Depuis quelques jours, le Conseil constitutionnel a rendu sa décision qui a validé plusieurs dispositions contestées de la loi relative à la gestion de la crise sanitaire. Si le gouvernement français a salué cette décision qui favorise une extension du passe sanitaire, allonge la durée de conservation des données du fichier contenant la centralisation des tests de dépistage et donne aux ARS un accès aux données relatives à la vaccination des professionnels placés sous leur contrôle, la CNIL quant à elle a émis des réserves sur plusieurs points comme les dispositifs de lecture alternatifs du passe sanitaire, le fichier SI-DEP, ainsi que le système de gestion et de suivi des vaccinations (Vaccin Covid).Recommandations de la CNIL concernant l’évolution du passe sanitaire
Afin de pouvoir mieux lutter contre la pandémie à coronavirus, le gouvernement français a pris plusieurs décrets qui permettent :
- de faire désormais le contrôle du passe sanitaire en ligne à l’aide de nouveaux dispositifs alternatifs à l’application TousAntiCovid Verif ;;
- l’élargissement des données accessibles aux contrôleurs dans le cadre de certains déplacements aux informations relatives à l’examen de dépistage ou au vaccin réalisé ;;
- la conservation temporaire de certaines informations par les dispositifs de contrôle.
Depuis ce lundi, l’extension du passe sanitaire est donc entrée en vigueur dans le pays. Déjà exigé depuis le 21 juillet dans les lieux de culture, le passe sanitaire est désormais indispensable pour accéder à certains endroits comme les bars, les restaurants, les cinémas, les hôpitaux, les transports en commun, etc. Il se présente sous la forme d’un QR code et peut être désormais lu par TousAntiCovid Verif, mais aussi d’autres dispositifs alternatifs. Compte tenu de la sensibilité des données traitées, la CNIL invite le Gouvernement à revoir certaines dispositions dans son projet de publier des décrets d’application pour affiner la mise en application de la loi relative à la gestion de la crise sanitaire.
De prime abord, la CNIL (la Commission nationale de l’informatique et des libertés) interpelle le Gouvernement français sur la nécessité de vérifier que les dispositifs de lecture alternatifs à l’application TousAntiCovid Verif respectent les conditions fixées par arrêté du ministre chargé de la santé, avant de pouvoir être utilisés par les acteurs devant contrôler le passe sanitaire. Pour la CNIL, « ;le Gouvernement devrait notamment contrôler le respect de l’ensemble des conditions posées par les textes, la conformité au RGPD (notamment l’absence de transfert illicite de données en dehors de l’Union européenne) ainsi que la sécurité du dispositif. Il devrait aussi prévoir des garanties complémentaires permettant d’assurer la transparence du dispositif (par exemple, la publication d’une liste des applications de lecture conformes et du code source de ces dispositifs) ;». Cette exigence de la CNIL semble assez pertinente, car un manque de garde-fous pourrait donner lieu à l’agrégation d’informations personnelles par les dispositifs alternatifs de lecture des données de santé.
En outre, la CNIL estime que si l’élargissement de l’accès aux informations de l’application TousAntiCovid Verif semble justifié, il devrait être toutefois limité à certains déplacements à l’étranger. Par ailleurs, pour les voyageurs à destination ou en provenance de la Corse ou des outre-mer ainsi que pour le personnel intervenant dans les services de transport concernés, la Commission nationale de l’informatique et des libertés (CNIL) préconise que le contrôle du passe sanitaire ne donne accès qu’à un nombre limité d’informations comme l’identité de la personne et le caractère valide du justificatif (« ;bouton vert ;» ou « ;bouton rouge ;»).
Concernant la conservation temporaire des données, la CNIL avance que si la vérification du passe sanitaire en ligne pourrait nécessiter de conserver les informations liées au contrôle jusqu’à ce que la personne concernée puisse effectuer son déplacement ou accéder au lieu où elle souhaite se rendre, le gouvernement devrait toutefois limiter la conservation temporaire au seul résultat de vérification opérée, conformément au principe de minimisation des données.
Recommandions de la CNIL sur la sécurité des données lors de la conversion des données pour l’obtention d’un certificat au format européen
Un autre point abordé par la CNIL est la sécurité des données transmises pour générer un passe sanitaire valide en France. En effet, pour permettre aux Français de l’étranger et aux étrangers d’avoir un passe sanitaire valable en France, le Gouvernement a mis en place un portail dédié, connecté au « convertisseur de certificats », permettant de générer un passe sanitaire valable en France. Ce passe est généré par des agents habilités sur la base d’informations transmises par les demandeurs.
Pour la CNIL, il est plus qu’évident de sécuriser l’envoi des informations nécessaires à la génération du certificat au format européen (par exemple grâce à la mise en place d’un portail web sécurisé) et de s’assurer de la suppression des informations une fois le certificat transmis à leurs détenteurs.
