La CNIL rend son avis sur les évolutions apportées par la loi relative à la gestion de la crise sanitaire

09 août 2021

Suite à la publication de la loi relative à la gestion de la crise sanitaire, la CNIL rend son avis sur plusieurs décrets d’application concernant le passe sanitaire, le fichier recensant les résultats des tests et l’accès aux données de vaccination des professionnels soumis à une obligation vaccinale.

Contexte

Après examen par le Conseil constitutionnel, la loi n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire prévoit notamment :

  • une extension du passe sanitaire qui concerne désormais de nombreuses activités dont certaines ont trait à la vie quotidienne (restaurants, débits de boissons, transports publics interrégionaux de longue distance, etc.) et qui s’impose désormais à de nouvelles catégories de personnes (salariés des lieux concernés par l’obligation du passe sanitaire, etc.) ;
  • un allongement de la durée de conservation des données du fichier contenant la centralisation des tests de dépistage (SI-DEP), pour permettre la production des certificats de rétablissement ;
  • un accès par les agences régionales de santé (ARS) aux données relatives à la vaccination des professionnels placés sous leur contrôle, dans le cadre de l’obligation vaccinale de certaines professions (médecin, chirurgien-dentiste, infirmier diplômé d’État, etc.).

Le Gouvernement a saisi la CNIL de deux projets de décret qui modifient notamment le passe sanitaire, le fichier SI-DEP et le système d’information pour la gestion et le suivi des vaccinations (Vaccin Covid).

Les modifications du passe sanitaire et le « convertisseur de certificats »

Rappel des principes fondamentaux

Comme dans ses avis du 12 mai et 7 juin 2021 et, plus récemment, lors de l’audition de sa Présidente par le Sénat au cours de l’élaboration de la loi, le collège de la CNIL, réuni le 6 août, rappelle que le contexte sanitaire actuel peut justifier des mesures exceptionnelles uniquement si elles restent limitées dans le temps et si elles sont nécessaires pour lutter contre le rebond épidémique et éviter un nouveau confinement. Il est donc essentiel que l’impact des différents dispositifs numériques sur la stratégie sanitaire globale soit étudié et documenté régulièrement, à partir de données objectives, afin de s’assurer que le recours à ces dispositifs prenne fin dès que leur nécessité disparaîtra.

Les garanties nécessaires à une évolution des modalités de contrôle du passe sanitaire

Les modalités de contrôle du passe sanitaire, sur lesquelles la CNIL s’est prononcée le 7 juin dernier, font désormais l’objet des évolutions suivantes : le contrôle du passe sanitaire pourra se faire en ligne à l’aide de nouveaux dispositifs alternatifs à l’application TousAntiCovid Verif, les données accessibles aux contrôleurs dans le cadre de certains déplacements sont élargies aux informations relatives à l'examen de dépistage ou au vaccin réalisé et certaines informations pourront être conservées temporairement par ces dispositifs. Compte tenu de la sensibilité du dispositif, la CNIL invite le Gouvernement à revoir le projet de décret sur plusieurs aspects.

La nécessité de contrôler les dispositifs de lecture alternatifs à TousAntiCovid Verif

La CNIL souligne que le Gouvernement devra vérifier que les dispositifs de lecture alternatifs à l’application TousAntiCovid Verif respectent les conditions fixées par arrêté du ministre chargé de la santé, avant de pouvoir être utilisés par les acteurs devant contrôler le passe sanitaire.

Elle estime que le Gouvernement devrait notamment contrôler le respect de l’ensemble des conditions posées par les textes, la conformité au RGPD (notamment l’absence de transfert illicite de données en dehors de l’Union européenne) ainsi que la sécurité du dispositif. Il devrait aussi prévoir des garanties complémentaires permettant d’assurer la transparence du dispositif (par exemple, la publication d’une liste des applications de lecture conformes et du code source de ces dispositifs).

L’accès élargi aux données devrait être limité aux déplacements à l’étranger

Le projet de décret prévoit un accès élargi aux informations relatives à l'examen de dépistage ou au vaccin réalisé pour certains contrôles du passe sanitaire. Si cela semble justifié par le fait que les règles imposées par les pays étrangers sont variables et peuvent fréquemment évoluer, la CNIL considère que cela devrait être limité à certains déplacements à l’étranger. Le contrôle du passe sanitaire des voyageurs à destination ou en provenance de la Corse ou des Outre-mer ainsi que celui du personnel intervenant dans les services de transport concernés ne devrait permettre qu’un accès limité à l’identité de la personne ainsi qu’à l’information globale sur le caractère valide du justificatif (« bouton vert » ou « bouton rouge »).

