Actualités de l'Urgence - APM

03/06 2021
Retour

COVID-19: LES SYSTÈMES D'INFORMATION DE GESTION DE L'ÉPIDÉMIE "POUR L'ESSENTIEL RESPECTUEUX DES DONNÉES PERSONNELLES" (CNIL)

PARIS, 3 juin 2021 (APMnews) - Les systèmes d'information (SI) de gestion de l'épidémie de Covid-19 sont "pour l'essentiel, respectueux des données personnelles et en conformité avec la législation", a constaté la Commission nationale de l'informatique et des libertés (Cnil) dans une délibération adressée au Parlement et publiée jeudi.

La Cnil a mené un total de 32 opérations de contrôles entre mai 2020 et avril 2021, a-t-elle fait savoir.

Dans le détail, 10 concernent le SI de suivi des tests Covid-19 Sidep, 12 le SI de traçage des cas contacts Contact Covid, 7 l'application TousAntiCovid, et 3 le SI de suivi de la vaccination Vaccin Covid.

"L'investissement de la commission dans la réalisation de ces vérifications est sans équivalent dans l'histoire de l'institution, tant au regard du nombre de contrôles effectués, que de leur récurrence ou de la période de temps au cours de laquelle ils se sont déroulés", a-t-elle souligné.

La troisième vague de contrôles s'est déroulée de janvier à avril 2021.

Concernant Sidep, mis en oeuvre par la Caisse nationale de l'assurance maladie (Cnam), la Cnil "a constaté que les remarques effectuées à l'issue des deux premières phases de contrôle ont été prises en compte", et donc que "les conditions de mise en oeuvre du fichier n'appellent pas de mesure particulière de sa part", a-t-elle indiqué dans un communiqué accompagnant la délibération.

En revanche, "les opérations d'extraction des données en vue de leur versement dans les portails mis à disposition par la Cnam, pour le transfert des données du traitement Sidep [au Health Data Hub], ne s'effectuent pas selon des modalités permettant d'assurer, de manière entièrement satisfaisante, la confidentialité des données", apprend-on dans la délibération.

"Des vérifications seront menées prochainement" à ce sujet, a annoncé la commission.

La loi instituant du mercredi 2 juin au jeudi 30 septembre un régime transitoire de sortie de l'état d'urgence sanitaire, publiée mardi au Journal officiel, prévoit de rassembler au sein du système national des données de santé (SNDS) l'ensemble des données recueillies dans Sidep et Contact Covid "qui relèvent du champ" du SNDS, portant leur durée de conservation à 20 ans alors qu'elles devaient initialement se limiter à la durée de l'épidémie (cf dépêche du 01/06/2021 à 11:56).

"Cette centralisation induit un changement substantiel dans le régime juridique applicable à ces données", a commenté la Cnil dans son avis. "Sans remettre en cause l'intérêt essentiel de conservation des données à des fins de recherche", elle "invite le gouvernement à prévoir des modalités d'information adéquates des personnes concernées et permettant de faciliter l'exercice de leurs droits". Elle "y sera particulièrement attentive", a-t-elle prévenu.

Par ailleurs, "des contrôles menés dans deux pharmacies ont permis de constater que le ministère a pris des mesures satisfaisantes d'accompagnement des pharmaciens dans leur prise en main" de Sidep, bien "parfois, lorsque le nombre de patients était important […] l'information des personnes et la confidentialité des données n'étaient plus assurées de manière aussi rigoureuse".

La Cnil a donc "attiré l'attention du Conseil national de l'ordre des pharmaciens (Cnop) sur l'importance de sensibiliser leurs membres au respect des principes posés par le RGPD".

A propos de Contact Covid, elle a "de nouveau relevé des disparités concernant les pratiques des agences régionales de santé (ARS)".

Deux ARS ont été contrôlées, mais la Cnil n'a pas indiqué lesquelles.

L'une d'elles a été mise en demeure par la présidente de la Cnil, Marie-Laure Denis, "de se conformer aux exigences du règlement général sur la protection des données (RGPD) dans un délai de deux mois" après que "plusieurs manquements concernant la durée de conservation des données et l'information des personnes concernées" aient été constatés.

