Conditions de mise en oeuvre des traitements SI-DEP, Concact COVID et Stop COVID – Avis de la CNIL du 14 septembre 2020

Dans le cadre de la lutte contre la COVID-19, le Gouvernement a mis en place les fichiers SI-DEP et Contact Covid, et a déployé l’application mobile StopCovid. Comme prévu par la loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire, la CNIL, qui s’est prononcée sur les textes encadrant ces traitements, rend public son nouvel avis sur les conditions de mise en œuvre de ces dispositifs.

Ce qu’il faut retenir de l’avis de la CNIL :

• La CNIL constate que les dispositifs mis en place dans le cadre de la crise sanitaire (fichiers SI-DEP et Contact Covid, application Stopcovid) sont, pour l’essentiel, respectueux des données personnelles et que la plupart des préconisations formulées par la CNIL dans ses avis ont été prises en compte.
• Elle a toutefois constaté certaines mauvaises pratiques et s’est rapprochée des organismes en question afin qu’ils se mettent en conformité dans les meilleurs délais.
• La CNIL demande que des indicateurs soient mis en place afin d’évaluer plus précisément la contribution de ces dispositifs à la gestion de la crise sanitaire.
• Une seconde phase de contrôles débutera avant la fin du mois de septembre 2020. Leurs résultats seront communiqués dans le prochain avis public de la CNIL sur les traitements concernés.

Concernant plus particulièrement le fichier Contact Covid (voir l’avis complet sur le site de la CNIL) :

Rappel : le traitement ContactCovid mis en œuvre par la Caisse nationale d’assurance maladie (CNAM) recueille des informations sur les cas contact et les chaînes de contamination. Les enquêtes sanitaires sont menées à trois niveaux différents (médecins de ville/établissements de santé/centres de santé (niveau 1), personnel habilité de l’assurance maladie (niveau 2), agences régionales de santé (ARS) (niveau 3)).

La CNIL constate des différences de niveaux de maturité en matière de protection des données personnelles en fonction des organismes contrôlés.

Elle relève que, d’une manière générale, ces organismes ont mené des actions pour prendre en compte les exigences liées à la protection des données personnelles et à la collecte de données de santé, qui sont des données sensibles par nature et qui nécessitent dès lors une protection supplémentaire.

Toutefois, elle a constaté lors de contrôles l’existence de certaines pratiques insatisfaisantes concernant notamment :

• la délivrance de l’information aux personnes concernées, qui est parfois incomplète ;
• l’exercice des droits des personnes, qui ne fait pas l’objet d’une procédure formalisée dans certaines ARS ;
• la sécurité des transmissions des données entre certains organismes ;
• l’insuffisance, dans certains cas, des mécanismes de nature à garantir une conservation des données limitée à la durée prévue par les textes.

La CNIL s’est rapprochée de la CNAM et du ministère des Solidarités et de la Santé afin qu’ils se mettent en conformité dans les plus brefs délais. Si tel n’était pas le cas à l’issue de ces échanges, il appartiendra à la Présidente de la CNIL de déterminer si l’adoption d’une mesure correctrice est nécessaire.

A noter : une seconde vague de contrôle de la CNIL débutera avant la fin du mois de septembre 2020