La CNIL publie son quatrième avis adressé au Parlement sur les conditions de mise en œuvre des dispositifs contre la COVID-19

30 novembre 2021

TousAntiCovid, SI-DEP, Contact-COVID, Vaccin COVID, passe sanitaire : à la suite de ses précédents avis et de ses 42 contrôles, la CNIL fait un nouveau bilan de ses actions concernant les systèmes et dispositifs mis en place par le gouvernement depuis 18 mois pour lutter contre l’épidémie de COVID-19.

L’essentiel

  • Au total, depuis le début de la pandémie, la CNIL a réalisé 42 opérations de contrôle sur les dispositifs mis en place dans le cadre de la crise sanitaire et plus de cinquante contrôles au total en lien avec la COVID-19. Elle a également adressé plus de 200 courriers à des organismes dans le cadre de ces contrôles.
  • La CNIL attire de nouveau l’attention du gouvernement sur la nécessité, plus de 18 mois après le début de l’épidémie, de produire des éléments permettant d’évaluer pleinement l’efficacité des fichiers et dispositifs mis en œuvre.
  • Une cinquième phase de contrôles, qui porte notamment sur la durée de conservation, la suppression et/ou l’anonymisation des données, est d’ores et déjà engagée pour la fin 2021. Les résultats seront communiqués dans le prochain avis public de la CNIL.

Le contexte

Dans le contexte de crise sanitaire qui perdure depuis mars 2020, la CNIL a été amenée à se prononcer à plusieurs reprises et en urgence, sur la mise en œuvre et l’évolution des traitements de données personnelles créés pour lutter contre l’épidémie.

Elle a joué un rôle essentiel dans l’encadrement normatif de ces dispositifs :

  • en amont, en se prononçant, à l’occasion de demandes d’avis, sur l’évolution des systèmes ;
  • en aval , en effectuant de nombreuses opérations de contrôle.

Par son action, la CNIL a également activement participé à éclairer les débats parlementaires autour des enjeux fondamentaux liés au respect de la vie privée et des données personnelles.

L’avis de la CNIL

Concernant le fichier « SI-DEP »

Le fichier SI-DEP (système d’information de dépistage) est un système d’information national mis en œuvre par le ministère des Solidarités et de la Santé qui permet la centralisation des résultats des tests de dépistage de la COVID-19 réalisés par des laboratoires publics ou privés et certains professionnels de santé habilités, comme les pharmaciens.

 

La CNIL relève que ce fichier n’a pas connu d’évolution depuis la dernière campagne de contrôle. Elle n’a ainsi pas effectué de nouvelles vérifications, mais reste en contact régulier avec les équipes en charge de sa mise en œuvre.

Elle relève par ailleurs que les observations formulées dans son dernier avis sur le décret encadrant le fichier ont été suivies. Les évolutions mises en place concernant l’alimentation de la base pseudonymisée SI-DEP (constituée par la CNAM pour la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus) ont permis, notamment, d’améliorer la sécurité du dispositif.

Enfin, la CNIL a effectué des vérifications concernant une violation de données subie par l’AP-HP en août 2021 et portant sur des données issues de SI-DEP. L’analyse des éléments recueillis est en cours.

Concernant le fichier « CONTACT COVID » et le suivi des cas contacts

Contact COVID, mis en œuvre par la Caisse nationale d’assurance maladie (CNAM), recueille des informations sur les cas contact et les chaînes de contamination. Il vise à détecter les cas contacts à trois niveaux différents :

  • Les médecins de ville/établissements de santé/centres de santé.
  • Le personnel habilité de l’assurance maladie.
  • Les agences régionales de santé (ARS).

 

Depuis la publication de son troisième avis, la CNIL a réalisé plusieurs contrôles sur des dispositifs de suivi. Elle a ainsi constaté diverses mauvaises pratiques :

  • une conservation trop longue des données de santé des personnes dans le dispositif « COVIDOM COVISAN » (dispositif permettant un suivi médical à domicile ou un accompagnement à l’isolement) ;
  • une information incomplète des patients ;
  • l’absence de réalisation d’une analyse d’impact relative à la protection des données de la part de l’ARS pour le dispositif « COVI CONTACT ».

En conséquence, la présidente de la CNIL a adressé des observations aux responsables de traitement concernés afin qu’ils prennent les mesures nécessaires. Parallèlement, elle a, de nouveau, alerté le ministère des Solidarités et de la Santé sur les mauvaises pratiques relevées.

Concernant l’application « TousAntiCovid »

TousAntiCovid (anciennement StopCovid) est une application mobile de suivi de contacts, basée sur le volontariat des personnes et utilisant la technologie Bluetooth. Mise à disposition par le gouvernement, elle permet d’alerter les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué ou dépisté positif à la COVID-19. L’application a progressivement été enrichie et elle fournit désormais également des informations factuelles et sanitaires sur l’épidémie.

 

Plusieurs contrôles de l’application TousAntiCovid et des organismes impliqués dans sa mise en œuvre ont été réalisés en juillet et en septembre 2021. Les contrôles ont révélé l’existence de transferts hors Union européenne lors de la conversion d’un certificat au format européen. Une fois alerté par la CNIL sur cette situation, le ministère des Solidarités et de la Santé a toutefois immédiatement procédé aux aménagements nécessaire pour mettre fin à cette transmission.

Sur la seconde fonctionnalité « TousAntiCovid-Signal », la CNIL a mis en évidence plusieurs insuffisances en matière de protection des données, telles que l’absence d’anonymisation des données d’utilisations. La CNIL note néanmoins que le ministère des Solidarités et de la Santé a mis en place de nouvelles modalités permettant de réduire le risque d’exploitation malveillante des données collectées.