"Un courrier a été envoyé au ministère des solidarités et de la santé afin de l'alerter sur les mauvaises pratiques identifiées."

L'autre ARS a "mis en oeuvre de nombreuses mesures pour garantir de façon optimale le respect des données personnelles".

Pas de contrôles de TousAntiCovid depuis novembre 2020

Concernant TousAntiCovid, la Cnil n'a pas mené de contrôles depuis novembre 2020, mais en prévoit de nouveaux qui "devraient notamment porter sur la conformité des nouvelles fonctionnalités" appelées TousAntiCovid-Carnet (cf dépêche du 19/04/2021 à 17:06 et dépêche du 23/04/2021 à 14:21) et TousAntiCovid-Signal (cf dépêche du 25/05/2021 à 16:54).

Concernant Vaccin Covid, la Cnil a conduit ses premiers contrôles en mars "avec une audition de la Cnam puis deux contrôles sur place au sein de centres de vaccination".

Elle s'est montrée globalement satisfaite, soulignant "que les données du traitement Vaccin Covid font bien l'objet d'un chiffrement, que l'accès au téléservice requiert une authentification forte" et "qu'une attention particulière a été portée sur l'information des personnes".

Cependant, "le téléservice est régulièrement alimenté par des personnels administratifs utilisant le compte d'un professionnel de santé. Bien que ce mode de fonctionnement soit à rapprocher du travail habituel d'un secrétariat médical, les investigations se poursuivent afin de savoir si les exigences en termes de traçabilité et d'imputabilité, c'est-à-dire la possibilité d'attribuer la responsabilité de l'action à une personne, des actions sont respectées", apprend-on dans l'avis.

"Des données [issues de ce SI] que la Cnam considère comme 'désidentifiées' sont transmises de manière sécurisée à la direction du numérique des ministères sociaux aux fins de production d'indicateurs de couverture vaccinale", est-il indiqué sans plus de détails.

Un fichier de suivi des mises en quarantaine

Un fichier, appelé "Quarantaine et isolement", "vise à assurer le suivi et le contrôle du respect des mesures individuelles (mise en quarantaine, maintien et placement en isolement) lors de l'arrivée, sur le territoire national, de personnes en provenance d'un pays ou territoire confronté à une circulation particulièrement active de l'épidémie", et ce sur "l'ensemble des points d'entrée sur le territoire national", apprend-on dans la délibération.

La Cnil "a été saisie en urgence le 29 avril puis le 4 mai d'une saisine rectificative d'un projet de décret visant à créer" ce traitement de données mis en oeuvre "sous la responsabilité conjointe du ministre chargé de la santé et du ministre de l'intérieur".

Elle a rendu le 12 mai un avis, non publié à ce jour, dans lequel elle "a invité les ministères à faire preuve d'une vigilance particulière s'agissant des modalités de recueil des informations […] et à sensibiliser les personnes renseignant ce système d'information".

Si ce fichier "devait entraîner le traitement de données dites sensibles, notamment des données concernant la santé, il devra être autorisé par décret en Conseil d'Etat", a-t-elle ajouté.

La Cnil "s'est interrogée sur la proportionnalité du dispositif envisagé, les ministères ayant précisé que le traitement n'est à ce stade mis en oeuvre que dans deux aéroports", Paris-Orly et Paris-Charles de Gaulle, et estimé que le traitement "ne permet pas de répondre pleinement aux finalités pour lesquelles il est mis en oeuvre".

Elle a également demandé des clarifications concernant les personnes pouvant accéder aux données et les finalités leur permettant cet accès, et "pris acte des précisions du ministère selon lesquelles aucune interconnexion, rapprochement ou mise en relation du système d'information 'Quarantaine et isolement' avec d'autres traitements n'est mise en oeuvre".

La commission n'a pas été saisie des détails techniques du fichier, a-t-elle précisé.

