La Commission nationale de l’informatique et des libertés (CNIL) a publié, fin janvier un bilan sur les quatre dispositifs numériques utilisés depuis le début de la pandémie, y compris Contact Covid. Cet avis, en demi-teinte, pointe une gestion disparate de la part des agences régionales de santé. L’une d’elles a été mise en demeure.
Dans le cadre de la lutte contre la Covid-19, le gouvernement a déployé plusieurs outils numériques: les fichiers SI-DEP, Contact Covid, l’application TousAntiCovid et le système d’informations Vaccin Covid. Après avoir reçu plusieurs avis et effectué 25 contrôles sur ces dispositifs, la CNIL dresse un bilan mitigé de l’utilisation de ces outils.
Elle souhaite que ces dispositifs soient le plus encadrés possible, collectant les données personnelles des patients, y compris celles de santé. La Commission avait émis un premier avis, le 10 septembre 2020, mettant en lumière le problème d’accès à ces données, notamment concernant les fichiers SI-DEP.
L’ensemble des professionnels de santé et personnel habilités d’un établissement de santé, social ou médico-social pouvait y accéder. De plus, la durée de conservation de ses données était jugée trop longue. Dans ce deuxième avis, la Commission constate que ces remarques ont été prises en compte.
La CNAM rappelé à l’ordre
Des améliorations ont été apportées dans le cas des fichiers SI-DEP. Cependant, la CNIL note la présence de mauvaises méthodes au niveau de la Caisse nationale d’assurance maladie. En effet, la CNAM continue d’utiliser «certaines pratiques résiduelles relatives aux conditions d’authentification, là la traçabilité et à la transmission de données personnelles à un tiers non habilité à héberger des données de santé».
Cette pratique n’assure pas une authentification forte, comme préconisée par la Politique générale des systèmes d’information de santé (PGSSI-S). Bien que des mesures ont été mises en place pour renforcer cet accès, à court terme, des données personnelles peuvent être transmises à une société inhabilitée. En conséquence, la Commission a décidé d’adresser un courrier à la Cnam afin de lui rappeler «ses obligations et faisant état des manquements relevés et des mesures à mobiliser pour y remédier».
Un logiciel »fait maison » qui pose problème
La CNILa également constaté une disparité concernant Contact Covid et les mesures utilisées par certaines ARS. Une en particulier aurait commis plusieurs infractions au Règlement général sur la protection des données (RGPD). Cette agence aurait développé son propre logiciel de suivi des patients zéro et des cas contacts.
Ce programme ne respecterait pas la RGPD «dans la gestion des données, notamment concernant leur durée de conservation et leur sécurité». Cette agence «conserve sans restriction de durée les données contenues dans le logiciel». De plus, la Commission a observé la constitution d’un fichier de patient zéro. Les informations recueillies sont consignées dans un tableur puis envoyées à la Cnam par une messagerie sécurisée, afin que la Caisse nationale reporte ses données dans Contact Covid.
Pour la CNIL cette pratique pose trois problèmes :
• La dispersion d’informations au sein des messageries
• La conservation illimitée de ces fichiers dans les serveurs de l’agence et de la Cnam
• Aucune authentification forte n’est requise pour accéder à ces données, présentes sur différentes plates-formes. Ce dernier point étant crucial, puisqu’un tiers non-habilité peut accéder à ce document. En l’absence d’authentification adaptée, ce tiers ne pourra être identifié et il ne sera pas possible de savoir comment il a obtenu cet accès.
Mise en demeure de l’ARS concernée
À la lumière de ce constat, la Présidente de la CNIL a décidé de mettre en demeure cette ARS. Cette agence a un mois pour se conformer aux exigences de la RGPD. La Commission profite de cette occasion pour renvoyer ces recommandations à l’ensemble des ARS, concernant les mauvaises pratiques relevées durant ces contrôles.
Dans ce courrier, la CNIL rappelle les mesures nécessaires à la protection des données issues de l’outil Contact Covid. Elle recommande, entre autres, l’utilisation d’appels téléphoniques pour la délivrance d’informations. Un autre courrier a été envoyé au ministère des Solidarités et de la Santé, afin de l’alerter sur les constatations établies.
À la fin de cet avis, la Commission rappelle que ses contrôles «se poursuivront tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent». De nouvelles observations seront conduites pour s’assurer de la bonne mise en œuvre de la campagne vaccinale.
En plus de cette nouvelle phase d’évaluation, qui a débuté en janvier, la CNIL annonce une ultime vague de contrôle à l’issue de la mise en œuvre des traitements. Elle souhaite «notamment la suppression effective de données».