Dans son quatrième avis adressé au parlement sur les conditions de mise en œuvre des dispositifs contre la COVID-19, la CNIL a demandé pour une énième fois que les éléments permettant d’apprécier l’efficacité des traitements des dispositifs lui soient transmis. Depuis le début de la pandémie, la CNIL a effectué plus de 42 opérations de contrôle sur les dispositifs et un total de plus de 50 contrôles en lien avec la COVID-19.
La CNIL a passé au crible six dispositifs et compte poursuivre ses contrôles jusqu’à la suppression des données traités par ces dispositifs. Une cinquième phase de contrôle est déjà engagée pour fin 2021, elle porte sur la durée de conservation, de suppression et/ou anonymisation des données.
L’avis de la CNIL concerne les différents fichiers et applications qui constituent le mécanisme de lutte contre la COVID-19.
Fichier « SI-DEP »
Le fichier SI-DEP est un système qui permet de centraliser les résultats de dépistage de la COVID-19 réalisés par des laboratoires et professionnels de santé habilités.
La CNIL note une amélioration de la sécurité du dispositif par des évolutions intégrées dans l’alimentation de la base pseudonymisée.
En outre, la CNIL effectue des vérifications sur une violations de données issues de SI-DEP et subie par l’AP-HP en aout dernier.
Fichier « CONTACT COVID » et le suivi des cas contacts
Contact COVID recueille des informations sur les cas contacts et les chaines de contamination.
Plusieurs mauvaises pratiques ont été constatés par la CNIL, notamment une conservation trop longue des données de santé, une information incomplète des patients et la non-réalisation d’une analyse d’impact relative à protection des données.
Application « TousAntiCovid »
A la base c’est une application mobile de suivi de contacts basée sur le volontariat des personnes et utilisant la technologie Bluetooth, elle s’est progressivement enrichie avec la fourniture des informations factuelles et sanitaires sur l’épidémie.
La CNIL a relevé plusieurs insuffisances en matière de protection des données telles l’existence de transferts hors Union Européenne et l’absence d’anonymisation des données d’utilisation. Toutefois, la CNIL note que des aménagements nécessaires ont été mises en place pour stopper la transmission des données hors Union Européenne et le ministère des Solidarités et de la Santé a adopté des nouvelles modalités pour réduire le risque d’exploitation malveillante des données collectées.
Fichier « VACCIN COVID »
C’est un fichier qui a pour objet la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre la COVID-19.
Plusieurs signalements ont révélé un défaut d’information des personnes voulant se vacciner dans certains centres de vaccination, la CNIL a formulé des observations auprès du ministère des Solidarités et le CNAM pour que les personnes candidates à la vaccination reçoivent des informations claires et précises.
La CNIL s’est également prononcée sur la création de listes de patients non vaccinés. Elle n’est en principe pas favorable à la diffusion de ces listes même si cela ne porterait pas atteinte au principe du secret médical. Ces listes ne sont transmises aux médecins traitants qu’à leur demande.
Passe sanitaire « activités »
Dispositif au format papier ou numérique permettant d’accéder à certains lieux recevant du public. Le passe sanitaire « voyages », au format européen, permet le contrôle sanitaire aux frontières.
Avec l’élargissement du champ d’application du passe sanitaire aux activités du quotidien, la CNIL a formulé deux principales recommandations, à savoir la présentation au format papier des justificatifs afin de conserver le caractère volontaire de l’utilisation de l’application « TousAntiCovid » ainsi que l’accès aux personnes autorisées à procéder aux vérifications aux seules données d’identification et au résultat de validité du passe.
Dans le cadre d’une modification du décret encadrant les conditions de mise en œuvre du passe sanitaire, la CNIL préconise une limitation express des finalités du dispositif et une bonne information des personnes concernées.
Application « TousAntiCovid Vérif »
Application de vérification de la validité des passes sanitaires par des agents habilités.
Bien que les données des passes sanitaires vérifiés n’étaient pas conservées, la CNIL a toutefois relevé plusieurs dysfonctionnements comme l’absence d’information des personnes sur le traitement des données dans certains lieux.
L’avis de la CNIL est disponible ici