Par ailleurs, la Cnil procède actuellement à des contrôles sur pièces d'autres fichiers, dont le dispositif de télésuivi Covidom mis en oeuvre par l'Assistance publique-hôpitaux de Paris (AP-HP) (cf dépêche du 29/04/2021 à 17:09), son corollaire relatif au dépistage Covisan, et "le dispositif multicanal d'accompagnement dénommé 'Covi Contact' mis en oeuvre par l'ARS Île-de-France" afin d'accompagner les personnes concernées par des mesures d'isolement à domicile.

De nouveaux contrôles déjà en cours

Enfin, une quatrième phase de contrôles concernant tous ces SI est "d'ores et déjà engagée pour le second trimestre 2021", a indiqué la Cnil.

"Les investigations pour s'assurer des conditions de mise en oeuvre du traitement Vaccin Covid se poursuivront dans les prochaines semaines."

D'autres ARS pourront notamment être contrôlées concernant leur utilisation de Contact Covid.

La Cnil "s'intéressera également aux différentes interactions entre [Sidep, Contact Covid, Vaccin Covid et TousAntiCovid], notamment l'intégration des preuves des tests PCR au sein du site sidep.gouv.fr, des preuves de vaccination au sein d'un téléservice spécifique de la Cnam et leur accès éventuel au sein de l'application TousAntiCovid" (cf dépêche du 27/05/2021 à 15:28), a-t-elle averti.

Les résultats seront publiés dans son prochain avis.

De plus, "une ultime campagne de contrôles sera effectuée à l'issue de la mise en oeuvre des traitements" afin de vérifier "les durées de conservation des données, leur suppression et/ou leur anonymisation éventuelle".

Dans son précédent avis, publié en janvier, la Cnil s'était montrée globalement satisfaite de la mise en oeuvre de ces SI, rappelle-t-on (cf dépêche du 21/01/2021 à 13:39).

Délibération n°2021-062 du 27 mai 2021 de la Cnil

lc/ab/APMnews

Les données APM Santé sont la propriété de APM International. Toute copie, republication ou redistribution des données APM Santé, notamment via la mise en antémémoire, l'encadrement ou des moyens similaires, est expressément interdite sans l'accord préalable écrit de APM. APM ne sera pas responsable des erreurs ou des retards dans les données ou de toutes actions entreprises en fonction de celles-ci ou toutes décisions prises sur la base du service. APM, APM Santé et le logo APM International, sont des marques d'APM International dans le monde. Pour de plus amples informations sur les autres services d'APM, veuillez consulter le site Web public d'APM à l'adresse www.apmnews.com

Copyright © APM-Santé - Tous droits réservés.

Informations professionnelles

03/06 2021
Retour

COVID-19: LES SYSTÈMES D'INFORMATION DE GESTION DE L'ÉPIDÉMIE "POUR L'ESSENTIEL RESPECTUEUX DES DONNÉES PERSONNELLES" (CNIL)

PARIS, 3 juin 2021 (APMnews) - Les systèmes d'information (SI) de gestion de l'épidémie de Covid-19 sont "pour l'essentiel, respectueux des données personnelles et en conformité avec la législation", a constaté la Commission nationale de l'informatique et des libertés (Cnil) dans une délibération adressée au Parlement et publiée jeudi.

La Cnil a mené un total de 32 opérations de contrôles entre mai 2020 et avril 2021, a-t-elle fait savoir.

Dans le détail, 10 concernent le SI de suivi des tests Covid-19 Sidep, 12 le SI de traçage des cas contacts Contact Covid, 7 l'application TousAntiCovid, et 3 le SI de suivi de la vaccination Vaccin Covid.

"L'investissement de la commission dans la réalisation de ces vérifications est sans équivalent dans l'histoire de l'institution, tant au regard du nombre de contrôles effectués, que de leur récurrence ou de la période de temps au cours de laquelle ils se sont déroulés", a-t-elle souligné.

La troisième vague de contrôles s'est déroulée de janvier à avril 2021.

Concernant Sidep, mis en oeuvre par la Caisse nationale de l'assurance maladie (Cnam), la Cnil "a constaté que les remarques effectuées à l'issue des deux premières phases de contrôle ont été prises en compte", et donc que "les conditions de mise en oeuvre du fichier n'appellent pas de mesure particulière de sa part", a-t-elle indiqué dans un communiqué accompagnant la délibération.

