cnil

Aux yeux du gendarme des données, le fichier Contact COVID, qui recueille diverses informations sur les cas contact, ne respecte pas le Règlement général sur la protection des données, le fameux RPGD.

La Commission nationale de l'informatique et des libertés (CNIL) a rendu public, jeudi, son troisième avis adressé au Parlement après avoir effectué plusieurs dizaines de contrôles, depuis le mois de mai 2020, sur les différents dispositifs visant à lutter contre la Covid-19. Cinq outils sont actuellement utilisés par l'État français, dont le plus connu n'est autre que la désormais célèbre application mobile TousAntiCovid. Mais un seul d'entre eux a particulièrement retenu l'attention de la CNIL. Il s'agit du fichier Contact COVID, mis en œuvre par la Caisse nationale d'Assurance Maladie (CNAM), qui n'entre pas dans les clous du RGPD.

Des disparités chez l'une des deux agences régionales de santé contrôlée

Contact COVID, un fichier créé en 2020 et censé être temporaire, regroupe des informations sur les cas contact et les chaînes de contamination. Le dispositif vise à détecter les contacts à trois niveaux différents : les médecins de ville, établissements de santé et centres de santé ; le personnel habilité de l'Assurance Maladie ; et les agences régionales de santé (ARS).

Et justement, les pratiques de deux ARS ont mis la puce à l'oreille de la CNIL, qui avait procédé à de nouveaux contrôles entre janvier et avril 2021, sur la base de l'utilisation des données rattachées au fichier par les ARS, dans le cadre de leur mission de suivi de contacts.

Si des efforts ont été faits entre certains contrôles et après un rappel à l'ordre du ministère des Solidarités et de la Santé, notamment avec le recours à un hébergeur de données de santé pour l'une des deux ARS, la CNIL a soulevé de nombreuses disparités chez la seconde. L'autorité administrative indépendante indique avoir relevé « plusieurs manquements dans les pratiques d'une des deux ARS ».

Des manquements sur la durée de conservation des données et l'information des personnes concernées

Le premier reproche fait à cette ARS réside dans la durée de conservation des données relatives au suivi des patients zéro ou des contacts, jugée « excessive » par la CNIL. L'autorité a constaté que l'ARS visée ne procédait pas, au moment du contrôle, à la purge des données enregistrées sur le serveur de fichiers interne dans le temps imparti. Normalement, elle est censée le faire à l'issue d'un délai de trois mois.

Le second manquement pointé du doigt par la CNIL, c'est celui de l'information déficiente des personnes concernées. Ici, l'ARS contrôlée n'a en effet délivré aucun document d'information (que son support soit papier ou numérique) aux citoyens dont les données sont traitées dans un cadre de niveau 3, celui du contact tracing.

Enfin, la CNIL reproche à cette agence régionale de ne pas avoir procédé à une analyse d'impact relative à la protection des données, ou AIPD. Cette étape constitue pourtant une obligation légale, dès lors que les fichiers sont mis en œuvre pour répondre à une alerte sanitaire.

La présidente de la CNIL, Marie-Laure Denis, a décidé de mettre en demeure l'ARS. Celle-ci a désormais deux mois (à compter de la décision du 27 mai 2021) pour se conformer au RGPD. Le gendarme des données rappelle à cet effet qu'il s'agit de la seconde mise en demeure adressée à une ARS pour une mauvaise gestion des systèmes d'information en temps de pandémie.

TousAntiCovid Carnet

Pas de nouveau contrôle de TousAntiCovid depuis novembre dernier

En ce qui concerne les autres dispositifs, TousAntiCovid, l'application de suivi de contacts basée sur le volontariat, a récemment embarqué de nouvelles fonctionnalités prises en compte par la CNIL, comme le dispositif d'enregistrement numérique. Le carnet numérique (TousAntiCovid Carnet), qui permet de présenter depuis son smartphone les certificats de vaccination ou de résultats de tests de dépistage, reste la grande nouveauté de ces derniers mois. La CNIL n'a en tout cas plus réalisé de contrôle de l'application depuis le mois de novembre 2020. Elle indique toutefois que de nouvelles vérifications sont prévues. L'institution devrait alors juger de la conformité en matière de protection des données de ces nouvelles fonctionnalités.

Concernant le fichier Quarantaine et Isolement, qui se limitait à deux aéroports, la CNIL dit rester vigilante. Mis en place le 12 mai dernier, il assure le suivi et le contrôle du respect des mesures de quarantaine ou d'isolement (comme son nom l'indique) lors de l'arrivée sur le territoire national de personnes provenant d'un pays où l'on considère l'épidémie comme active.

La CNIL, qui avait adressé des remarques à l'encontre du fichier SI-DEP (Système d'information de dépistage) qui centralise les résultats des tests de dépistage de la Covid-19 réalisés en laboratoires ou pharmacies, a cette fois donné son feu vert.

Enfin, le gendarme des données était invité à se prononcer sur le fichier VACCIN COVID, qui met en œuvre le suivi et le pilotage des campagnes vaccinales contre la Covid-19. Ce fichier, géré par la Direction générale de la Santé et la Caisse nationale d'Assurance maladie, a été salué par la CNIL, qui apprécie que les données de traitement soient bien chiffrées et que l'accès au téléservice nécessite une authentification forte. L'autorité estime aussi que les patients se voient remettre des informations claires et complètes dans les centres de vaccination. Ce fichier était sensible puisque manipulé par les professionnels de santé, mais aussi les personnels administratifs.

La CNIL promet de poursuivre les contrôles tout au long de la période d'utilisation des fichiers. Elle s'affairera notamment à vérifier la suppression effective des données.

Source : CNIL