La CNIL a rendu public, jeudi 3 juin, son troisième avis adressé au Parlement après avoir effectué 32 contrôles, depuis le mois de mai 2020, sur les dispositifs mis en place dans le cadre de la crise sanitaire.
Cinq outils sont utilisés par l’État, seul le fichier Contact COVID, mis en œuvre par la Caisse nationale d’Assurance Maladie (CNAM), n’est toujours pas conforme au RGPD.
Contact COVID, recueille des informations sur les cas contact et les chaînes de contamination. Le dispositif vise à détecter les contacts à trois niveaux différents :
- les médecins de ville, établissements de santé et centres de santé
- le personnel habilité de l’Assurance Maladie
- les agences régionales de santé (ARS).
Des manquements dans les pratiques d’une des deux ARS contrôlées ont été constatés, notamment sur la durée de conservation des données et l’information des personnes concernées
Durée de conservation des donnéesLa durée de conservation des données relatives au suivi des patients zéro ou des contacts, est jugée «
excessive » par la CNIL. L’autorité a constaté que l’ARS visée ne procédait pas, au moment du contrôle, à la purge des données enregistrées sur le serveur de fichiers interne dans le temps imparti, c’est-à-dire dans un délai de trois mois.
Information des personnes concernéesL’information déficiente des personnes concernées est jugée «
déficiente » L’ARS contrôlée n’a en effet délivré aucun document d’information (papier ou numérique) aux personnes dont les données sont traitées dans le cadre de l’activité de suivi des contacts de niveau 3 : « contact tracing ».
En conséquence, la présidente de la CNIL, Marie-Laure Denis, a mis en demeure cette ARS qui a deux mois (à compter de la décision du 27 mai 2021) pour se conformer aux exigences du RGPD.
Il s’agit de la seconde mise en demeure adressée à une ARS pour une mauvaise gestion des systèmes d’information en temps de pandémie.
Concernant les autres dispositifs :
TousAntiCovid, l’application mobile de suivi de contacts basée sur le volontariat, s’est récemment enrichie de nouvelles fonctionnalités prises en compte par la CNIL, comme le carnet numérique “TousAntiCovid Carnet” , qui permet de présenter depuis son smartphone, les certificats de vaccination ou de résultats de tests de dépistage et “TousAntiCovid Signal“, cahier de rappel numérique pour les espace clos à partir du 9 juin.
La CNIL, qui n’a pas réalisé de contrôle de l’application depuis novembre 2020, indique avoir prévu de nouvelles vérifications axées sur la conformité en matière de protection des données de ces nouvelles fonctionnalités.
Quarantaine et Isolement, fichier limité à deux aéroports, la CNIL dit rester vigilante. Mis en place le 12 mai dernier, il assure le suivi et le contrôle du respect des mesures de quarantaine ou d’isolement lors de l’arrivée sur le territoire national de personnes provenant d’un pays où l’on considère l’épidémie comme active.
SI-DEP (Système d’information de dépistage), fichier de centralisation des résultats des tests de dépistage de la Covid-19 réalisés en laboratoires ou pharmacies. La CNIL, qui avait adressé des remarques a désormais donné son feu vert.
VACCIN COVID, fichier, de suivi et de pilotage des campagnes vaccinales contre la Covid-19.
Géré par la Direction générale de la Santé et la Caisse nationale d’Assurance maladie, la CNIL, a apprécié le chiffrement des données de traitement et l’authentification forte nécessaire à l’accès au téléservice. L’autorité estime aussi que les patients reçoivent des informations claires et complètes dans les centres de vaccination.
La CNIL va poursuivre ses contrôles pendant toute la période d’utilisation des fichiers, en veillant notamment à vérifier la suppression effective des données.
Pour en savoir plus : CNIL
Décision du 27 mai 2021