Rechercher
Se connecter
Adhérer
Actualités de l'Urgence - APM
Retour
COVID-19: LA CNIL GLOBALEMENT SATISFAITE DE LA MISE EN OEUVRE DES SYSTÈMES D'INFORMATION DE TRAÇAGE DE L'ÉPIDÉMIE
Cet avis est un "bilan intermédiaire de ces systèmes" réalisé "à la lumière des avis rendus et des 25 contrôles réalisés par la Cnil" sur place, sur audition et en ligne, a-t-elle indiqué dans un communiqué l'accompagnant.
Il "complète le second rapport trimestriel du gouvernement qui sera adressé au Parlement et dont la Commission n’a pas encore eu connaissance", est-il indiqué dans l'avis.
Entre mai et novembre 2020, 6 contrôles ont concerné Sidep, 12 Contact Covid et 7 TousAntiCovid (ex-StopCovid).
Ils ont été menés auprès de l'Assistance publique-hôpitaux de Paris (AP-HP), qui assure la mise en oeuvre de Sidep, la Caisse nationale de l'assurance maladie (Cnam), qui est responsable de Contact Covid, ainsi que deux caisses primaires d'assurance maladie (CPAM), deux agences régionales de santé (ARS), et les conseils nationaux de l'ordre des médecins (Cnom) et des pharmaciens (Cnop).
Les ordres ne sont pas responsables du traitement Contact Covid "et donc pas tenus à une obligation d’information des personnes", mais ils "ont tous deux procédé à une information des médecins et des pharmaciens", souligne la délibération.
Concernant Sidep, la Cnil "a constaté que les remarques effectuées à l’issue de la première phase de contrôle en septembre 2020 ont été prises en compte" et jugé "satisfaisant" le niveau de conformité du respect des durées de conservation des données.
"La transmission de données vers la plateforme des données de santé [ou Health Data Hub] a été reportée par le gouvernement", apprend-on dans l'avis, qui ne mentionne pas d'échéance pour cette transmission.
Ses modalités techniques "sont déjà configurées et, à ce stade, apparaissent assurer un niveau de confidentialité des données suffisant avant que celles-ci soient communiquées à la Cnam, en charge du téléversement des données vers la plateforme."
Par ailleurs, "certaines remarques n’ont pas été prises en compte, et plus particulièrement s’agissant de l’ajout de la durée de conservation des données par le Service public d’information en santé (SPIS)".
"Les conditions de mise en oeuvre de Sidep n'appellent pas de mesure particulière", conclut la Cnil.
Concernant l'utilisation de Contact Covid par la Cnam, "un plan d’action a amélioré les modalités de mise en oeuvre du traitement et corrigé les mauvaises pratiques qui avaient été relevées" dans le précédent avis de la Commission (cf dépêche du 14/09/2020 à 17:05).
La Cnil souligne "la bonne coopération et la réactivité" de la Cnam qui a procédé à plusieurs modifications techniques et organisationnelles à sa demande.
"Les CPAM recourent systématiquement aux messageries sécurisées de santé [MSSanté] pour transmettre des fichiers aux ARS […] les listes des cas contacts et patients zéro identifiés au sein d’établissements scolaires de l’éducation nationale et de l’enseignement supérieur sont directement transmises aux CPAM par l’intermédiaire d’une plateforme sécurisée (sans que l’ARS serve d’intermédiaire)", est-il notamment indiqué.
"Depuis le 28 juillet 2020, un système de suppression automatique des données de plus de trois mois contenues dans l’outil Contact Covid est mis en oeuvre chaque jour", et la Cnil a noté son effectivité.
"S’agissant des garanties apportées au recours aux sous-traitants par les organismes de protection sociale ainsi que la suppression de l’accès par l’ensemble des professionnels de santé et personnels habilités d’un établissement de santé ou social et médico-social aux données des personnes prises en charge par l’établissement, afin de limiter l’accès aux données des personnes effectivement prises en charge", les observations de la Cnil ont été mises en oeuvre.
Elle a toutefois constaté "certaines mauvaises pratiques résiduelles relatives aux conditions d’authentification, à la traçabilité et à la transmission de données personnelles à un tiers non habilité à héberger des données de santé", qu'elle explique par "l’augmentation brutale de la propagation du Covid-19 et aux adaptations qu’il a fallu effectuer en urgence pour y faire face".
Parmi ces mauvaises pratiques, le SMS envoyé par la Cnam aux cas contacts n’ayant pu être joints par téléphone (cf dépêche du 28/10/2020 à 15:39) "contenait une URL raccourcie entraînant la transmission de données à caractère personnel à un tiers (la société Bitly) non habilité à héberger des données de santé". "Cette pratique ponctuelle n’a duré que du 23 octobre au 2 novembre", précise la Cnil.
