La CNIL rend public son avis trimestriel adressé au Parlement sur les conditions de mise en œuvre des traitements SI-DEP, Contact Covid et StopCovid

14 septembre 2020

Dans le cadre de la lutte contre la COVID-19, le Gouvernement a mis en place les fichiers SI-DEP et Contact Covid, et a déployé l’application mobile StopCovid. Comme prévu par la loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire, la CNIL, qui s’est prononcée sur les textes encadrant ces traitements, rend public son nouvel avis sur les conditions de mise en œuvre de ces dispositifs.

L’essentiel

  • La CNIL constate que les dispositifs mis en place dans le cadre de la crise sanitaire (fichiers SI-DEP et Contact Covid, application Stopcovid) sont, pour l’essentiel, respectueux des données personnelles et que la plupart des préconisations formulées par la CNIL dans ses avis ont été prises en compte.
  • Elle a toutefois constaté certaines mauvaises pratiques et s’est rapprochée des organismes en question afin qu’ils se mettent en conformité dans les meilleurs délais.
  • La CNIL demande que des indicateurs soient mis en place afin d’évaluer plus précisément la contribution de ces dispositifs à la gestion de la crise sanitaire.
  • Une seconde phase de contrôles débutera avant la fin du mois de septembre 2020. Leurs résultats seront communiqués dans le prochain avis public de la CNIL sur les traitements concernés.

Le contexte 

Dans le cadre de la stratégie globale de « déconfinement progressif » mise en œuvre à compter du 11 mai 2020, trois traitements de données ont été déployés aux fins de lutter contre la propagation de l’épidémie de COVID-19 : les fichiers SI-DEP et Contact Covid, auxquels s’ajoute le déploiement de l’application mobile StopCovid.

Le législateur a souhaité encadrer la mise en œuvre de ces traitements, comprenant de nombreuses données personnelles, y compris des données de santé. Il a ainsi instauré un Comité de contrôle et de liaison COVID-19 et prévu que le Gouvernement adresse au Parlement un rapport détaillé de l’application de ces mesures tous les trois mois à compter de la promulgation de la loi, jusqu’à la disparition des systèmes d’information. Il a également souhaité compléter ces rapports par un avis public de la CNIL (article 11 de la loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire).

L’avis de la CNIL

Sur le maintien des dispositifs au regard des principes de proportionnalité et de nécessité

La CNIL rappelle que le caractère dérogatoire des différents traitements mis en œuvre ne peut être justifié que si leur utilité est suffisamment avérée au regard de l’évolution sanitaire du pays.

La lutte contre l’épidémie de COVID-19, qui relève de l’objectif à valeur constitutionnelle de protection de la santé, constitue un impératif majeur de nature à justifier, dans certaines conditions, des atteintes au droit à la protection de la vie privée et des données personnelles. Toutefois, les atteintes portées à ces droits par les autorités publiques doivent être nécessaires et proportionnées à la réalisation de cet objectif.

La CNIL émet ainsi les remarques suivantes :

  • elle prend acte du caractère temporaire de ces dispositifs, dont le terme de mise en œuvre est fixé à six mois à compter de la fin de l’état d’urgence sanitaire par les décrets encadrant leur création. Toute prorogation de ces systèmes d’information au-delà du 11 janvier 2021 ne pourra donc être autorisée que par la loi ;
  • elle regrette que le rapport que le Gouvernement a adressé au Parlement ne fasse pas état d’éléments plus précis justifiant de la nécessité de maintenir ces traitements au regard du contexte sanitaire actuel ;
  • elle souscrit à la demande du Comité de contrôle et de liaison de COVID-19 de disposer d'indicateurs de performance des systèmes d’information déployés, afin de pouvoir mesurer leur efficacité au regard des objectifs poursuivis.

Sur les conditions opérationnelles de mise en œuvre des traitements

Concernant le fichier SI-DEP

Rappel : le fichier SIDEP est un système d’information national mis en œuvre par le ministère des Solidarités et de la Santé qui permet la centralisation des résultats des tests au SARS-CoV-2 réalisés par des laboratoires publics ou privés.