Enfin, elle relève que si le « convertisseur de certificats » faisait intervenir un prestataire étatsunien, le Gouvernement a pris des mesures satisfaisantes afin de garantir la conformité au RGPD des transferts de données opérés en prévoyant de changer de prestataire, dans les jours à venir, au profit d’une société soumise à des juridictions relevant exclusivement de l’Union européenne
Avis de la CNIL sur l’allongement de la durée de conservation des données de SI-DEP (système d’information de dépistage)
Dans le principe actuel, les données des personnes testées positives à la COVID-19 sont conservées pendant 3 mois dans le SI-DEP et celles concernant la validité des certificats de rétablissement sont conservées pendant 6 mois à compter de la contamination. Partant du fait qu’il existait un décalage entre la durée de conservation de ces deux types de données, le législateur a décidé d’allonger la durée de conservation des données des personnes testées positives à la COVID-19 jusqu’à 6 mois après leur collecte. Le projet de décret du gouvernement reprend à l’identique les dispositions législatives sur ce point. Vu la pertinence de la proposition, aucune objection n’a été faite à ce sujet par la CNIL.
Mise en garde de la CNIL concernant le contrôle de l’obligation vaccinale des professionnels par les Agences régionales de santé (ARS)
Avec la validation de la loi sur la gestion de la crise sanitaire, certains professionnels comme les médecins, les chirurgiens-dentistes, les infirmiers diplômés d’État, les pédicures-podologues, etc. ont l’obligation de se faire vacciner. Pour veiller à l’application de cette loi, le législateur a autorisé les agences régionales de santé (ARS) à accéder, avec le concours des organismes d’assurance maladie, aux données relatives à la vaccination des professionnels placés sous leur contrôle.
Pour la CNIL, en donnant cette prérogative aux ARS, la loi aménage ainsi une dérogation au secret médical au bénéfice des ARS, dans la mesure où les données sur le statut de vaccination d’une personne figurant dans le système d’information « ;Vaccin covid ;» sont couvertes par le secret médical, et ne sont accessibles qu’aux professionnels de santé participant à la réalisation de la vaccination de la personne concernée et à certaines autorités sanitaires pour l’exercice de leurs missions (CNAM, ANSM).
Pour éviter des abus de la part des ARS, la CNIL a recommandé au gouvernement :
- d’exiger que les agents des ARS reçoivent uniquement les données des professionnels exerçant à titre libéral et dans leur territoire de compétence ;;
- d’exiger que les accès aux données des professionnels soient limités aux seuls agents ayant comme mission le suivi et le contrôle de l’obligation de vaccination des professionnels ;;
- qu’une liste précise des données soit mentionnée dans le décret.
Pour rassurer, le ministère explique que les données transmises prendraient la forme de listes de professionnels non vaccinés, par rapprochement avec le Fichier National des Professionnels de Santé (FNPS), sous la responsabilité de la CNAM.
Mais là encore, étant donné que ce fichier a été créé en 2004 pour recenser l’adresse d’exercice professionnel et le numéro identifiant du répertoire partagé des professionnels de santé (RPPS), la CNIL considère que les finalités du FNPS devraient être modifiées avant que ce fichier puisse être réutilisé pour la constitution de listes. En outre, la CNIL insiste sur la nécessité :
- d’informer les personnes concernées par le FNPS (tous les professionnels de santé salariés ou libéraux) puisque le système d’information Vaccin Covid ne concerne que les personnes ayant reçu un bon de vaccination ou étant vaccinées ;;
- de donner la possibilité pour ces personnes d’exercer les droits relatifs à la protection de leurs données.
Concernant la conservation des listes par les ARS et les organismes d’assurance maladie, la CNIL a émis les remarques suivantes :
- la conservation des listes doit se faire seulement jusqu’à la fin de l’obligation vaccinale et pas au-delà ;;
- un effacement des listes par les organismes d’assurance maladie doit se faire dès leur accusé de réception par les ARS ;;
- une transmission régulière et une conservation par les ARS uniquement de la liste la plus récente.
Enfin, la CNIL précise que « ;le contexte sanitaire actuel peut justifier des mesures exceptionnelles uniquement si elles restent limitées dans le temps et si elles sont nécessaires pour lutter contre le rebond épidémique et éviter un nouveau confinement. Il est donc essentiel que l’impact des différents dispositifs numériques sur la stratégie sanitaire globale soit étudié et documenté régulièrement, à partir de données objectives, afin de s’assurer que le recours à ces dispositifs prenne fin dès que leur nécessité disparaîtra ;».
Source : CNIL
Et vous ?
Que pensez-vous des recommandations émises par la CNIL ;? Sont-elles pertinentes ;? Selon vous, quelle loi pourrait efficacement permettre de lutter contre la Covid-19 ;? 
Envoyé par Madmac