La présidente de la Commission a adressé un courrier à la Cnam pour lui rappeler ses obligations et lui indiquer des mesures pour y remédier.
"Nombreuses disparités de pratiques" dans les ARS
Concernant l'utilisation de Contact Covid par les ARS, la Cnil "a relevé de nombreuses disparités de pratiques dans le cadre de l’activité de suivi des contacts".
Elle déplore la présence de champs commentaires "alors que de telles de zones de saisie de texte libre favorisent le risque de renseigner des commentaires inappropriés ou non pertinents" et un défaut d'information des personnes.
Une ARS a mis en oeuvre "de nombreuses mesures pour garantir de façon optimale le respect des données personnelles", tandis que "plusieurs manquements dans la gestion des données, notamment concernant leur durée de conservation et leur sécurité", ont été constatés dans une autre, qui a été mise en demeure "de se conformer aux exigences du règlement général sur la protection des données [RGPD] dans un délai d’un mois".
La Cnil ne nomme pas les agences concernées.
Elle a adressé un "courrier de sensibilisation" à toutes les ARS pour leur faire des recommandations, ainsi qu'un courrier au ministère des solidarités et de la santé "afin de l'alerter sur les constatations effectuées".
Concernant TousAntiCovid, la Cnil souligne "qu’aucune des données traitées dans le cadre des nouvelles fonctionnalités ne fait l’objet d’un traitement sur le serveur central". L'application comprend notamment des informations sanitaires sur l'épidémie, la vaccination, un générateur d'attestations de déplacements et un accès facilité au site Santé.fr (cf dépêche du 22/10/2020 à 19:30).
La Commission "restera vigilante quant aux éventuelles évolutions d’un dispositif qui a posé des questions inédites en termes de protection des données à caractère personnel et de respect de la vie privée" et rappelle qu'elle "peut diligenter de nouveaux contrôles".
Elle indique avoir "rendu un avis en urgence le 17 décembre 2020 sur un projet de décret modifiant le décret [du 29 mai relatif à l'application], qui ne pourra être publié qu’après publication du décret précité". Ce projet de décret, publié par le comité de contrôle et de liaison Covid-19 (CCL-Covid), prévoit de nouvelles modifications de l'application, rappelle-t-on (cf dépêche du 12/01/2021 à 16:49).
Par ailleurs, la Cnil répète qu'elle a demandé à plusieurs reprises "que l’impact effectif du dispositif sur la stratégie sanitaire globale soit étudié et documenté par le gouvernement pendant toute sa période d’utilisation".
"Il est indispensable de développer des initiatives et des indicateurs permettant d’évaluer pleinement l’effectivité sanitaire du dispositif", estime-t-elle.
Elle "considère notamment que les métriques de l’application relatives à son efficacité (nombre d’utilisateurs déclarés positifs ainsi que ceux notifiés via l’application) pourraient être comparés avec celles des systèmes d’information Contact Covid et Sidep afin d’apprécier l’utilité" de TousAntiCovid.
De nouveaux contrôles à venir
Par ailleurs, la Cnil évoque brièvement le SI Vaccin Covid.
Elle rappelle qu'elle a demandé des précisions qui n'ont pas été apportées dans le décret publié le 25 décembre 2020 (cf dépêche du 28/12/2020 à 15:31), et fait savoir qu'elle "sera vigilante quant aux conditions de [sa] mise en oeuvre".
"Des contrôles seront conduits dans les prochaines semaines", indique-t-elle. Enfin, une troisième phase de contrôles "débutera dès le mois de janvier" pour les autres SI.
Au sujet de Sidep, ils porteront particulièrement sur "la mise en oeuvre effective des transmissions à la plateforme des données de santé", "les potentielles évolutions du décret encadrant le traitement" et "le respect des durées de conservation".
Les contrôles de Contact Covid se concentreront sur "l’accès au portail 'accès partenaires' ' Contact Covid' de nouveaux utilisateurs (pharmaciens, universités, sous-traitants de la Cnam, etc.)", "la délivrance de tests antigéniques", "l’effectivité des mesures prévues pour l’exercice des droits des personnes concernées" et "l'utilisation des données issues de Contact Covid par d'autres ARS".
Pour TousAntiCovid, "les potentielles évolutions du décret encadrant le traitement", "les mesures visant à évaluer l’efficacité et l’utilité de l’application" et "la conformité des potentielles nouvelles fonctionnalités" feront "l'objet d'une attention particulière".
