Article
Les dispositifs mis en place pour lutter contre la propagation de l’épidémie (fichiers Sidep et Contact Covid, application Stopcovid) sont, « pour l’essentiel, respectueux des données personnelles », estime la Cnil (Commission nationale de l'informatique et des libertés) dans un communiqué du 14 septembre. Et d’ajouter que la plupart de ses préconisations ont été prises en compte.
Adressé au parlement, cet avis trimestriel de la Cnil a toutefois constaté « certaines mauvaises pratiques » et s’est rapprochée des organismes en question afin qu’ils se mettent en conformité dans les meilleurs délais. Elle demande aussi que des indicateurs soient mis en place afin d’évaluer plus précisément la contribution de ces dispositifs à la gestion de la crise sanitaire. Elle aimerait en effet « disposer d'indicateurs de performance des systèmes d’information déployés, afin de pouvoir mesurer leur efficacité au regard des objectifs poursuivis », comme le demande le comité de contrôle et de liaison de Covid-19.
Caractère temporaire des dispositifs
La Cnil regrette également que le rapport que le gouvernement a adressé au parlement sur l’application de ces mesures « ne fasse pas état d’éléments plus précis justifiant de la nécessité de maintenir ces traitements au regard du contexte sanitaire actuel ». Et de rappeler le « caractère temporaire de ces dispositifs », dont le terme de mise en œuvre est fixé à six mois à compter de la fin de l’état d’urgence sanitaire. Cela signifie que toute prorogation de ces systèmes d’information au-delà du 11 janvier 2021 ne pourra donc être autorisée que par la loi.
Dans cet avis, la Cnil s’est également prononcée sur les conditions opérationnelles de mise en œuvre des traitements (lire l’encadré ci-dessous pour Sidep et Stopcovid). Concernant le fichier Contact Covid mis en œuvre par la Cnam pour recueillir des informations sur les cas contact et les chaînes de contamination (1), les organismes contrôlés « ont mené des actions pour prendre en compte les exigences liées à la protection des données personnelles et à la collecte de données de santé », observe la Cnil qui a cependant constaté l’existence de certaines pratiques insatisfaisantes concernant notamment :
- la délivrance de l’information aux personnes concernées, qui est parfois incomplète ;
- l’exercice des droits des personnes, qui ne fait pas l’objet d’une procédure formalisée dans certaines ARS ;
- la sécurité des transmissions des données entre certains organismes ;
- l’insuffisance, dans certains cas, des mécanismes de nature à garantir une conservation des données limitée à la durée prévue par les textes.
L’Assurance maladie n’a pas tardé à répondre à ses critiques. Elle entend « améliorer encore ses procédures, en lien avec les autres acteurs mobilisés dans le travail de traçage », pour tenir compte rapidement de ces remarques, précise un communiqué daté du 14 septembre.
Un effort important effectué
La Cnam précise qu’elle a formé et sensibilisé ses collaborateurs mobilisés au sein des plateformes de « contact tracing » afin qu’ils rappellent à chaque personne contactée les droits dont elle dispose à l’égard de ses données personnelles.
La Cnil estime aussi qu’il n’est pas souhaitable que les établissements de santé et les ARS ou l’Assurance maladie échangent dans certains cas par messagerie électronique « simple » des données nécessaires à leur mission de suivi des contacts. Réponse de la Cnam ? Les contrôles effectués par la Cnil se sont déroulés en juin, au début de la mise en œuvre d’un dispositif qui a depuis évolué. Et d’ajouter que « les établissements de santé n’étaient notamment pas tous dotés des outils leur permettant d’accéder au système d’information sécurisé Contact Covid par un portail dédié ».
Par ailleurs, selon la Cnam, « un effort important a été effectué pour équiper les établissements de santé et les ARS de comptes sécurisés leur permettant d’accéder directement à l’outil », sans avoir à adresser de messages à l’Assurance maladie par d’autres canaux. Près de 800 comptes ont ainsi été créés pour les agents des ARS et plus de 900 pour les médecins des établissements de santé et médico-sociaux.
Une seconde phase de contrôles débutera avant la fin du mois de septembre 2020. Leurs résultats seront communiqués dans le prochain avis public de la CNIL sur les traitements concernés.
1 : les enquêtes sanitaires sont menées à trois niveaux différents (médecins de ville/établissements de santé/centres de santé (niveau 1), personnel habilité de l’assurance maladie (niveau 2), agences régionales de santé (ARS) (niveau 3)).
| Sidep et Stopcovid : avis positif Mis en œuvre par le ministère de la Santé pour centraliser les résultats des tests au SARS-CoV-2 réalisés par des laboratoires publics ou privés, le fichier SIDEP a fait l’objet de vérifications auprès de l’AP-HP qui gère sa mise en œuvre opérationnelle. La Cnil a constaté à ce stade « un niveau global de conformité satisfaisant ». Concernant la sécurité des données, le niveau atteint est jugé globalement satisfaisant. Quant au fonctionnement de l’application mobile StopCovid, il respecte désormais pour l’essentiel les dispositions applicables relatives à la protection des données personnelles. Plusieurs manquements aux dispositions du RGPD et de la loi Informatique et Libertés avaient pourtant été relevés, mais « les éléments de réponse apportés par le ministère au cours du mois d’août ont permis de démontrer que les manquements constatés lors du contrôle avaient cessé ». |