La CNIL publie son deuxième avis adressé au Parlement sur les conditions de mise en œuvre de SI-DEP, Contact Covid, Vaccin COVID et TousAntiCovid

20 janvier 2021

Pour lutter contre l’épidémie de COVID-19, le Gouvernement a mis en place les fichiers SI-DEP et Contact Covid, déployé TousAntiCovid, et mis en œuvre le système d’information Vaccin COVID. La CNIL fait un bilan intermédiaire de ces systèmes, à la lumière des avis rendus et des 25 contrôles réalisés.

L’essentiel

  • La CNIL constate que des modifications ont été apportées aux dispositifs mis en place dans le cadre de la crise sanitaire pour les mettre en conformité avec la législation sur la protection des données personnelles. Ils sont, pour l’essentiel, respectueux des données personnelles.
  • Elle a toutefois constaté de nouvelles pratiques contraires au RGPD et s’est rapprochée des organismes en question afin qu’ils se mettent en conformité dans les meilleurs délais ; une mise en demeure a notamment été prise à l’encontre d’une Agence régionale de santé (ARS) dans le cadre de Contact COVID.
  • S’agissant de l’utilité et de l’efficacité de l’application TousAntiCovid sur la stratégie sanitaire globale, la CNIL estime qu’il est indispensable de développer des initiatives et des indicateurs permettant d’évaluer pleinement l’effectivité sanitaire du dispositif dans le cadre de la lutte contre l’épidémie de COVID-19.
  • Une troisième phase de contrôles débutera en janvier 2021. Leurs résultats seront communiqués dans le prochain avis public de la CNIL sur les traitements concernés.

 

Le contexte

Dans le cadre de la lutte contre la propagation de l’épidémie de COVID-19, quatre traitements de données ont été déployés : les fichiers SI-DEP et Contact COVID, auxquels s’ajoutent le déploiement de l’application mobile TousAntiCovid et plus récemment la mise en œuvre du système d’information Vaccin COVID pour la gestion et le suivi des vaccinations contre la COVID-19.

Le législateur a souhaité encadrer ces traitements, comprenant de nombreuses données personnelles, y compris des données de santé. Il a ainsi instauré un Comité de contrôle et de liaison COVID-19 et prévu que le Gouvernement adresse au Parlement un rapport détaillé de l’application de ces mesures tous les trois mois à compter de la promulgation de la loi, jusqu’à la disparition des systèmes d’information. Un avis public de la CNIL est également rendu sur le fondement de l’article 11 de la loi du 11 mai 2020 prorogeant l'état d'urgence sanitaire.

Un premier avis de la CNIL a été adressé au Parlement le 10 septembre 2020. Il s’agit ici du deuxième avis de la CNIL sur le fonctionnement de ces systèmes d’information.

L’avis de la CNIL 

Concernant le fichier SI-DEP 

Rappel : le fichier SIDEP est un système d’information national mis en œuvre par le ministère des Solidarités et de la Santé qui permet la centralisation des résultats des tests au SARS-CoV-2 réalisés par des laboratoires publics ou privés et certains professionnels de santé habilités.

La CNIL a constaté que les remarques effectuées à l’issue de la première phase de contrôle en septembre 2020 ont été prises en compte. Elle a également constaté un niveau de conformité satisfaisant s’agissant du respect des durées de conservation des données.

En l’état actuel des vérifications, la CNIL considère que les conditions de mise en œuvre du fichier SI-DEP n’appellent pas de mesure particulière de sa part.

Concernant le fichier Contact COVID 

Rappel : le traitement Contact COVID mis en œuvre par la Caisse nationale d’assurance maladie (CNAM) recueille des informations sur les cas contact et les chaînes de contamination. Il vise à détecter les cas contacts à trois niveaux différents, médecins de ville/établissements de santé/centres de santé (niveau 1), personnel habilité de l’assurance maladie (niveau 2), Agence régionale de santé (ARS) (niveau 3).

Les traitements de la CNAM dans le cadre de Contact COVID 

La CNIL a constaté le déploiement d’un plan d’action qui a amélioré les modalités de mise en œuvre du traitement et corrigé les mauvaises pratiques qui avaient été relevées dans son précédent avis.

Elle a toutefois constaté certaines mauvaises pratiques résiduelles relatives aux conditions d’authentification, à la traçabilité et à la transmission de données personnelles à un tiers non habilité à héberger des données de santé.

La présidente de la CNIL a décidé d’adresser un courrier rappelant la CNAM à ses obligations et faisant état des manquements relevés et des mesures à mobiliser pour y remédier.

Les traitements des ARS dans le cadre de Contact COVID

La CNIL a relevé de nombreuses disparités concernant les pratiques des ARS dans le cadre de l’activité de suivi des contacts (« contact tracing ») de niveau 3.

Si elle a pu constater la mise en œuvre par une ARS de nombreuses mesures pour garantir de façon optimale le respect des données personnelles, elle a également relevé plusieurs manquements dans une autre ARS dans la gestion des données, notamment concernant leur durée de conservation et leur sécurité.