Concernant le fichier « VACCIN COVID »

Le fichier VACCIN COVID, géré conjointement par la Direction générale de la santé et de la Caisse nationale d’assurance maladie (CNAM) a pour objectif la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre la COVID-19. Il comprend des informations sur les personnes invitées à être vaccinées ou déjà vaccinées afin notamment d’organiser la campagne de vaccination, le suivi et l’approvisionnement en vaccins et consommables (seringues, etc.), et la réalisation de recherches et du suivi de pharmacovigilance. Ce fichier n’a pas vocation à s’étendre à d’autres vaccinations que celle contre la COVID-19.

 

La CNIL s’est prononcée à plusieurs reprises sur les modifications apportées au système d’information « VACCIN COVID », telles que l’accès à la liste des professionnels de santé non vaccinés soumis à l’obligation vaccinale par les agences régionales de santé (ARS). Elle a rappelé à cette occasion que seules les ARS pourraient être destinataires des données relatives au statut vaccinal de ces professionnels, compte tenu du caractère particulièrement sensible de ces informations. La CNIL a également insisté sur la nécessité d’informer les professionnels de l’utilisation du Fichier national des professionnels de santé afin de contrôler leur statut vaccinal.

De plus, la CNIL s’est prononcée sur la création, à destination des médecins traitants et de certains personnels de la Caisse nationale d’assurance maladie (CNAM), de listes de patients non vaccinés. La CNIL a rappelé qu’elle n’est en principe pas favorable à la diffusion de ces listes, même si elle estime que ce dispositif ne porte pas atteinte au principe du secret médical : ces informations ne seraient communiquées, s’agissant des médecins traitants, qu’à leur demande.

Des contrôles ont été effectués, notamment dans des centres de vaccination en Île-de-France ainsi qu’à la direction du numérique (« DNUM ») du ministère des Solidarités et de la Santé. À la suite de plusieurs signalements qui ont révélé un défaut d’information des personnes candidates à la vaccination dans certains centres de vaccination, la CNIL a formulé des observations auprès du ministère des Solidarités et de la Santé ainsi que la CNAM, leur demandant de s’assurer que les personnes souhaitant se faire vacciner reçoivent une information claire et précise. 

Concernant le passe sanitaire « activités »

Le passe sanitaire « activités » est un dispositif au format papier ou numérique permettant d’accéder, en France, à certains lieux recevant du public. Pour être valide, le passe doit comporter une « preuve » sanitaire :

  • soit une attestation de vaccination (schéma vaccinal complet) ;
  • soit une preuve d’un test PCR, antigénique ou autotest négatif ;
  • soit un test montrant le rétablissement de la COVID-19.

Le passe sanitaire « voyages », au format européen, permet quant à lui le contrôle sanitaire aux frontières.

En savoir plus sur le passe sanitaire

 

La CNIL s’est prononcée à plusieurs reprises sur les modalités de mise en œuvre du passe sanitaire, dont le champ d’application a été considérablement élargi afin d’inclure les activités du quotidien. Ainsi, elle a recommandé :

  • que les justificatifs puissent être présentés au format papier, afin de conserver le caractère volontaire de l’utilisation de l’application numérique « TousAntiCovid » ;
  • que les personnes autorisées à procéder aux vérifications ne devraient avoir accès qu’aux données d’identification et au résultat de validité du passe, et non à la nature du document ou aux autres données qu’il peut contenir.

Enfin, saisie dans le cadre d’une modification du décret encadrant les conditions de mise en œuvre du passe sanitaire, notamment dans l’objectif de lutter contre la fraude, la CNIL a invité le ministère à limiter expressément les finalités (objectifs) du dispositif envisagé et à prévoir une bonne information des personnes concernées, notamment sur les modalités de génération d’un nouveau passe.

Concernant l’application « TousAntiCovid Vérif »

L’application « TousAntiCovid Vérif » a été mise en place afin de vérifier la validité des passes sanitaires par des agents habilités.

Lorsqu’un passe sanitaire est scanné par l’application, seuls apparaissent le nom, prénom, la date de naissance ainsi que la validité (ou non) du passe.

 

La CNIL a effectué plusieurs contrôles de l’application et a constaté que les données des passes sanitaires vérifiés n’étaient pas conservées. Toutefois, la CNIL a relevé plusieurs dysfonctionnements (par exemple l’absence d’information des personnes sur le traitement des données dans certains lieux). La présidente de la CNIL a adressé un courrier aux organismes concernés les invitant à prendre les mesures nécessaires.

Une procédure de contrôle continue

La CNIL poursuivra ses contrôles tout au long de l’utilisation de ces fichiers, et ce jusqu’à la suppression des données qu’ils contiennent. Ces fichiers sont uniquement utilisés pour lutter contre l’épidémie de COVID-19 : en ce sens, elle effectuera une nouvelle campagne de contrôles auprès des organismes concernés portant sur la durée de conservation, la suppression et/ou l’anonymisation des données.

Enfin, la CNIL insiste sur la nécessité que les éléments qui permettent d’apprécier l’efficacité des traitements susmentionnés lui soient rapidement transmis, afin de continuer l’exercice de sa mission. En effet, malgré plusieurs demandes, une telle évaluation n’a, à ce jour, pas été transmise à la CNIL. À cet égard, elle tient à souligner que l’utilisation des dispositifs précités reste conditionnée à des garanties relatives à leur efficacité.