En revanche, "les opérations d'extraction des données en vue de leur versement dans les portails mis à disposition par la Cnam, pour le transfert des données du traitement Sidep [au Health Data Hub], ne s'effectuent pas selon des modalités permettant d'assurer, de manière entièrement satisfaisante, la confidentialité des données", apprend-on dans la délibération.

"Des vérifications seront menées prochainement" à ce sujet, a annoncé la commission.

La loi instituant du mercredi 2 juin au jeudi 30 septembre un régime transitoire de sortie de l'état d'urgence sanitaire, publiée mardi au Journal officiel, prévoit de rassembler au sein du système national des données de santé (SNDS) l'ensemble des données recueillies dans Sidep et Contact Covid "qui relèvent du champ" du SNDS, portant leur durée de conservation à 20 ans alors qu'elles devaient initialement se limiter à la durée de l'épidémie (cf dépêche du 01/06/2021 à 11:56).

"Cette centralisation induit un changement substantiel dans le régime juridique applicable à ces données", a commenté la Cnil dans son avis. "Sans remettre en cause l'intérêt essentiel de conservation des données à des fins de recherche", elle "invite le gouvernement à prévoir des modalités d'information adéquates des personnes concernées et permettant de faciliter l'exercice de leurs droits". Elle "y sera particulièrement attentive", a-t-elle prévenu.

Par ailleurs, "des contrôles menés dans deux pharmacies ont permis de constater que le ministère a pris des mesures satisfaisantes d'accompagnement des pharmaciens dans leur prise en main" de Sidep, bien "parfois, lorsque le nombre de patients était important […] l'information des personnes et la confidentialité des données n'étaient plus assurées de manière aussi rigoureuse".

La Cnil a donc "attiré l'attention du Conseil national de l'ordre des pharmaciens (Cnop) sur l'importance de sensibiliser leurs membres au respect des principes posés par le RGPD".

A propos de Contact Covid, elle a "de nouveau relevé des disparités concernant les pratiques des agences régionales de santé (ARS)".

Deux ARS ont été contrôlées, mais la Cnil n'a pas indiqué lesquelles.

L'une d'elles a été mise en demeure par la présidente de la Cnil, Marie-Laure Denis, "de se conformer aux exigences du règlement général sur la protection des données (RGPD) dans un délai de deux mois" après que "plusieurs manquements concernant la durée de conservation des données et l'information des personnes concernées" aient été constatés.

"Un courrier a été envoyé au ministère des solidarités et de la santé afin de l'alerter sur les mauvaises pratiques identifiées."

L'autre ARS a "mis en oeuvre de nombreuses mesures pour garantir de façon optimale le respect des données personnelles".

Pas de contrôles de TousAntiCovid depuis novembre 2020

Concernant TousAntiCovid, la Cnil n'a pas mené de contrôles depuis novembre 2020, mais en prévoit de nouveaux qui "devraient notamment porter sur la conformité des nouvelles fonctionnalités" appelées TousAntiCovid-Carnet (cf dépêche du 19/04/2021 à 17:06 et dépêche du 23/04/2021 à 14:21) et TousAntiCovid-Signal (cf dépêche du 25/05/2021 à 16:54).

Concernant Vaccin Covid, la Cnil a conduit ses premiers contrôles en mars "avec une audition de la Cnam puis deux contrôles sur place au sein de centres de vaccination".

Elle s'est montrée globalement satisfaite, soulignant "que les données du traitement Vaccin Covid font bien l'objet d'un chiffrement, que l'accès au téléservice requiert une authentification forte" et "qu'une attention particulière a été portée sur l'information des personnes".

Cependant, "le téléservice est régulièrement alimenté par des personnels administratifs utilisant le compte d'un professionnel de santé. Bien que ce mode de fonctionnement soit à rapprocher du travail habituel d'un secrétariat médical, les investigations se poursuivent afin de savoir si les exigences en termes de traçabilité et d'imputabilité, c'est-à-dire la possibilité d'attribuer la responsabilité de l'action à une personne, des actions sont respectées", apprend-on dans l'avis.

