SI-DEP, Contact Covid et StopCovid : la CNIL lance sa campagne de contrôles
Dans le cadre de la lutte contre l’épidémie de COVID-19, le Gouvernement a mis en place les fichiers SI-DEP et Contact Covid, auxquels s'ajoute le déploiement de l’application mobile StopCovid. Après s’être prononcée sur les projets de décrets encadrant la mise en œuvre de ces traitements, la CNIL va désormais procéder à une série de contrôles de ces outils.
Le 8 mai 2020, la CNIL s’est prononcée en urgence sur le projet de décret encadrant les conditions de mise en œuvre des fichiers SI-DEP et Contact Covid. Ces fichiers doivent permettre d’identifier les personnes contaminées, les personnes qu’elles sont susceptibles d’avoir contaminées et les chaînes de contamination. Ils visent également à assurer la prise en charge sanitaire et l’accompagnement des personnes atteintes du virus ou susceptibles de l’être, ainsi que la surveillance épidémiologique du virus.
Parallèlement, la CNIL s’est prononcée le 24 avril 2020 sur le principe de mise en œuvre de l’application StopCovid. Elle a ensuite rendu un avis le 25 mai 2020, également en urgence, sur le projet de décret encadrant cet outil destiné à informer les personnes utilisatrices qu’elles ont été à proximité de personnes diagnostiquées positives au COVID-19.
La CNIL a relevé dans ses différents avis que les projets du Gouvernement comportaient des garanties. Celles-ci ont également été complétées pour tenir compte des recommandations de la CNIL.
Il s’agit désormais pour la CNIL de vérifier, sur le terrain, le bon fonctionnement de ces dispositifs.
Ainsi, conformément à ce qu’elle avait annoncé lors de son audition publique devant l’Assemblée nationale le 5 mai 2020, la Présidente de la CNIL a décidé de faire procéder à une série de contrôles des dispositifs SI-DEP et Contact Covid. Dans la même logique, et afin d’avoir une approche exhaustive des outils mobilisés, la Présidente de la CNIL a également pris la décision de diligenter des vérifications sur l’application StopCovid.
Ces contrôles commenceront dès le mois de juin. Ils se poursuivront tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent.
Les investigations se dérouleront sur place, notamment dans les locaux de la Caisse nationale de l’assurance maladie (CNAM) et du ministère des Solidarités et de la Santé, en ligne (pour l’application StopCovid) et par le biais de questionnaires et de demandes de documents.
Les points de vérification porteront notamment sur :
- les modalités de recueil de consentement et d’information des personnes ;
- la sécurité des systèmes d’information ;
- les flux de données et les destinataires ;
- le respect des droits d’accès ou d’opposition des personnes.
Ces constatations pourront conduire, en cas de manquement graves ou répétés, à l’adoption de mesures correctrices, telles que des mises en demeure et/ou des sanctions.
Elles permettront également d’alimenter l’avis de la CNIL destiné à compléter le rapport adressé tous les trois mois par le Gouvernement au Parlement concernant la mise en œuvre des systèmes d'information développés pour lutter contre la propagation de l'épidémie (article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire).