Déconfinement : l’avis de la CNIL sur le projet de décret encadrant les systèmes d’information mis en œuvre pour le suivi des malades du COVID-19

13 mai 2020

Le Gouvernement a prévu que le déconfinement, à compter du 11 mai, s’accompagne d’une politique nationale de dépistage du Covid-19 et d’enquêtes sanitaires. La CNIL s’est prononcée le 8 mai 2020, en urgence, sur un projet de décret encadrant les deux systèmes d’information, SI-DEP et Contact Covid, permettant la mise en place de cette politique sanitaire.

L’essentiel

  • La CNIL s’est prononcée le vendredi 8 mai 2020 sur un projet de décret encadrant deux fichiers, SI-DEP et Contact Covid. Ils seront utilisés dans le cadre du dépistage du Covid-19 et de la conduite des enquêtes sanitaires dont l’objectif est de déterminer qui a pu être contaminé par une personne testée positive.
  • La CNIL estime le dispositif conforme au RGPD si certaines garanties sont respectées. Elle relève que ces fichiers sont nécessaires à la mise en place de la politique sanitaire envisagée par le Gouvernement pour le déconfinement. Elle demande que cette nécessité soit régulièrement réévaluée.
  • Compte tenu de la sensibilité du dispositif, la CNIL a appelé à des garanties supplémentaires. Elle a demandé que le décret soit précisé sur plusieurs points, afin de minimiser les données, de limiter les accès aux traitements au strict nécessaire et de garantir les droits des personnes sur leurs données personnelles. Ces demandes ont été prises en compte par le décret paru ce matin au Journal officiel. Elle a également formulé une série de recommandations pour la mise en œuvre de ces systèmes d’information, notamment s’agissant de la sécurité du dispositif et de la responsabilisation des personnes accédant aux fichiers. 
  • La présidente de la CNIL a annoncé qu’elle diligenterait des contrôles dans les premières semaines suivant la mise en place de ces nouveaux fichiers.

 

Le contexte

Dans le cadre de la stratégie globale de « déconfinement progressif » mise en œuvre à compter du 11 mai, la loi de prorogation de l’état d’urgence sanitaire du même jour a autorisé la création temporaire de deux fichiers nationaux : le fichier SI-DEP et le fichier Contact Covid. Ils doivent permettre d’identifier les personnes infectées (« patients 0 »), les personnes qu’elles sont susceptibles d’avoir contaminées (« cas contact ») et les chaînes de contamination. Ils visent à assurer la prise en charge sanitaire et l’accompagnement des personnes atteintes du virus ou susceptibles de l’être car ayant été en contact avec elles, ainsi que la surveillance épidémiologique du virus. Ces fichiers comprendront des données de santé et d’autres données personnelles (identité, hébergement, déplacement, participation à des rassemblements, etc.). Elles pourront être consultées par un grand nombre d’acteurs, notamment par les enquêteurs sanitaires, le législateur ayant autorisé la levée du secret médical.

Le fichier SI-DEP centralisera notamment les résultats des tests au Covid-19, tandis que le fichier Contact Covid recueillera des informations sur les cas contact et les chaînes de contamination.

Des systèmes d’information conformes au RGPD, sous réserve de certaines garanties

La CNIL s’est prononcée en urgence, avant même l’adoption de la loi prorogeant l’état d’urgence sanitaire, sur le projet de décret encadrant les conditions de mise en œuvre de ces traitements. Dans le contexte exceptionnel de gestion de la crise sanitaire, elle estime le dispositif qui lui a été présenté globalement conforme au règlement général sur la protection des données (RGPD). Elle relève qu’en l’état des analyses scientifiques recueillies par le Gouvernement, le dispositif d’enquêtes sanitaires et de suivi épidémiologique envisagé est nécessaire au déconfinement. Elle constate qu’un certain nombre de garanties sont apportées par le projet du Gouvernement, telles que le caractère volontaire de la participation aux enquêtes, la limitation des données de santé traitées dans le cadre du dispositif ou encore le caractère temporaire de ce dernier.  

Cependant, elle a considéré nécessaire, dans son avis du 8 mai, que le projet de décret qui lui a été soumis soit précisé sur certains points, détaillés ci-après, et appelle à ce que soient prévues certaines garanties juridiques, techniques et organisationnelles, afin de protéger la vie privée des Français. Le décret paru le 12 mai a suivi les recommandations de la CNIL. Un certain nombre de préconisations complémentaires de la CNIL relèveront de la mise en œuvre du dispositif, telles que des mesures de sécurité relatives à la politique d’authentification par mots de passe ou à la traçabilité de certaines actions.

Les principales demandes de la CNIL

La CNIL appelle à une grande vigilance dès lors que des données de santé et des données touchant à certains aspects de la vie privée (identité, hébergement, profession, déplacements, personnes rencontrées, cohabitation, etc.) vont être enregistrées dans deux fichiers nationaux accessibles à un grand nombre de personnes.

  • La CNIL a demandé que le projet de décret soit précisé sur certains points, notamment pour encadrer plus précisément les données auxquelles aura accès chaque catégorie d’utilisateur des deux fichiers, selon sa fonction dans le dispositif sanitaire. Le décret paru le 12 mai procède à un tel encadrement. Il devra se traduire, dans la mesure du possible, par des mesures techniques limitant l’accès des utilisateurs à ce qui correspond à leurs besoins.
  • Elle a par ailleurs appelé à ce que le décret ne prévoie pas le recueil, sans autre précision, d’informations sur les « liens » existants entre un « patient 0 » et un « cas contact ». Le décret paru le 12 mai a supprimé cette mention et prévoit uniquement la collecte d’informations précises et circonscrites sur ce point (le fait de se connaître ou non, l’existence d’une cohabitation, la date du dernier contact).  
  • La CNIL appelle aussi à ce que les enquêteurs et les autres personnes (personnels des laboratoires d’analyse, médecins et autres professionnels de santé, pharmaciens, chercheurs, etc.) appelées à utiliser le fichier soient formés de façon adaptée, et qu’un dispositif de traçabilité des consultations soit mis en place de façon à repérer les abus et à pouvoir les sanctionner.
  • La CNIL a appelé à une réflexion plus fine sur les durées de conservation des données. Elle prend acte de ce que la loi du 11 mai 2020 a, postérieurement à sa délibération, apporté de fortes garanties sur ce point en limitant la conservation des données dans le système d’information à trois mois à compter de leur collecte.
  • La CNIL a également constaté que le projet du Gouvernement écartait pour l’essentiel le droit d’opposition, sauf pour permettre au « patient 0 » que son nom ne soit pas révélé à ses « cas contacts » et pour certaines transmissions de ses données pour des finalités de recherche. Elle a demandé que la restriction du droit d’opposition aux fichiers soit réduite au minimum et constate qu’un droit d’opposition a été ouvert par le décret aux « cas contacts » pour le traitement de leurs données dans Contact Covid. Les droits d’information, d’accès et de rectification seront également garantis.

Enfin, la CNIL a annoncé qu’elle contrôlera étroitement le dispositif. Un premier contrôle sera diligenté dans les premières semaines suivant son déploiement.