"Des données [issues de ce SI] que la Cnam considère comme 'désidentifiées' sont transmises de manière sécurisée à la direction du numérique des ministères sociaux aux fins de production d'indicateurs de couverture vaccinale", est-il indiqué sans plus de détails.

Un fichier de suivi des mises en quarantaine

Un fichier, appelé "Quarantaine et isolement", "vise à assurer le suivi et le contrôle du respect des mesures individuelles (mise en quarantaine, maintien et placement en isolement) lors de l'arrivée, sur le territoire national, de personnes en provenance d'un pays ou territoire confronté à une circulation particulièrement active de l'épidémie", et ce sur "l'ensemble des points d'entrée sur le territoire national", apprend-on dans la délibération.

La Cnil "a été saisie en urgence le 29 avril puis le 4 mai d'une saisine rectificative d'un projet de décret visant à créer" ce traitement de données mis en oeuvre "sous la responsabilité conjointe du ministre chargé de la santé et du ministre de l'intérieur".

Elle a rendu le 12 mai un avis, non publié à ce jour, dans lequel elle "a invité les ministères à faire preuve d'une vigilance particulière s'agissant des modalités de recueil des informations […] et à sensibiliser les personnes renseignant ce système d'information".

Si ce fichier "devait entraîner le traitement de données dites sensibles, notamment des données concernant la santé, il devra être autorisé par décret en Conseil d'Etat", a-t-elle ajouté.

La Cnil "s'est interrogée sur la proportionnalité du dispositif envisagé, les ministères ayant précisé que le traitement n'est à ce stade mis en oeuvre que dans deux aéroports", Paris-Orly et Paris-Charles de Gaulle, et estimé que le traitement "ne permet pas de répondre pleinement aux finalités pour lesquelles il est mis en oeuvre".

Elle a également demandé des clarifications concernant les personnes pouvant accéder aux données et les finalités leur permettant cet accès, et "pris acte des précisions du ministère selon lesquelles aucune interconnexion, rapprochement ou mise en relation du système d'information 'Quarantaine et isolement' avec d'autres traitements n'est mise en oeuvre".

La commission n'a pas été saisie des détails techniques du fichier, a-t-elle précisé.

Par ailleurs, la Cnil procède actuellement à des contrôles sur pièces d'autres fichiers, dont le dispositif de télésuivi Covidom mis en oeuvre par l'Assistance publique-hôpitaux de Paris (AP-HP) (cf dépêche du 29/04/2021 à 17:09), son corollaire relatif au dépistage Covisan, et "le dispositif multicanal d'accompagnement dénommé 'Covi Contact' mis en oeuvre par l'ARS Île-de-France" afin d'accompagner les personnes concernées par des mesures d'isolement à domicile.

De nouveaux contrôles déjà en cours

Enfin, une quatrième phase de contrôles concernant tous ces SI est "d'ores et déjà engagée pour le second trimestre 2021", a indiqué la Cnil.

"Les investigations pour s'assurer des conditions de mise en oeuvre du traitement Vaccin Covid se poursuivront dans les prochaines semaines."

D'autres ARS pourront notamment être contrôlées concernant leur utilisation de Contact Covid.

La Cnil "s'intéressera également aux différentes interactions entre [Sidep, Contact Covid, Vaccin Covid et TousAntiCovid], notamment l'intégration des preuves des tests PCR au sein du site sidep.gouv.fr, des preuves de vaccination au sein d'un téléservice spécifique de la Cnam et leur accès éventuel au sein de l'application TousAntiCovid" (cf dépêche du 27/05/2021 à 15:28), a-t-elle averti.

Les résultats seront publiés dans son prochain avis.

De plus, "une ultime campagne de contrôles sera effectuée à l'issue de la mise en oeuvre des traitements" afin de vérifier "les durées de conservation des données, leur suppression et/ou leur anonymisation éventuelle".

Dans son précédent avis, publié en janvier, la Cnil s'était montrée globalement satisfaite de la mise en oeuvre de ces SI, rappelle-t-on (cf dépêche du 21/01/2021 à 13:39).

Délibération n°2021-062 du 27 mai 2021 de la Cnil

lc/ab/APMnews

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites.