Pour lutter contre l’épidémie de Covid-19, le gouvernement a mis en place les fichiers SI-DEP et Contact Covid, déployé TousAntiCovid, et mis en œuvre le système d’information Vaccin Covid. La CNIL vient de publier un bilan intermédiaire de ces systèmes, à la lumière des avis rendus et des 25 contrôles réalisés.
Rappelons que le fichier SIDEP est un système d’information national mis en œuvre par le ministère des Solidarités et de la Santé qui permet la centralisation des résultats des tests au SARS-CoV-2 réalisés par des laboratoires publics ou privés et certains professionnels de santé habilités. Le fichier Contact Covid mis en œuvre par la Caisse nationale d’assurance maladie (CNAM) recueille quant à lui des informations sur les cas contact et les chaînes de contamination. L’application mobile TousAntiCovid est une application de suivi de contacts, basée sur le volontariat des personnes et utilisant la technologie Bluetooth.
La CNIL constate que des modifications ont été apportées aux dispositifs mis en place dans le cadre de la crise sanitaire « pour les mettre en conformité avec la législation sur la protection des données personnelles. Ils sont, pour l’essentiel, respectueux des données personnelles. »
RGPD : une Agence Régionale de Santé mise en demeure
L’autorité a toutefois constaté de nouvelles pratiques « contraires au RGPD » et s’est rapprochée des organismes en question afin qu’ils se mettent en conformité dans les meilleurs délais. Elle indique qu’une mise en demeure a notamment été prise à l’encontre d’une Agence régionale de santé (ARS) dans le cadre de Contact COVID. La Cnil a relevé plusieurs manquements dans la gestion des données, notamment concernant leur durée de conservation et leur sécurité. Ces constatations ont conduit la présidente de la CNIL à mettre en demeure cette ARS de se conformer aux exigences du RGPD dans un délai d’un mois.
Application TousAntiCovid : de nouveaux contrôles, si nécessaire
S’agissant de l’utilité et de l’efficacité de l’application TousAntiCovid sur la stratégie sanitaire globale, la CNIL estime qu’il est « indispensable de développer des initiatives et des indicateurs permettant d’évaluer pleinement l’effectivité sanitaire du dispositif dans le cadre de la lutte contre l’épidémie de Covid-19« . Au cours des contrôles de la CNIL du mois de novembre 2020, le ministère des Solidarités et de la Santé a indiqué que le développement de nouvelles fonctionnalités était à l’étude. La CNIL rappelle donc à ce propos qu’elle peut diligenter de nouveaux contrôles, si nécessaire, et qu’elle devra se prononcer, à nouveau, si le traitement de données venait à faire l’objet de modifications substantielles.
Un premier avis de la CNIL avait été adressé au Parlement le 10 septembre 2020. Il s’agit ici du deuxième avis de la CNIL sur le fonctionnement de ces systèmes d’information.
Une troisième phase de contrôles va débuter en ce mois de janvier. Leurs résultats seront communiqués dans le prochain avis public de la CNIL.
Autres contrôles : les cahiers de rappel
La CNIL rappelle qu’elle procède également à des vérifications sur des fichiers du quotidien liés au suivi de de la pandémie. Elle a ainsi procédé à des contrôles concernant la tenue de « cahiers de rappel », mis en œuvre à partir d’octobre 2020 par certains établissements de restauration et de débits de boissons situés dans les zones d’alerte maximale.
Plusieurs manquements au RGPD ont été constatés, notamment la réutilisation des données collectées à des fins de prospection. Les organismes concernés ayant indiqué avoir supprimé les données et ne pas les avoir utilisées des fins commerciales, la CNIL a décidé de les rappeler à l’ordre tout en les invitant à se mettre en conformité à l’avenir dans l’hypothèse où la tenue de « cahiers de rappel » serait de nouveau nécessaire.
