessaires.

Une procédure de contrôle continue. La CNIL poursuivra ses contrôles tout au long de l’utilisation de ces fichiers, et ce jusqu’à la suppression des données qu’ils contiennent. Ces fichiers sont uniquement utilisés pour lutter contre l’épidémie de Covid-19 : en ce sens, elle effectuera une nouvelle campagne de contrôles auprès des organismes concernés portant sur la durée de conservation, la suppression et/ou l’anonymisation des données.

Enfin, la CNIL insiste sur la nécessité que les éléments qui permettent d’apprécier l’efficacité des traitements susmentionnés lui soient rapidement transmis, afin de continuer l’exercice de sa mission. En effet, malgré plusieurs demandes, une telle évaluation n’a, à ce jour, pas été transmise à la CNIL. À cet égard, elle tient à souligner que l’utilisation des dispositifs précités reste conditionnée à des garanties relatives à leur efficacité.

Les précédents avis trimestriels de la CNIL adressés au Parlement concernant les conditions de mise en œuvre des dispositifs accompagnant la lutte contre la Covid-19 :

  • CNIL, 10 septembre 2020, délibération n° 2020-087 (N° Lexbase : X1192CKD) ; 
  • CNIL, 14 janvier 2021, délibération n° 2021-004 (N° Lexbase : X4762CMC) ; lire M.-L. Hardouin-Ayrinhac, Publication du deuxième avis de la CNIL adressé au Parlement sur les conditions de mise en œuvre de « SI-DEP », « Contact Covid », « Vaccin Covid » et « TousAntiCovid », Lexbase Affaires, janvier 2021, n° 663 (N° Lexbase : N6196BY7). 
  • CNIL, 27 mai 2021, délibération n° 2021-062 (N° Lexbase : X9093CMQ) ; lire M.-L. Hardouin-Ayrinhac, Publication du troisième avis de la CNIL adressé au Parlement sur les conditions de mise en œuvre des dispositifs accompagnant la lutte contre la Covid-19, Lexbase Droit privé, juin 2021, n° 868 (N° Lexbase : N7813BYZ).

© Reproduction interdite, sauf autorisation écrite préalable

newsid:479632

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Cookies juridiques

Considérant en premier lieu que le site requiert le consentement de l'utilisateur pour l'usage des cookies; Considérant en second lieu qu'une navigation sans cookies, c'est comme naviguer sans boussole; Considérant enfin que lesdits cookies n'ont d'autre utilité que l'optimisation de votre expérience en ligne; Par ces motifs, la Cour vous invite à les autoriser pour votre propre confort en ligne.

En savoir plus