La conservation temporaire des données devrait se limiter au résultat de la lecture du passe

La possibilité de vérification du passe sanitaire en ligne peut, dans certains cas, justifier la conservation d’informations résultant d’un tel contrôle jusqu’à ce que la personne concernée puisse effectuer son déplacement ou accéder au lieu où elle souhaite se rendre. La CNIL invite toutefois le Gouvernement à limiter la conservation temporaire au seul résultat de la vérification opérée conformément au principe de minimisation des données.

Le passe sanitaire en cas de vaccination en dehors de l’Union européenne

Afin de faciliter le séjour en France des Français de l’étranger et des touristes étrangers, le Gouvernement a mis en place un portail dédié, connecté au « convertisseur de certificats », permettant la génération d’un passe sanitaire valable en France. Ce passe est généré par des agents habilités sur la base d’informations transmises par les demandeurs.

La CNIL rappelle la nécessité de sécuriser l’envoi des informations nécessaires à la génération du certificat au format européen (par exemple via la mise en place d’un portail web sécurisé) et de s’assurer de la suppression des informations une fois le certificat transmis à leurs détenteurs.

Enfin, elle relève que si le « convertisseur de certificats » faisait intervenir un prestataire étatsunien, le Gouvernement a pris des mesures satisfaisantes afin de garantir la conformité au RGPD des transferts de données opérés en prévoyant de changer de prestataire, dans les jours à venir, au profit d’une société soumise à des juridictions relevant exclusivement de l’Union européenne

La conservation des données dans le système d’information de dépistage (SI-DEP) et l’accès des ARS aux données de vaccination des professionnels

Un allongement de la durée de conservation des données de SI-DEP

Partant du constat qu’il existait un décalage entre la durée de conservation des données de SI-DEP qu’il avait précédemment fixé à 3 mois à compter de leur collecte et la durée de validité des certificats de rétablissement (6 mois à compter de la contamination), le législateur a décidé d’allonger la durée de conservation des données des personnes testées positives à la COVID-19 jusqu’à 6 mois après leur collecte. Le projet de décret reprend à l’identique les dispositions législatives sur ce point.

Le contrôle de l’obligation vaccinale des professionnels par les Agences régionales de santé

Pour contrôler le respect de l’obligation vaccinale de certains professionnels (médecins, chirurgiens-dentistes, infirmiers diplômés d’État, pédicures-podologues, etc.), la loi a autorisé les agences régionales de santé (ARS) à accéder, avec le concours des organismes d’assurance maladie, aux données relatives à la vaccination des professionnels placés sous leur contrôle.

La loi aménage ainsi une dérogation au secret médical au bénéfice des ARS, puisque les données relatives aux personnes vaccinées figurant dans « Vaccin covid », qui sont couvertes par le secret médical, n’étaient accessibles qu’aux professionnels de santé participant à la réalisation de la vaccination de la personne concernée et à certaines autorités sanitaires pour l’exercice de leurs missions (CNAM, ANSM).

Ainsi, la CNIL a été particulièrement vigilante sur :

  • le respect de la compétence territoriale et matérielle des ARS en demandant à ce qu'elles reçoivent uniquement les données des professionnels exerçant à titre libéral et dans leur territoire de compétence ;
  • la gestion des habilitations d’accès des agents des ARS en recommandant que ces accès soient limités aux seuls agents ayant comme mission le suivi et le contrôle de l’obligation de vaccination des professionnels ;
  • les catégories de données qui seront transmises aux ARS en demandant qu’une liste précise des données soit mentionnée dans le décret.

En pratique, le ministère a précisé que les données transmises prendraient la forme de listes de professionnels non vaccinés, par rapprochement avec le Fichier national des professionnels de santé (FNPS), sous la responsabilité de la CNAM. Ce fichier ayant été créé en 2004 pour recenser l’adresse d’exercice professionnel et le numéro identifiant du répertoire partagé des professionnels de santé (RPPS), la Commission considère que les finalités du FNPS devraient être modifiées avant que ce fichier puisse être réutilisé pour la constitution de listes.

En outre, la CNIL insiste sur la nécessité :

  • d’informer les personnes concernées par le FNPS (tous les professionnels de santé salariés ou libéraux) puisque le système d’information Vaccin Covid ne concerne que les personnes ayant reçu un bon de vaccination ou étant vaccinées ;
  • de donner la possibilité pour ces personnes d’exercer les droits relatifs à la protection de leurs données.

La CNIL a aussi émis des remarques sur les durées de conservation des listes par les ARS et les organismes d’assurance maladie :

  • la possibilité de conserver ces listes seulement jusqu’à la fin de l’obligation vaccinale ;
  • un effacement des listes par les organismes d’assurance maladie dès leur accusé de réception par les ARS ;
  • une transmission régulière et une conservation par les ARS uniquement de la liste la plus récente.

Enfin, d’une manière générale, la CNIL rappelle qu’elle réalise régulièrement des contrôles sur les dispositifs utilisés dans le cadre de la gestion de la crise et que ses contrôles se poursuivront tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent.