Covid et données personnelles : la CNIL maintient sa surveillance
Comme promis, la CNIL a publié un nouvel avis sur les fichiers crées dans le cadre de la lutte contre l’épidémie de Covid19, à savoir les fichiers SI-DEP, Contact Covid, l’application TousAntiCovid et le système d’information Vaccin Covid. Ces différents fichiers rassemblent des données personnelles et médicales et sont donc surveillés étroitement par la CNIL qui avait déjà publié un premier bilan au mois de septembre. L’heure est donc à un nouveau point d’étape pour la commission, qui a publié son deuxième avis public sur la gestion de ces fichiers.
TousAntiCovid : jusqu’ici tout va bien
Le plus connu d’entre eux, StopCovid renommé TousAntiCovid, ne pose à première vue pas de problème à la Commission, qui prend acte dans son avis des évolutions apportées à l’application depuis son dernier coup de semonce, mais indique que « les éléments structurants du dispositif ne sont pas impactés par les évolutions de l’application .» La CNIL déclare rester néanmoins vigilante à l’égard des évolutions futures de l’application, et indique avoir rendu un avis sur un décret faisant évoluer le décret de mai 2020 relatif à StopCovid. La Commission indique que cet avis ne sera rendu public que lorsque le décret lui même sera rendu public.
L’avis du comité de contrôle et de liaison sur le Covid19 avait donné les grandes lignes des évolutions apportées par ce décret. Celui ci prévoit notamment une nouvelle fonctionnalité pour l’application TousAntiCovid, qui permettra de mettre en place un système de QR code à flasher dans les espaces publics clos. L’objectif est de permettre d’alerter les personnes présentes en cas de risque de contamination si une personne contaminée venait à être comptabilisée parmi les personnes présentes dans le lieu.
Au vu des réserves exprimées précédemment par la CNIL, qui craignait que l’application soit utilisée pour autoriser ou non l’accès à certains espaces, on comprend que la Commission souhaite observer de près l’évolution des fonctionnalités de l’application. La commission rappelle enfin la nécessité « de développer des initiatives et des indicateurs permettant d’évaluer pleinement l’effectivité sanitaire du dispositif » : si TousAntiCovid est parvenu à convaincre plus de citoyens que la version précédente de l’application, la CNIL reste peu convaincue de l’intérêt du dispositif.
Les autorités régionales de santé dans le viseur
La Cnil est en revanche plus critique sur la gestion du fichier Contact Covid, le fichier qui recense les informations sur les cas contacts et les chaînes de contamination. Ce fichier est mis en œuvre par la CNAM en collaboration avec les autorités régionales de santé. La CNIL indique avoir constaté plusieurs manquements dans la gestion des données personnelles et médicales sur ce fichier : il s’agit de « mauvaises pratiques résiduelles » dans le cas de la CNAM, qui a été contactée afin de se mettre en règle. La CNIL indique également dans son communiqué avoir constaté des manquements dans la gestion de ce fichier par les autorités régionales de santé : le communiqué souligne les disparités en la matière, indiquant qu’une autorité régionale de santé a été mise en demeure suite à des erreurs constatées « dans la gestion des données, notamment concernant leur durée de conservation et leur sécurité. ». L’autorité dispose d’un mois pour se mettre en conformité avec le RGPD. La CNIL a transmis à l’ensemble des autorités régionales de santé des recommandations à mettre en œuvre pour rester dans le giron du RGPD.
La CNIL signale également que la gestion du fichier SI-DEP, qui centralise les résultats des tests Covid19, « n’appelle pas de mesure particulière de sa part. » Sur le système d’information « Vaccin Covid », qui doit permettre de centraliser les données relatives aux vaccinations, la CNIL indique avoir invité le gouvernement à faire plus de transparence sur les partages de données avec des tiers et l’éventuel recours à une sous traitance.
La Cnil indique enfin qu’une troisième phase de contrôle est mise en œuvre depuis le mois de janvier 2021 et que son prochain avis fera état des résultats de cette nouvelle vague.