 

La CNIL a effectué des vérifications auprès de l’AP-HP (Assistance Publique – Hôpitaux de Paris) qui gère la mise en œuvre opérationnelle du traitement SI-DEP et de laboratoires de biologie médicale. Si les investigations sont toujours en cours, elle constate à ce stade un niveau global de conformité satisfaisant.

Concernant la sécurité des données, le niveau atteint dans le cadre du dispositif SI-DEP est globalement satisfaisant. Toutefois, quelques améliorations peuvent être apportées concernant la gestion des comptes d’administration et la traçabilité des accès.

La CNIL s’est rapprochée du ministère des Solidarités et de la Santé afin d’attirer son attention sur les pratiques à améliorer et les mesures à prendre en conséquence.

Concernant le fichier Contact Covid

Rappel : le traitement ContactCovid mis en œuvre par la Caisse nationale d’assurance maladie (CNAM) recueille des informations sur les cas contact et les chaînes de contamination. Les enquêtes sanitaires sont menées à trois niveaux différents (médecins de ville/établissements de santé/centres de santé (niveau 1), personnel habilité de l’assurance maladie (niveau 2), agences régionales de santé (ARS) (niveau 3)).

 

La CNIL constate des différences de niveaux de maturité en matière de protection des données personnelles en fonction des organismes contrôlés.

Elle relève que, d’une manière générale, ces organismes ont mené des actions pour prendre en compte les exigences liées à la protection des données personnelles et à la collecte de données de santé, qui sont des données sensibles par nature et qui nécessitent dès lors une protection supplémentaire.

Toutefois, elle a constaté lors de contrôles l’existence de certaines pratiques insatisfaisantes concernant notamment :

  • la délivrance de l’information aux personnes concernées, qui est parfois incomplète ;  
  • l’exercice des droits des personnes, qui ne fait pas l’objet d’une procédure formalisée dans certaines ARS ;
  • la sécurité des transmissions des données entre certains organismes ;
  • l’insuffisance, dans certains cas, des mécanismes de nature à garantir une conservation des données limitée à la durée prévue par les textes.

La CNIL s’est rapprochée de la CNAM et du ministère des Solidarités et de la Santé afin qu’ils se mettent en conformité dans les plus brefs délais. Si tel n’était pas le cas à l’issue de ces échanges, il appartiendra à la Présidente de la CNIL de déterminer si l’adoption d’une mesure correctrice est nécessaire.

Concernant l’application mobile STOPCOVID

Rappel : StopCovid est une application mobile de suivi de contact, basée sur le volontariat des personnes et utilisant la technologie Bluetooth. Mise à disposition par le Gouvernement dans le cadre de sa stratégie globale de « déconfinement progressif », elle permet d’alerter les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué ou dépisté positif à la COVID-19.

 

Si les contrôles réalisés avaient permis de constater que le fonctionnement de l’application mobile StopCovid France respecte pour l’essentiel les dispositions applicables relatives à la protection des données personnelles, plusieurs manquements aux dispositions du RGPD et de la loi Informatique et Libertés avaient aussi été relevés. Ainsi, une mise en demeure, rendue publique, avait été prononcée à l’encontre du ministère des Solidarités et de la Santé le 15 juillet 2020.

Toutefois, les éléments de réponse apportés par le ministère au cours du mois d’août ont permis de démontrer que les manquements constatés lors du contrôle avaient cessé ; la Présidente de la CNIL a décidé de procéder à la clôture de cette mise en demeure le 3 septembre 2020.

Une procédure de contrôle continue

Les contrôles de la CNIL se poursuivront tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent.

Une seconde phase de contrôles débutera avant la fin du mois de septembre 2020. Leurs résultats seront communiqués dans le prochain avis public de la CNIL sur les traitements concernés.

Enfin, une troisième vague de contrôles sera effectuée à l’issue de la mise en œuvre des traitements, notamment afin de vérifier la suppression effective des données.