France: Avis De La CNIL Sur Le Projet D'extension Du Système D'information Numérique Contact Covid

Par une délibération n°2021-006 du 19 janvier 2021 ¹, la CNIL a rendu son avis sur un projet de décret visant à renforcer le dispositif de traçage des chaînes de transmission de la Covid-19, dit système d'information « Contact Covid », dans le cadre de la stratégie gouvernementale française de lutte contre la propagation du virus. 

Retour dans cet article sur les observations et recommandations principales de la CNIL visant à maintenir la protection de données personnelles souvent sensibles face à un projet prévoyant une extension considérable et substantielle des informations collectées.

La CNIL, saisie par le ministre des solidarités et de la santé d'une demande d'avis, avait à se prononcer sur un projet de décret modifiant le décret n°2020-551 du 12 mai 2020 ² relatif aux systèmes d'information mentionnés à l'article 11 de la loi n°2020-546 du 11 mai prorogeant l'état d'urgence sanitaire.

Ce dispositif se réfère en réalité au système d'information dit « Contact Covid », mis en place par le gouvernement français à la levée du premier confinement au printemps 2020 et visant à contrôler l'évolution de l'épidémie en repérant et isolant les personnes positives à la Covid-19 et leurs personnes contacts. Cet outil numérique est utilisé exclusivement par les professionnels de santé (médecins, pharmaciens, biologistes des laboratoires de dépistage COVID et professionnels habilités par la CNAM, SpF et l'ARS).

Les objectifs de ce projet de décret sont les suivants :

La CNIL souligne que ce projet prévoit d'étendre « considérablement et substantiellement les informations collectées dans le système d'information »,  invitant à la vigilance. Elle nuance néanmoins ensuite en rappelant que le dispositif est conditionné au volontariat des personnes interrogées.

Les principales modifications envisagées par le projet de décret ont ainsi été examinées par la CNIL :

Sur la nouvelle catégorie des personnes co-exposées

Le projet de décret envisage le traitement des données liées à une nouvelle catégorie de personnes : les personnes co-exposées.

La notion de personne co-exposée renverrait à toute personne « s'étant trouvée dans le même lieu de rassemblement ou évènement, où les gestes barrières n'ont pu être pleinement respectés identifié par le patient zéro comme étant à l'origine possible de sa contamination ».

La CNIL invite cependant le ministère à clarifier la notion et à en préciser les critères (différence avec la notion de cas contact, conditions d'une « coprésence », conditions d'un irrespect des gestes barrières).

Sur la collecte des données concernant les personnes vaccinées ou précédemment contaminées

Est envisagée également par le projet la collecte de données relatives à l'existence d'une précédente infection au virus dans une période de deux mois antérieurs, ou à l'existence d'une vaccination.

Des précisions sont néanmoins à apporter quant à la nature des données traitées et les finalités de ce traitement.

La CNIL rappelle sur ce point que conformément à l'article 5-1-c du RGPD, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées pourront être collectées.

Sur la collecte de données liées aux rassemblements de personnes

Le projet envisage la collecte d'informations relatives à la fréquentation de lieux accueillant du public ou relatives à la participation à un rassemblement, évènement ou activité dès lors qu'une contamination a pu y avoir lieu.

La CNIL invite le ministère à préciser les critères permettant d'établir qu'une contamination a pu avoir lieu.

Elle rappelle que le traitement des données collectées ne peut être utilisé à des fins autres que celles du décret (à savoir, le traçage des contaminations) et ne pourra donc être détourné à des fins de surveillance du respect des mesures visant à lutter contre l'épidémie de Covid-19.

De manière générale, la CNIL rappelle également le risque qu'est susceptible d'engendrer ce type de traitement au regard de la protection de la vie privée des personnes concernées, en particulier si le rassemblement, évènement ou activité en cause implique des données sensibles, telles que définies à l'article 9 du RGPD.

Sur la collecte et la transmission des données aux exploitants de services de transports

L'évolution envisagée du système d'information permettrait également l'identification des gares ferroviaires, routières ou maritimes ou aéroports dans lesquels les personnes concernées ont transité au cours des quatorze derniers jours suite à un séjour hors résidence. Les exploitants des moyens de transport sont également identifiés.

Le ministère a précisé que les informations relatives au patient zéro pourraient être transmises à l'exploitant concerné afin de pouvoir identifier les cas contacts et personnes co-exposées d'un voyage.

La CNIL indique que le décret doit indiquer explicitement l'exploitant parmi les destinataires possibles de cette donnée. Elle s'interroge également sur la dérogation au secret médical qu'impliquerait un tel traitement.

De manière générale, la CNIL attire l'attention du ministère sur les nécessités du respect de la confidentialité des données, et de la nécessaire formation et sensibilisation des personnes amenées à traiter des données de santé, donc particulièrement sensibles.

Cet avis met en lumière la conciliation parfois difficile des objectifs de contrôle de l'épidémie de Covid-19 et le maintien des libertés individuelles, en particulier la protection de la vie privée et des données personnelles.

Pour lire en Anglais, veuillez cliquer ici.

Footnotes

1.  https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000043023857

2.  https://www.legifrance.gouv.fr/loda/id/JORFTEXT000041869923/

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.