Délibération n°2021-004 du 14 janvier 2021 de la Cnil
lc/ab/APMnews
Informations professionnelles
- AFMU
- Agenda
- Annonces de postes
- Annuaire de l'urgence
- Audits
- Calculateurs
- Cas cliniques
- Cochrane PEC
- Consensus
- Consensus SFMU
- COVID-19
- DynaMed
- E-learning
- Géodes
- Grand public
- Librairie
- Médecine factuelle
- Outils professionnels
- Portail de l'urgence
- Recherche avancée
- Référentiels SFMU
- Textes réglementaires
- UrgencesDPC
- Webinaire
- Weblettre
Adhérer à la SFMU
Alerte sanitaire
Inscription newsletter Retour
COVID-19: LA CNIL GLOBALEMENT SATISFAITE DE LA MISE EN OEUVRE DES SYSTÈMES D'INFORMATION DE TRAÇAGE DE L'ÉPIDÉMIE
Cet avis est un "bilan intermédiaire de ces systèmes" réalisé "à la lumière des avis rendus et des 25 contrôles réalisés par la Cnil" sur place, sur audition et en ligne, a-t-elle indiqué dans un communiqué l'accompagnant.
Il "complète le second rapport trimestriel du gouvernement qui sera adressé au Parlement et dont la Commission n’a pas encore eu connaissance", est-il indiqué dans l'avis.
Entre mai et novembre 2020, 6 contrôles ont concerné Sidep, 12 Contact Covid et 7 TousAntiCovid (ex-StopCovid).
Ils ont été menés auprès de l'Assistance publique-hôpitaux de Paris (AP-HP), qui assure la mise en oeuvre de Sidep, la Caisse nationale de l'assurance maladie (Cnam), qui est responsable de Contact Covid, ainsi que deux caisses primaires d'assurance maladie (CPAM), deux agences régionales de santé (ARS), et les conseils nationaux de l'ordre des médecins (Cnom) et des pharmaciens (Cnop).
Les ordres ne sont pas responsables du traitement Contact Covid "et donc pas tenus à une obligation d’information des personnes", mais ils "ont tous deux procédé à une information des médecins et des pharmaciens", souligne la délibération.
Concernant Sidep, la Cnil "a constaté que les remarques effectuées à l’issue de la première phase de contrôle en septembre 2020 ont été prises en compte" et jugé "satisfaisant" le niveau de conformité du respect des durées de conservation des données.
"La transmission de données vers la plateforme des données de santé [ou Health Data Hub] a été reportée par le gouvernement", apprend-on dans l'avis, qui ne mentionne pas d'échéance pour cette transmission.
Ses modalités techniques "sont déjà configurées et, à ce stade, apparaissent assurer un niveau de confidentialité des données suffisant avant que celles-ci soient communiquées à la Cnam, en charge du téléversement des données vers la plateforme."
Par ailleurs, "certaines remarques n’ont pas été prises en compte, et plus particulièrement s’agissant de l’ajout de la durée de conservation des données par le Service public d’information en santé (SPIS)".
"Les conditions de mise en oeuvre de Sidep n'appellent pas de mesure particulière", conclut la Cnil.
Concernant l'utilisation de Contact Covid par la Cnam, "un plan d’action a amélioré les modalités de mise en oeuvre du traitement et corrigé les mauvaises pratiques qui avaient été relevées" dans le précédent avis de la Commission (cf dépêche du 14/09/2020 à 17:05).
La Cnil souligne "la bonne coopération et la réactivité" de la Cnam qui a procédé à plusieurs modifications techniques et organisationnelles à sa demande.
"Les CPAM recourent systématiquement aux messageries sécurisées de santé [MSSanté] pour transmettre des fichiers aux ARS […] les listes des cas contacts et patients zéro identifiés au sein d’établissements scolaires de l’éducation nationale et de l’enseignement supérieur sont directement transmises aux CPAM par l’intermédiaire d’une plateforme sécurisée (sans que l’ARS serve d’intermédiaire)", est-il notamment indiqué.
"Depuis le 28 juillet 2020, un système de suppression automatique des données de plus de trois mois contenues dans l’outil Contact Covid est mis en oeuvre chaque jour", et la Cnil a noté son effectivité.
"S’agissant des garanties apportées au recours aux sous-traitants par les organismes de protection sociale ainsi que la suppression de l’accès par l’ensemble des professionnels de santé et personnels habilités d’un établissement de santé ou social et médico-social aux données des personnes prises en charge par l’établissement, afin de limiter l’accès aux données des personnes effectivement prises en charge", les observations de la Cnil ont été mises en oeuvre.
Elle a toutefois constaté "certaines mauvaises pratiques résiduelles relatives aux conditions d’authentification, à la traçabilité et à la transmission de données personnelles à un tiers non habilité à héberger des données de santé", qu'elle explique par "l’augmentation brutale de la propagation du Covid-19 et aux adaptations qu’il a fallu effectuer en urgence pour y faire face".
