La CNIL publie son cinquième avis adressé au Parlement sur les conditions de mise en œuvre des dispositifs contre la COVID-19
TousAntiCovid, SI-DEP, Contact-COVID, Vaccin COVID, passe sanitaire : à la suite de ses précédents avis et de 48 contrôles, la CNIL fait un nouveau point d’étape sur ses actions concernant les systèmes et dispositifs mis en place par le gouvernement pour lutter contre l’épidémie de COVID-19.
L’essentiel
- Depuis le mois d’avril 2020, la CNIL a été auditionnée à 12 reprises par le Parlement, a rendu 31 avis et a réalisé 48 opérations de contrôles. Cette démarche de contrôle continu des outils de gestion de l’épidémie est sans équivalent dans l’histoire de l’institution et a permis de s’assurer de leur mise en conformité en temps réel.
- La synthèse des travaux menés par la CNIL, figurant dans son cinquième avis, ne révèle pas de dysfonctionnement majeur des systèmes d'information créés pour lutter contre la crise sanitaire. Des ajustements techniques et des textes, ont été effectués par le gouvernement pour tenir compte de ses remarques.
- En particulier, la CNIL prend acte des engagements pris pour limiter le recours au fichier « SI-DEP » à la gestion des résultats de dépistage et de ne pas l’utiliser pour contrôler les mesures de quarantaine.
- S’agissant de l’évaluation de l’application TousAntiCovid, la CNIL relève que, malgré l’utilité marginale de la fonctionnalité de « contact tracing », les garanties intégrées pour préserver la vie privée permettent son maintien dans le contexte sanitaire actuel. Elle recommande toutefois d’inciter les utilisateurs à n’activer la fonctionnalité de traçage des cas contacts que pendant les périodes de circulation active du virus.
- Une sixième phase de contrôles se poursuivra sur le deuxième semestre 2022 concernant l’ensemble de ces dispositifs.
Le contexte
Dans le contexte de crise sanitaire qui perdure depuis mars 2020, la CNIL a été amenée à se prononcer à plusieurs reprises, et en urgence, sur la mise en œuvre des dispositifs créés pour lutter contre l’épidémie.
Elle a joué un rôle essentiel dans l’encadrement normatif de ces dispositifs :
- en amont, en se prononçant sur l’évolution des systèmes à l’occasion de demandes d’avis du gouvernement ;
- en aval, en effectuant de nombreuses opérations de contrôle.
Par son action et sa participation à de nombreuses auditions parlementaires, la CNIL a également a contribué à éclairer les débats autour des enjeux fondamentaux liés au respect de la vie privée et des données personnelles.
L’avis de la CNIL
Concernant le fichier « SI-DEP »
Le fichier SI-DEP (système d’information de dépistage) est un système d’information national mis en œuvre par le ministère de la Santé qui permet la centralisation des résultats des tests de dépistage de la COVID-19 réalisés par des laboratoires publics ou privés et certains professionnels de santé habilités, comme les pharmaciens.
En janvier 2022, la CNIL s’est prononcée sur la génération et l’envoi de certificats d’absence de contamination ou de rétablissement ainsi que les codes QR correspondants et a estimé que cet ajout était légitime et utile.
Elle a également alerté le ministère sur la nécessité d’exclure les agents préfectoraux de la liste des destinataires du NIR (ou numéro de sécurité sociale).
Par ailleurs, concernant la possibilité de réduire, maintenir ou prolonger la durée des mesures de quarantaine et d’isolement grâce à la vérification des résultats des examens de dépistage, la CNIL a rappelé que la détermination des modalités d’utilisation du fichier « SI-DEP » doit être limitée à ces objectifs et ne doit pas servir à contrôler le respect de ces mesures.
La CNIL a pris acte des mesures et engagement du ministère sur ces deux points.
Concernant le fichier « Vaccin COVID »
Le fichier VACCIN COVID est géré conjointement par la Direction générale de la santé et de la Caisse nationale d’assurance maladie (CNAM). Il a pour objectif la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre la COVID-19. Il comprend des informations sur les personnes invitées à être vaccinées ou déjà vaccinées afin d’organiser notamment la campagne de vaccination, le suivi et l’approvisionnement en vaccins et consommables (seringues, etc.), et la réalisation de recherches et du suivi de pharmacovigilance.
Comme pour le fichier « SI-DEP », la génération et l’envoi de certificats d’absence de contamination ou de rétablissement, ainsi que les codes QR correspondants sont désormais prévus par les textes.
Concernant l’ajout de l’information relative à la vaccination contre la grippe, la CNIL a regretté que l’alimentation du fichier avec ces nouvelles informations soit intervenue avant la modification du cadre réglementaire.
La CNIL a pris acte de la durée de conservation des données, fixée à 10 ans à compter de la collecte.
Elle a également effectué une première série de contrôles, qui s’est achevée au mois de mars 2021, sur le fichier « Vaccin COVID ». À l’issue de celle-ci, elle a adressé des courriers d’observations à la CNAM et au ministère de la Santé. D’autres investigations concernant ce traitement sont en cours.
Concernant le fichier « CONTACT COVID » et le suivi des cas contacts
Contact COVID, mis en œuvre par la Caisse nationale d’assurance maladie (CNAM), recueille des informations sur les cas contact et les chaînes de contamination par l’intermédiaire :
- des médecins de ville/établissements de santé/centres de santé ;
- du personnel habilité de l’assurance maladie ;
- des agences régionales de santé (ARS).
