Publication par la CNIL d’un avis public sur les conditions de mise en œuvre des systèmes d’information développés face à l’épidémie de COVID-19

La Commission Nationale de l’Informatique et des Libertés (CNIL) a rendu aujourd’hui un avis public sur les conditions de mise en œuvre des systèmes d’information développés afin de lutter contre la propagation de l’épidémie de COVID-19 en application de l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions.

Le ministère des Solidarités et de la Santé tient à rappeler en préambule que la protection des données des citoyens a été, est, et sera toujours, une priorité dans le déploiement des systèmes d’information placés sous sa responsabilité.

La CNIL, qui est notamment chargée de veiller au respect des dispositions du RGPD, a pleinement joué son rôle dans le cadre de la crise sanitaire en réalisant de nombreux contrôles, à la fois sur place et sur pièce, auprès des responsables de traitement des systèmes d’information et applications déployés pour lutter contre la crise sanitaire.

Certaines de ces applications sont directement placées sous la responsabilité du ministère :

  • Le traitement SI-DEP, qui consiste à centraliser les résultats d’examens biologiques de dépistage COVID-19 pratiqués en France et permet d’identifier rapidement les cas positifs et de mettre en place un contact-tracing (suivi des cas contacts) efficace ;
  • L’application grand public « Stop Covid » qui a pour objectif de permettre aux personnes qui la téléchargent de bénéficier d’une alerte automatique au cas où elles auraient été en contact avec une personne qui s’est préalablement enregistrée comme positive au virus ;

Le traitement « Contact Covid », qui permet de réaliser un premier suivi des personnes positives, d’identifier les cas contacts et de les inviter à se faire dépister à leur tour, est placé sous la responsabilité de la Caisse Nationale d’Assurance Maladie.

Les Agences Régionales de Santé sont quant à elles chargées de réaliser le suivi des « clusters » et des cas complexes, grâce à des outils numériques qui leur sont propres.

S’agissant de l’avis public émis ce jour par la CNIL, le ministère des Solidarités et de la Santé formule les précisions suivantes.

Au sujet du contrôle des fichiers SI-DEP et CONTACT COVID et de l’application StopCovid :
Le ministère adhère pleinement à l’objectif de l’avis de la CNIL qui est de favoriser la conformité des traitements au fil des mises à jour, afin d’assurer la meilleure protection des données et cela tout particulièrement pour un traitement de données présentant ce degré de sensibilité. A ce titre, le ministère et la CNAM travaillent en continu pour apporter des améliorations dans la mise en œuvre des traitements concernés. Des échanges ont ainsi lieu régulièrement entre le ministère, la CNAM et la CNIL dans le cadre de demandes complémentaires résultant des contrôles déjà initiés auxquelles la CNAM et le ministère ont répondu dans les délais impartis (en août pour Contact Covid et StopCovid et début septembre pour SI-DEP).
Il est à noter que malgré l’épidémie, la surcharge de travail et les complexités de réalisation des tâches induites, les services de la CNAM, du ministère, des sous-traitants impliqués dans le déploiement de ces systèmes d’information et des ARS ont travaillé sans relâche pour assurer une protection des données « by design ». En parallèle, ils n’ont pas ménagé leurs efforts pour assurer le bon déroulement des contrôles sur place de la CNIL malgré les contraintes sanitaires et pour répondre aux nombreuses demandes de la CNIL dans les délais impartis. Cette forte implication se poursuivra jusqu’à la clôture des contrôles par la CNIL.
Ces efforts ont d’ailleurs été salués par la CNIL elle-même dans son avis :

  • concernant le traitement SI-DEP, la CNIL souligne le soin particulier apporté à la protection des données, qui s’est traduit par de nombreuses bonnes pratiques relevées lors des contrôles, et par un bilan globalement très positif ;
  • concernant l’application STOP-COVID, la CNIL a clôturé la mise en demeure adressée en juillet au ministère, relevant que le ministère s’était conformé à ses demandes.

Au sujet du fichier CONTACT COVID :
L’avis public de la CNIL relève des points de vigilances sur les conditions d’utilisation du téléservice Contact Covid dont la CNAM est responsable de traitement, et dont les ARS, médecins, établissements de santé, ou encore les pharmaciens et laboratoires de biologie médicale, sont utilisateurs.
Le ministère reste pleinement mobilisé auprès des acteurs en charge des outils et pratiques contrôlés, pour permettre la prise en compte de l’ensemble des observations de la CNIL.


pdf Communiqué de presse - Avis public de la CNIL sur les systèmes (...) Téléchargement du pdf (602.8 kio)

Contact presse :
presse-dgs@sante.gouv.fr
01 40 56 84 00