Parmi ces mauvaises pratiques, le SMS envoyé par la Cnam aux cas contacts n’ayant pu être joints par téléphone (cf dépêche du 28/10/2020 à 15:39) "contenait une URL raccourcie entraînant la transmission de données à caractère personnel à un tiers (la société Bitly) non habilité à héberger des données de santé". "Cette pratique ponctuelle n’a duré que du 23 octobre au 2 novembre", précise la Cnil.
La présidente de la Commission a adressé un courrier à la Cnam pour lui rappeler ses obligations et lui indiquer des mesures pour y remédier.
"Nombreuses disparités de pratiques" dans les ARS
Concernant l'utilisation de Contact Covid par les ARS, la Cnil "a relevé de nombreuses disparités de pratiques dans le cadre de l’activité de suivi des contacts".
Elle déplore la présence de champs commentaires "alors que de telles de zones de saisie de texte libre favorisent le risque de renseigner des commentaires inappropriés ou non pertinents" et un défaut d'information des personnes.
Une ARS a mis en oeuvre "de nombreuses mesures pour garantir de façon optimale le respect des données personnelles", tandis que "plusieurs manquements dans la gestion des données, notamment concernant leur durée de conservation et leur sécurité", ont été constatés dans une autre, qui a été mise en demeure "de se conformer aux exigences du règlement général sur la protection des données [RGPD] dans un délai d’un mois".
La Cnil ne nomme pas les agences concernées.
Elle a adressé un "courrier de sensibilisation" à toutes les ARS pour leur faire des recommandations, ainsi qu'un courrier au ministère des solidarités et de la santé "afin de l'alerter sur les constatations effectuées".
Concernant TousAntiCovid, la Cnil souligne "qu’aucune des données traitées dans le cadre des nouvelles fonctionnalités ne fait l’objet d’un traitement sur le serveur central". L'application comprend notamment des informations sanitaires sur l'épidémie, la vaccination, un générateur d'attestations de déplacements et un accès facilité au site Santé.fr (cf dépêche du 22/10/2020 à 19:30).
La Commission "restera vigilante quant aux éventuelles évolutions d’un dispositif qui a posé des questions inédites en termes de protection des données à caractère personnel et de respect de la vie privée" et rappelle qu'elle "peut diligenter de nouveaux contrôles".
Elle indique avoir "rendu un avis en urgence le 17 décembre 2020 sur un projet de décret modifiant le décret [du 29 mai relatif à l'application], qui ne pourra être publié qu’après publication du décret précité". Ce projet de décret, publié par le comité de contrôle et de liaison Covid-19 (CCL-Covid), prévoit de nouvelles modifications de l'application, rappelle-t-on (cf dépêche du 12/01/2021 à 16:49).
Par ailleurs, la Cnil répète qu'elle a demandé à plusieurs reprises "que l’impact effectif du dispositif sur la stratégie sanitaire globale soit étudié et documenté par le gouvernement pendant toute sa période d’utilisation".
"Il est indispensable de développer des initiatives et des indicateurs permettant d’évaluer pleinement l’effectivité sanitaire du dispositif", estime-t-elle.
Elle "considère notamment que les métriques de l’application relatives à son efficacité (nombre d’utilisateurs déclarés positifs ainsi que ceux notifiés via l’application) pourraient être comparés avec celles des systèmes d’information Contact Covid et Sidep afin d’apprécier l’utilité" de TousAntiCovid.
De nouveaux contrôles à venir
Par ailleurs, la Cnil évoque brièvement le SI Vaccin Covid.
Elle rappelle qu'elle a demandé des précisions qui n'ont pas été apportées dans le décret publié le 25 décembre 2020 (cf dépêche du 28/12/2020 à 15:31), et fait savoir qu'elle "sera vigilante quant aux conditions de [sa] mise en oeuvre".
"Des contrôles seront conduits dans les prochaines semaines", indique-t-elle. Enfin, une troisième phase de contrôles "débutera dès le mois de janvier" pour les autres SI.
Au sujet de Sidep, ils porteront particulièrement sur "la mise en oeuvre effective des transmissions à la plateforme des données de santé", "les potentielles évolutions du décret encadrant le traitement" et "le respect des durées de conservation".
Les contrôles de Contact Covid se concentreront sur "l’accès au portail 'accès partenaires' ' Contact Covid' de nouveaux utilisateurs (pharmaciens, universités, sous-traitants de la Cnam, etc.)", "la délivrance de tests antigéniques", "l’effectivité des mesures prévues pour l’exercice des droits des personnes concernées" et "l'utilisation des données issues de Contact Covid par d'autres ARS".
Pour TousAntiCovid, "les potentielles évolutions du décret encadrant le traitement", "les mesures visant à évaluer l’efficacité et l’utilité de l’application" et "la conformité des potentielles nouvelles fonctionnalités" feront "l'objet d'une attention particulière".
Délibération n°2021-004 du 14 janvier 2021 de la Cnil
lc/ab/APMnews