La CNIL pointe les mauvaises pratiques des ARS avec Contact Covid

La Commission nationale de l'informatique et des libertés (CNIL) a publié, fin janvier un bilan sur les quatre dispositifs numériques utilisés depuis le début de la pandémie, y compris Contact Covid. Cet avis, en demi-teinte, pointe une gestion disparate de la part des agences régionales de santé. L'une d’elles a été mise en demeure.

La Commission nationale de l’informatique et des libertés (CNIL) a publié, fin janvier un bilan sur les quatre dispositifs numériques utilisés depuis le début de la pandémie, y compris Contact Covid. Cet avis, en demi-teinte, pointe une gestion disparate de la part des agences régionales de santé. L’une d’elles a été mise en demeure.
Dans le cadre de la lutte contre la Covid-19, le gouvernement a déployé plusieurs outils numériques: les fichiers SI-DEP, Contact Covid, l’application TousAntiCovid et le système d’informations Vaccin Covid. Après avoir reçu plusieurs avis et effectué 25 contrôles sur ces dispositifs, la CNIL dresse un bilan mitigé de l’utilisation de ces outils.
Elle souhaite que ces dispositifs soient le plus encadrés possible, collectant les données personnelles des patients, y compris celles de santé. La Commission avait émis un premier avis, le 10 septembre 2020, mettant en lumière le problème d’accès à ces données, notamment concernant les fichiers SI-DEP.
L’ensemble des professionnels de santé et personnel habilités d’un établissement de santé, social ou médico-social pouvait y accéder. De plus, la durée de conservation de ses données était jugée trop longue. Dans ce deuxième avis, la Commission constate que ces remarques ont été prises en compte.

La CNAM rappelé à l’ordre

Des améliorations ont été apportées dans le cas des fichiers SI-DEP. Cependant, la CNIL note la présence de mauvaises méthodes au niveau de la Caisse nationale d’assurance maladie. En effet, la CNAM continue d’utiliser «certaines pratiques résiduelles relatives aux conditions d’authentification, là la traçabilité et à la transmission de données personnelles à un tiers non habilité à héberger des données de santé».
Cette pratique n’assure pas une authentification forte, comme préconisée par la Politique générale des systèmes d’information de santé (PGSSI-S). Bien que des mesures ont été mises en place pour renforcer cet accès, à court terme, des données personnelles peuvent être transmises à une société inhabilitée. En conséquence, la Commission a décidé d’adresser un courrier à la Cnam afin de lui rappeler «ses obligations et faisant état des manquements relevés et des mesures à mobiliser pour y remédier».

Un logiciel  »fait maison » qui pose problème

La CNILa également constaté une disparité concernant Contact Covid et les mesures utilisées par certaines ARS. Une en particulier aurait commis plusieurs infractions au Règlement général sur la protection des données (RGPD). Cette agence aurait développé son propre logiciel de suivi des patients zéro et des cas contacts.
Ce programme ne respecterait pas la RGPD «dans la gestion des données, notamment concernant leur durée de conservation et leur sécurité». Cette agence «conserve sans restriction de durée les données contenues dans le logiciel». De plus, la Commission a observé la constitution d’un fichier de patient zéro. Les informations recueillies sont consignées dans un tableur puis envoyées à la Cnam par une messagerie sécurisée, afin que la Caisse nationale reporte ses données dans Contact Covid.
Pour la CNIL cette pratique pose trois problèmes :
• La dispersion d’informations au sein des messageries
• La conservation illimitée de ces fichiers dans les serveurs de l’agence et de la Cnam
• Aucune authentification forte n’est requise pour accéder à ces données, présentes sur différentes plates-formes. Ce dernier point étant crucial, puisqu’un tiers non-habilité peut accéder à ce document. En l’absence d’authentification adaptée, ce tiers ne pourra être identifié et il ne sera pas possible de savoir comment il a obtenu cet accès.

Mise en demeure de l’ARS concernée

À la lumière de ce constat, la Présidente de la CNIL a décidé de mettre en demeure cette ARS. Cette agence a un mois pour se conformer aux exigences de la RGPD. La Commission profite de cette occasion pour renvoyer ces recommandations à l’ensemble des ARS, concernant les mauvaises pratiques relevées durant ces contrôles.
Dans ce courrier, la CNIL rappelle les mesures nécessaires à la protection des données issues de l’outil Contact Covid. Elle recommande, entre autres, l’utilisation d’appels téléphoniques pour la délivrance d’informations. Un autre courrier a été envoyé au ministère des Solidarités et de la Santé, afin de l’alerter sur les constatations établies.
À la fin de cet avis, la Commission rappelle que ses contrôles «se poursuivront tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent». De nouvelles observations seront conduites pour s’assurer de la bonne mise en œuvre de la campagne vaccinale.
En plus de cette nouvelle phase d’évaluation, qui a débuté en janvier, la CNIL annonce une ultime vague de contrôle à l’issue de la mise en œuvre des traitements. Elle souhaite «notamment la suppression effective de données».

Commentaires

Il n’y a pas encore de commentaire pour cet article.

Sur le même sujet

Dépistage du mélanome : ce scanner crée un avatar numérique de la peau 

Il y a quelques semaines, le Vectra 3D prenait ses quartiers dans le tout nouveau centre de dépistage automatisé du mélanome Marseille, situé à l’hôpital de la Conception (AP-HM). Concrètement, il permet à un patient qui aurait de nombreux grains de beauté de voir l’ensemble de sa peau scannée en images haute définition et reconstituée sous la forme d’un avatar numérique. Une avancée importante dans le dépistage du mélanome, véritable problème de santé publique. Reportage.

Quartiers nord de Marseille : un centre de santé unique rattaché à l’AP-HM

Nous avions déjà entendu Michel Rotilly parler du centre de santé des Aygalades, structure multidisciplinaire rattachée à l’AP-HM. C’était au mois de mai à Paris. La fracture territoriale entre les quartiers nord et le reste de la cité phocéenne, illustrée entre autres par un taux élevé de mortalité durant la crise du COVID, avait servi de préambule à la présentation du centre, unique en son genre. Deux mois plus tard, nous le retrouvons sur place pour en comprendre le fonctionnement et les enjeux au quotidien. Entretien.

Céline Meguerditchian : “la médecine d’urgence à l’hôpital public est devenu un combat au quotidien”

Lorsque nous rencontrons Céline Meguerditchian dans son bureau, nous savons déjà que l’interview ne sera pas un entretien fleuve. Car pour celle qui a été nommée cheffe des urgences adultes de la Timone (AP-HM) il y a six mois, le temps est un luxe. Entre les appels qui ne s’arrêtent jamais, elle aura néanmoins réussi à nous parler durant une vingtaine de minutes de sa mission, du fonctionnement d’un service en sous-effectif qui doit compter sur des docteurs junior en plein été, et de ce qui fait de la médecine d’urgence à l’hôpital public est devenu « un combat » au quotidien.

Gaétan Basile, taulier tranquille des ECN

Et dire qu’à quelques heures près, on aurait pu le rater. Ciao Bordeaux, bonjour Capbreton ! Tout cela pour une histoire de vacances bien méritées après une sixième année de médecine particulièrement dense. Silhouette longiligne et sourire réservé, Gaetan Basile incarne plutôt bien la force tranquille. Lorsqu’on le retrouve pour parler de sa première place aux concours des ECNi sur plus de 9000 candidats, le Landais de 23 ans, auréolé de la réussite, répond avec calme et simplicité. Sans jamais s’enflammer.

Fumagilline, itinéraire d’une réapparition

L’information a été reprise par plusieurs médias. Pour soigner un jeune patient, les Hospices Civils de Lyon ont recréé un médicament disparu de la circulation : la fumagilline. Si ce dernier fait office de remède miracle, sa fabrication tient davantage de l’abnégation des équipes du CHU qui, à l’heure actuelle, se battent pour en pérenniser la production.