La CNIL publie son troisième avis adressé au Parlement sur les conditions de mise en œuvre des dispositifs accompagnant la lutte contre la COVID-19

03 juin 2021

Pour lutter contre l’épidémie de COVID-19, le Gouvernement a mis en place les fichiers SI-DEP et Contact-COVID, déployé TousAntiCovid, et mis en œuvre les systèmes d’information Vaccin COVID et « Quarantaine et Isolement ». La CNIL fait un nouveau bilan de ces systèmes, à la suite de ses précédents avis rendus et des 32 contrôles réalisés.

L’essentiel

  • La CNIL a poursuivi ses contrôles sur les dispositifs mis en place dans le cadre de la crise sanitaire. Au total, depuis le début de la pandémie, elle a réalisé 32 opérations de contrôle sur ces systèmes mis en place par l’État.
  • Elle constate que ces dispositifs sont, pour l’essentiel, respectueux des données personnelles et en conformité avec la législation.
  • Elle a toutefois à nouveau constaté quelques lacunes dans la prise en compte de certaines exigences du RGPD, ce qui a notamment conduit la présidente de la CNIL à adopter une mise en demeure à l’encontre d’une Agence régionale de santé (ARS) dans le cadre du traitement Contact COVID.
  • La CNIL attire l’attention du Gouvernement sur la nécessité de produire des éléments permettant d’évaluer pleinement l’efficacité des fichiers mis en œuvre dans le cadre de la lutte contre l’épidémie de COVID-19, plus d’un an après le début de la crise sanitaire ;
  • Une nouvelle phase de contrôles débutera en juin 2021. Les résultats seront communiqués dans le prochain avis public de la CNIL sur les traitements concernés.

 

Le contexte

Dans le cadre de la lutte contre la propagation de l’épidémie de COVID-19, cinq dispositifs sont actuellement utilisés : les fichiers SI-DEP et Contact COVID, l’application mobile TousAntiCovid, le système d’information Vaccin COVID pour la gestion et le suivi des vaccinations contre la COVID-19 et, désormais, le fichier Quarantaine et Isolement.

Le législateur a souhaité encadrer ces traitements, comprenant de nombreuses données personnelles, y compris des données de santé. Il a ainsi instauré un Comité de contrôle et de liaison COVID-19 et prévu que le Gouvernement adresse au Parlement un rapport détaillé de l’application de ces mesures tous les trois mois à compter de la promulgation de la loi, jusqu’à la disparition des systèmes d’information. Comme prévu par la loi du 11 mai 2020, la CNIL rend également des avis pour compléter ces rapports sur les enjeux Informatique et Libertés.

L’avis de la CNIL 

Concernant le fichier SI-DEP

Le fichier SI-DEP (système d’information de dépistage) est un système d’information national mis en œuvre par le ministère des Solidarités et de la Santé qui permet la centralisation des résultats des tests de dépistage de la COVID-19 réalisés par des laboratoires publics ou privés et certains professionnels de santé habilités, comme les pharmaciens.

 

La CNIL a constaté que les remarques effectuées à l’issue des deux premières phases de contrôle ont été prises en compte. Elle a également constaté un niveau de conformité globalement satisfaisant sur l’ensemble du traitement.

En l’état actuel des vérifications, la CNIL considère que les conditions de mise en œuvre du fichier SI-DEP n’appellent pas de mesure particulière de sa part.

Concernant le fichier Contact COVID

Contact COVID, mis en œuvre par la Caisse nationale d’assurance maladie (CNAM), recueille des informations sur les cas contact et les chaînes de contamination. Il vise à détecter les cas contacts à trois niveaux différents :

  1. Les médecins de ville/établissements de santé/centres de santé.
  2. Le personnel habilité de l’assurance maladie.
  3. Les agences régionales de santé (ARS).

 

La CNIL a de nouveau relevé des disparités concernant les pratiques des Agences régionales de santé (ARS) dans le cadre de l’activité de suivi des contacts (« contact tracing ») de niveau 3.

Depuis la publication du deuxième avis adressé au Parlement le 14 janvier 2021, la CNIL a mené des contrôles auprès de deux nouvelles ARS. A cette occasion, elle a relevé plusieurs manquements dans les pratiques d’une des deux ARS, notamment concernant la durée de conservation des données et l’information des personnes concernées. En conséquence, la Présidente de la CNIL a mis en demeure cette ARS de se conformer aux exigences du RGPD dans un délai de deux mois.

Les vérifications effectuées auprès de l’autre ARS ont permis de constater la mise en œuvre de nombreuses mesures pour garantir de façon optimale le respect des données personnelles.

La CNIL rappelle qu’elle avait détaillé les mesures nécessaires à la protection des données des personnes dans le cadre de l’outil Contact COVID dans un courrier de janvier 2021 adressé à l’ensemble des ARS. La CNIL réitère ses recommandations et continuera à être vigilante sur le terrain.

Concernant l’application mobile TousAntiCovid

TousAntiCovid (anciennement StopCovid) est une application mobile de suivi de contacts, basée sur le volontariat des personnes et utilisant la technologie Bluetooth. Mise à disposition par le Gouvernement, elle permet d’alerter les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué ou dépisté positif à la COVID-19. L’application a progressivement été enrichie et elle fournit désormais également des informations factuelles et sanitaires sur l’épidémie.

En savoir plus sur l’application TousAntiCovid

 

La CNIL relève que de nouvelles fonctionnalités ont été ou ont pour objectif d’être intégrées à l’application TousAntiCovid telles que l’intégration d’un dispositif numérique d’enregistrement des visites dans certains établissements recevant du public (ERP) à partir du 9 juin 2021 ou encore le déploiement d’un « carnet » numérique appelé « TousAntiCovid Carnet » déployé en avril 2021. Ce dernier permet de stocker, de manière électronique, les certificats de résultats de tests de dépistage et les certificats de vaccination afin de pouvoir les présenter aux autorités compétentes lorsque cela est obligatoire.

Concernant le dispositif numérique d’enregistrement des visites dans certains établissements recevant du public, la CNIL relève que les observations formulées dans son avis du 17 décembre 2020 sur les aspects techniques du dispositif ont été prises en considération par le ministère, permettant ainsi d’offrir de meilleures garanties en termes de protection des données.

Concernant la fonctionnalité « TousAntiCovid Carnet », la CNIL rappelle qu’elle a émis des recommandations quant aux garanties à apporter, notamment pour assurer la sécurité des données.

Aucun nouveau contrôle de l’application n’a été réalisé par la CNIL depuis le mois de novembre 2020. De nouveaux contrôles de l’application sont prévus et devraient notamment porter sur la conformité de ces nouvelles fonctionnalités en matière de protection des données.

Concernant le fichier VACCIN COVID

Le fichier VACCIN COVID, géré conjointement par la Direction générale de la santé et de la Caisse nationale d’assurance maladie (CNAM) a pour objectif la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre la COVID-19. Il comprend des informations sur les personnes invitées à être vaccinées ou déjà vaccinées afin notamment d’organiser la campagne de vaccination, le suivi et l’approvisionnement en vaccins et consommables (seringues, etc.), et la réalisation de recherches et du suivi de pharmacovigilance. Ce fichier n’a pas vocation à s’étendre à d’autres vaccinations que celle contre la COVID-19.

 

La CNIL a organisé une première phase de contrôle de ce fichier au mois de mars 2021 avec une audition de la CNAM puis deux contrôles sur place au sein de centres de vaccination. La CNIL a ainsi pu vérifier les conditions de mise en œuvre du fichier VACCIN COVID et, en particulier, son téléservice.

À travers ce téléservice, tout professionnel de santé habilité à réaliser des opérations de vaccination peut rechercher une personne via son numéro de sécurité sociale (ou NIR) et accéder aux données et au statut vaccinal de cette personne. Ces possibilités de recherches par NIR ne sont pas exclusives au téléservice VACCIN COVID et la consultation d’informations médicales par un professionnel de santé est encadrée, notamment par des règles déontologiques. La CNIL a en outre constaté qu’un message de rappel est affiché à l’attention des professionnels de santé pour leur rappeler que toute consultation illégitime peut entraîner des sanctions.

Contrairement à ce qui a été rapporté dans la presse, cette fonctionnalité de recherche par le NIR, ouverte à tout professionnel de santé habilité à réaliser des opérations de vaccination, ne constitue pas un défaut de sécurité.

Les contrôles de plusieurs centres de vaccination ont cependant mis en lumière le fait que, pour des raisons pratiques inhérentes au fonctionnement de ces centres, le téléservice VACCIN COVID est régulièrement alimenté par des personnels administratifs utilisant le compte d’un professionnel de santé. Bien que ce mode de fonctionnement soit à rapprocher du travail habituel d’un secrétariat médical, les investigations se poursuivent afin de savoir si les exigences en termes de traçabilité et d’imputabilité (c’est-à-dire la possibilité d’attribuer la responsabilité de l’action à une personne) des actions sont respectées.

Lors de ses contrôles, la CNIL a par ailleurs constaté qu’une attention particulière a été portée sur l’information des personnes, notamment par la mise en place de mentions d’informations claires et complètes sur les documents remis aux patients, d’un affichage standardisé à l’entrée des centres de vaccination ainsi que la présence de liens hypertextes au sein du téléservice permettant au professionnel de santé d’accéder facilement aux mentions d’information relative à la protection des données. La CNIL a également constaté que les données du traitement VACCIN COVID font bien l’objet d’un chiffrement et que l’accès au téléservice requiert une authentification forte.

Concernant le fichier Quarantaine et Isolement

Le fichier Quarantaine et Isolement, mis en œuvre sous la responsabilité conjointe du ministre chargé de la Santé et du ministre de l’Intérieur, vise à assurer le suivi et le contrôle du respect des mesures individuelles (mise en quarantaine, maintien et placement en isolement) lors de l'arrivée, sur le territoire national, de personnes en provenance d’un pays ou territoire confronté à une circulation particulièrement active de l’épidémie.

 

La CNIL, qui s’était déjà prononcée sur la mise en place de ce fichier le 12 mai, rappelle un certain nombre de remarques, notamment sur :

  • le cadre juridique applicable (RGPD et loi Informatique et Libertés) ;
  • la nature des données collectées, notamment sur le fait qu’un décret en Conseil d’État devra être pris si des données sensibles sont traitées ;
  • ou encore l’information des personnes, qui devront savoir quelles mesures seront prises les concernant lors de leur voyage vers le territoire français.

Elle s’était également interrogée sur la proportionnalité du dispositif qui ne permet pas, tel qu’il lui a été présenté, de répondre aux objectifs pour lesquels il est mis en œuvre dans la mesure où, au moment de sa saisine, le déploiement du dispositif n’était envisagé que dans deux aéroports.

La CNIL, qui n’a pas été saisie des détails techniques du fichier, a rappelé qu’elle sera vigilante quant aux conditions de mise en œuvre de ce dispositif et qu’elle aura recours à son pouvoir de contrôle.

Autres contrôles : les dispositifs COVIDOM, COVI-CONTACT et COVISAN

La CNIL rappelle qu’elle procède également à des vérifications sur d’autres fichiers liés au suivi de la pandémie. Elle a ainsi procédé à des contrôles des dispositifs COVIDOM (qui permet aux patients porteurs ou suspectés d’avoir contracté la COVID-19 de bénéficier d’un télésuivi) et COVISAN (dispositif de dépistage et d’accompagnement des personnes ayant contracté le virus) mis en œuvre par l’AP-HP.

Ces contrôles ont notamment été conduits à partir du site web « Covidom.fr », de l’application mobile « Covidom Patient » et du dispositif multicanal d’accompagnement COVI CONTACT mis en œuvre par l’ARS Île-de-France et destiné à toutes les personnes concernées par des mesures d’isolement à domicile afin d’être accompagnées régulièrement et à distance.

Une procédure de contrôle continue

La CNIL souligne que les contrôles se poursuivront tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent.

La CNIL précise que les investigations pour s’assurer des conditions de mise en œuvre du traitement VACCIN COVID se poursuivront dans les prochaines semaines et qu’une nouvelle phase de contrôles débutera dès juin 2021. Le prochain avis public de la CNIL fera état de leurs résultats.

Enfin, une ultime vague de contrôles sera effectuée à l’issue de la mise en œuvre des traitements. Elle permettra notamment de vérifier la suppression effective des données.