Ces constatations ont conduit la Présidente de la CNIL à mettre en demeure cette ARS de se conformer aux exigences du RGPD dans un délai d’un mois.

La CNIL a également souhaité faire part de recommandations à l’ensemble des ARS s’agissant de pratiques contraires au RGPD relevées lors des contrôles et précise qu’un courrier de sensibilisation leur a été adressé afin de leur rappeler les mesures nécessaires à la protection des données des personnes concernées issues de l’outil Contact COVID.

Enfin, un courrier a été envoyé au ministère des Solidarités et de la Santé afin de l’alerter sur les constatations effectuées.

Concernant l’application mobile TOUSANTICOVID 

Rappel : TousAntiCovid (anciennement StopCovid), est une application mobile de suivi de contacts, basée sur le volontariat des personnes et utilisant la technologie Bluetooth. Mise à disposition par le Gouvernement, elle permet d’alerter les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué ou dépisté positif à la COVID-19.

À la suite des contrôles de juin 2020, une mise en demeure, rendue publique, avait été prononcée à l’encontre du ministère des Solidarités et de la Santé. Le ministère s’étant mis en conformité dans le délai imparti, la Présidente de la CNIL a prononcé la clôture de cette mise en demeure le 3 septembre 2020.

Le 22 octobre 2020, le ministère des Solidarités et de la Santé a publié une nouvelle version de l’application StopCovid, dénommée TousAntiCovid. La CNIL a effectué de nouvelles vérifications sur cette application qui ont notamment porté sur la pérennité des mesures suite à la mise en demeure et sur la conformité des nouvelles fonctionnalités de l’application.

En effet, l’application propose désormais de nouvelles fonctionnalités telles que l’accès à des informations factuelles et sanitaires sur l’épidémie et un accès facilité à l’attestation dérogatoire de déplacement.

Il a été constaté qu’aucune des données traitées dans le cadre de ces nouvelles fonctionnalités ne fait l’objet d’un traitement sur le serveur central, dans une logique de minimisation des données et de protection des données dès la conception et par défaut. 

Au cours des contrôles du mois de novembre 2020, le ministère des Solidarités et de la Santé a indiqué que le développement de nouvelles fonctionnalités était à l’étude. La CNIL rappelle qu’elle peut diligenter de nouveaux contrôles, si nécessaire, et qu’elle devra se prononcer, à nouveau, si le traitement de données venait à faire l’objet de modifications substantielles.  

Elle a d’ailleurs rendu un avis en urgence le 17 décembre 2020 sur un projet de décret modifiant le décret n° 2021-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid », qui ne pourra être publié qu’après publication du décret précité.

S’agissant de l’utilité et de l’efficacité de l’application TousAntiCovid, la CNIL rappelle qu’elle avait demandé que l’impact effectif du dispositif sur la stratégie sanitaire globale soit étudié et documenté par le Gouvernement pendant toute sa période d’utilisation.

Dans son avis, la CNIL prend note en particulier :

  • de l’augmentation du nombre de téléchargements de l’application et du nombre de personnes notifiées ;
  • de l’ajout de fonctionnalités utiles à la gestion de l’épidémie et d’une plus grande adhésion de la population, susceptibles de participer au renforcement de son utilité sanitaire, sous réserve de son activation ;    
  • de la réalisation de deux études portant sur l’efficacité de l’application dans la stratégie sanitaire globale.

La CNIL estime qu’il est indispensable de développer des initiatives et des indicateurs permettant d’évaluer pleinement l’effectivité sanitaire du dispositif dans le cadre de la lutte contre l’épidémie de COVID-19.

Autres contrôles :  les cahiers de rappel

La CNIL rappelle qu’elle procède également à des vérifications sur des fichiers du quotidien liés au suivi de de la pandémie. Elle a ainsi procédé à des contrôles concernant la tenue de « cahiers de rappel », mis en œuvre à partir d’octobre 2020 par certains établissements de restauration et de débits de boissons situés dans les zones d’alerte maximale.

Plusieurs manquements au RGPD ont été constatés, notamment la réutilisation des données collectées à des fins de prospection. Les organismes concernés ayant indiqué avoir supprimé les données et ne pas les avoir utilisées des fins commerciales, la CNIL a décidé de les rappeler à l’ordre tout en les invitant à se mettre en conformité à l’avenir dans l’hypothèse où la tenue de « cahiers de rappel » serait de nouveau nécessaire. 

Une procédure de contrôle continue 

La CNIL souligne que les contrôles se poursuivront tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent.

Elle précise que des contrôles seront conduits dans les prochaines semaines pour s’assurer des conditions de mise en œuvre du traitement Vaccin COVID et que la troisième phase de contrôles débutera dès janvier 2021. Le prochain avis public de la CNIL fera état de leurs résultats.

Enfin, elle annonce enfin qu’une ultime vague de contrôles sera effectuée à l’issue de la mise en œuvre des traitements afin de vérifier notamment la suppression effective des données.

Texte reference

Textes de référence