La CNIL incapable d’ausculter les systèmes d’information instaurés pour la gestion de la crise sanitaire

Si la Commission Nationale de l’Informatique et des Libertés[1] (CNIL) a récemment beaucoup fait parler d’elle sous sa casquette de « gendarme » de la protection des données à caractère personnel, peu d’entre nous savent qu’elle est également investie d’une mission consultative

L’autorité administrative indépendante est en effet compétente pour conseiller les parlementaires et ministres lors de la création de nouveaux fichiers.  Il lui revient de concilier la poursuite des objectifs d’intérêt public fixés par le gouvernement et le respect des droits reconnus aux citoyens pour conserver la maitrise de leurs informations personnelles.

A ce titre, la CNIL procède depuis le début de la crise sanitaire à une évaluation continue des traitements de données déployés pour mettre fin à la pandémie.

Dernier événement en date : la publication le 30 novembre 2021 de son dernier rapport au Parlement, dressant l’état des lieux des mesures adoptées pour lutter contre la propagation de la COVID-19[2].

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Si vous souhaitez prendre connaissance de la Délibération n° 2021-139 du 21 octobre 2021 de la CNIL dans son intégralité, nous vous invitons à consulter l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/avis_ndeg_2021-139_du_21_octobre_2021_sur_la_mise_en_oeuvre_des_systemes_dinformation_contre_la_covid-19.pdf

Quelles mesures sur la table d’examen ?

L’ampleur des investigations menées par l’autorité régulatrice depuis le mois d’avril 2020 est sans précédents. Celle-ci a été auditionnée 12 fois par les pouvoirs publics, a rendu 27 avis publics et a réalisé pas moins de 42 opérations de contrôles.

Cette dernière délibération était l’occasion pour la Commission de faire le point sur les actions menées par l’institution depuis le début de la pandémie.

Les vérifications de la CNIL ont porté tant sur les évolutions du cadre normatif que sur les conditions opérationnelles de mise en œuvre des dispositifs instaurés par le gouvernement pour endiguer la diffusion du virus, à savoir :

  1. Le fichier « SI-DEP », qui permet de centraliser les résultats des tests de dépistages effectués par les laboratoires et les hôpitaux.
  2. Le dispositif « CONTACT COVID », consignant les informations disponibles sur les individus exposés et visant à surveiller les chaînes de contamination.
  3. Les traitements de données « COVIDOM COVISAN », permettant un suivi médical à domicile et un accompagnement à l’isolement des personnes infectées par le virus.
  4. L’application « TousAntiCovid », téléchargée volontairement par les utilisateurs souhaitant être alertés d’un éventuel risque de contamination en raison de leur proximité avec un individu déclaré positif à la Covid-19.
  5. Le fichier « VACCIN COVID », qui a pour objectif le pilotage et le suivi des campagnes vaccinales (organisation des disponibilités de rendez-vous, de l’approvisionnement en vaccins, réalisation d’un suivi de pharmacovigilance, etc.).
  6. Les systèmes d’information permettant le contrôle du passe sanitaire ‘activités’ (« TousAntiCovid Carnet », « TousAntiCovid Signal », « TousAntiCovid Vérif »).

Quel bilan, Docteur ?

Durant son enquête, la CNIL a relevé plusieurs manquements aux exigences prévues par le Règlement Général sur la Protection des Données.

Elle a entre autres dénoncé l’absence de réalisation d’une analyse d’impact relative à la protection des données ainsi qu’une conservation trop longue des informations personnelles des patients enregistrées dans le dispositif « COVIDOM COVISAN ». L’autorité de contrôle a également pointé du doigt des transferts de données en dehors de l’Union Européenne dans le cadre de la conversion de certificats de vaccination étrangers via l’application « TousAntiCovid ».

Mais surtout, la Commission insiste sur la nécessité d’améliorer l’information des professionnels de santé et des personnes concernées sur les diverses mesures mises en place pour contrôler l’évolution de la pandémie. Elle exhorte le gouvernement à plus de transparence. Elle l’incite à rendre aisément accessible à l’ensemble de la population des renseignements clairs et précis sur l’existence de ces différents systèmes d’information, leur étendue ainsi que leurs interconnexions.

Pourtant, et malgré les violations constatées, l’autorité régulatrice s’est montrée particulièrement indulgente envers les responsables de ces traitements de données. La plupart d’entre eux ayant procédé aux aménagements nécessaires pour mettre un terme à ces irrégularités (ou s’y étant engagés), la CNIL s’est contentée d’adresser une centaine de courriers d’observation aux organismes concernés afin de leur rappeler leurs obligations et les mesures à prendre pour se mettre en conformité…

Comme déjà évoqué, l’autorité de contrôle est chargée de veiller à l’équilibre entre la poursuite des impératifs de santé publique et la protection des citoyens à l’égard du traitement de leurs données personnelles.

Dans son avis public, la CNIL indique pourtant avoir été dans l’incapacité d’assumer pleinement son rôle.

Elle dénonce l’inaction des ministères qui, malgré ses demandes répétées en ce sens, ne lui ont transmis aucun élément lui permettant d’apprécier la nécessité et la proportionnalité des dispositifs déployés dans le cadre de sa politique sanitaire.

Le gouvernement est pourtant légalement tenu de compléter la délibération de la CNIL par un rapport trimestriel détaillé sur l’application de ces systèmes d’informations, comprenant « des indicateurs d’activité, de performance et de résultats quantifiés adaptés aux priorités retenues »[1].

L’autorité administrative indépendante rappelle que le recours à ces mesures attentatoires à la vie privée demeure conditionné à des garanties sur leur efficacité.

[1] Article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions

A l’issue du Conseil des ministres du 1er décembre dernier, le porte-parole du gouvernement Gabriel Attal a affirmé posséder des « preuves concrètes » de leur efficience. Ces preuves n’ont, à ce jour, toujours pas été communiquées à la CNIL.

Alors que l’autorité régulatrice alerte sur le risque d’accoutumance et de banalisation de ces dispositifs, les députés viennent d’adopter en première lecture une proposition de loi visant à créer une plateforme de référencement et de prise en charge des personnes souffrant de « Covid long ». Un logiciel susceptible de concerner plus de 2,4 millions d’individus[1], ce sans qu’aucune véritable étude scientifique n’ait été menée sur le besoin et l’opportunité d’instaurer cette application. Se pose une nouvelle fois la question de la légitimité d’un tel dispositif.

Le diagnostic posé par la CNIL ne semble pas guérir nos pouvoirs publics du nouveau symptôme dont ils sont atteints : la prolifération de traitements de données créés à tout va…

[1] Pour plus d’informations : https://www.vie-publique.fr/loi/282605-proposition-de-loi-plateforme-malades-covid-long

L.H

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.