COVID-19 - Des dispositifs informatiques protégeant plutôt bien les données personnelles

Le fichier SI-DEP (Système d’information de dépistage) est un système d’information national mis en œuvre par le ministère des Solidarités et de la Santé, avec pour objectif de centraliser les résultats des tests de dépistage du COVID-19 réalisés par des laboratoires publics ou privés et certains professionnels de santé habilités, comme les pharmaciens. La CNIL constate que ses recommandations ont été suivies, notamment celles permettant d’améliorer la sécurité du dispositif.

Contact COVID est mis en œuvre par la Caisse nationale d’assurance maladie (CNAM) avec pour objectif de recueillir des informations sur les cas contact et les chaînes de contamination. La CNIL a constaté « diverses mauvaises pratiques :

• une conservation trop longue des données de santé des personnes dans le dispositif « COVIDOM COVISAN » (dispositif permettant un suivi médical à domicile ou un accompagnement à l’isolement) ;
• une information incomplète des patients ;

• l’absence de réalisation d’une analyse d’impact relative à la protection des données de la part de l’ARS pour le dispositif COVI CONTACT. »

TousAntiCovid est une application mobile de suivi de contacts, basée sur le volontariat des personnes et utilisant la technologie Bluetooth. Mise à disposition par le Gouvernement, elle permet d’alerter les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué ou dépisté positif au COVID-19. La CNIL a noté plusieurs « insuffisances » en matière de protection des données, par exemple l’absence d’anonymisation des données d’utilisation. Elle constate cependant que le Gouvernement a mis en place plusieurs mesures pour y remédier.

Le fichier VACCIN COVID est géré conjointement par la DGS (Direction générale de la santé) et par la CNAM. Son objectif est la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre le COVID-19. Il comprend des informations sur les personnes invitées à être vaccinées ou déjà vaccinées. La CNIL rappelle que les ARS (Agences régionales de santé) ne doivent être que les seules destinataires des données concernant les professionnels de santé soumis à l’obligation vaccinale. Elle renouvelle son opposition à la diffusion de listes de patients non vaccinés aux personnels de la CNAM ou aux médecins traitants, sauf si ceux-ci en font la demande.

Le Passe sanitaire est un dispositif au format papier ou numérique permettant d’accéder à certains lieux recevant du public. La CNIL constate avec satisfaction que les données personnelles ne sont pas conservées, mais note cependant certains dysfonctionnements, notamment l’absence d’information des personnes sur le traitement des données dans certains lieux.

D’une manière générale, la Commission regrette une nouvelle fois que le Gouvernement ne lui ai toujours pas transmis « les éléments qui permettent d’apprécier l’efficacité des traitements susmentionnés. » Elle souligne que leur utilisation « reste conditionnée à des garanties relatives à leur efficacité. »