La CNIL a continué ses investigations sur le traitement « Contact COVID », dont les suites sont en cours d’instruction.
Concernant l’application « TousAntiCovid »
TousAntiCovid (anciennement StopCovid) est une application mobile de suivi de contacts, basée sur le volontariat des personnes et utilisant la technologie Bluetooth. Mise à disposition par le gouvernement, elle permet d’alerter les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué ou dépisté positif à la COVID-19. L’application a progressivement été enrichie, elle fournit des informations factuelles, sanitaires sur l’épidémie et contient également sous la fonction « carnet » les certificats de vaccinations et de tests-PCR ou antigéniques.
Le 5e avis a été l’occasion, pour la CNIL, de revenir sur l’évaluation des dispositifs déployés dans le cadre de la politique sanitaire.
La CNIL regrette que le second rapport remis au Parlement en janvier 2022 par le gouvernement, devant contenir l’évaluation SI-DEP et Vaccin COVID, ne lui ait été transmis que peu de temps avant que le Collège de la Commission se prononce sur le présent avis. Par conséquent, elle n’a pu analyser attentivement, dans le cadre du présent avis, que le rapport visant à évaluer l’utilisation de l’application « TousAntiCovid », son appropriation par les utilisateurs et l’efficacité des fonctionnalités de suivi de contacts (contact tracing).
L’évaluation de la fonctionnalité de « contact tracing »
Elle a considéré que même si la fonctionnalité de contact tracing par Bluetooth présente une utilité marginale, le fait que l’atteinte à la vie privée portée par ce dispositif est particulièrement faible en raison des garanties présentées, au premier rang desquelles figure le volontariat des utilisateurs, permet à ce stade son maintien.
Pour autant, la CNIL recommande que les utilisateurs ne soient incités à activer la fonctionnalité de contact tracing que durant les périodes de circulation active du virus et sous réserves de garanties additionnelles (dispositif complémentaire au suivi des contacts manuel, mise en œuvre de certaines améliorations techniques et sensibilisation accrue des utilisateurs, etc.).
En tout état de cause, elle souligne que, par principe, le recours à un tel dispositif doit être limité à la durée strictement nécessaire à la réponse à une situation sanitaire exceptionnelle.
Les contrôles de l’application TousAntiCovid
La CNIL a réalisé, les 6 et 7 juillet 2021, des contrôles pour vérifier la conformité au RGPD et à la loi Informatique et Libertés des fonctionnalités « TAC Carnet » et « TAC SIGNAL » mises en place les 19 avril et 25 mai 2021. Aucune modification substantielle n’étant survenue depuis, aucun contrôle supplémentaire n’a été réalisé par la CNIL.
Concernant le passe sanitaire « activités »
Le passe sanitaire « activités » est un dispositif au format papier ou numérique permettant d’accéder, sur le territoire national, à certains lieux recevant du public. Pour être valide, le passe doit comporter au moins une « preuve » sanitaire :
- une attestation de vaccination (schéma vaccinal complet) ;
- une preuve d’un test PCR, antigénique ou autotest négatif ;
- un test montrant le rétablissement de la COVID-19.
Le passe sanitaire « voyages », au format européen, permet quant à lui le contrôle sanitaire aux frontières.
La CNIL a organisé plusieurs phases de contrôle :
- au cours du mois de juillet 2021, afin de vérifier la sécurité et la confidentialité des traitements ;
- au cours du mois d’août 2021 auprès de différents établissements, notamment un aéroport, un restaurant et un musée afin de vérifier la bonne utilisation de l’application de contrôle du passe sanitaire dénommée « TousAntiCovid Verif » ;
- depuis le mois de septembre 2021 afin de vérifier l’absence de conservation des passes sanitaires par les établissements recevant du public ou employant du personnel soumis à l’obligation vaccinale, comme une fédération sportive, une salle de sport ou un établissement de santé.
Lors de ces contrôles, la CNIL a constaté une mauvaise pratique consistant à collecter les passes sanitaires par courriel et à conserver ces justificatifs. Elle a notamment adressé une mise en demeure à une fédération sportive.
Une procédure de contrôle continue
La CNIL a ainsi poursuivi ses investigations sur les dispositifs mis en œuvre dans le cadre de la lutte contre la propagation de l’épidémie de COVID-19. Les contrôles se poursuivront tout au long de la période d’utilisation des fichiers jusqu’à la fin de leur mise en œuvre et la suppression des données.
Les vérifications donnent lieu à des échanges réguliers et approfondis avec le ministère de la Santé et les autres organismes administrateurs et utilisateurs de ces dispositifs.
Une sixième phase de contrôles se poursuivra sur le deuxième semestre 2022 concernant l’ensemble de ces dispositifs.
Le sixième avis présentera les résultats de ces contrôles et reviendra sur les évaluations des autres dispositifs mis en œuvre pour la gestion de la crise sanitaire qui n’ont pas pu faire l’objet, à ce jour, d’une analyse par le Collège de la CNIL.
Enfin, une ultime campagne de contrôles sera effectuée à l’issue de la mise en œuvre des traitements pour vérifier la suppression effective des données, lorsque l’évolution de la situation sanitaire le permettra.