Rechercher
Fermer ce champ de recherche.

La CNIL pointe les mauvaises pratiques des ARS avec Contact Covid

La Commission nationale de l'informatique et des libertés (CNIL) a publié, fin janvier un bilan sur les quatre dispositifs numériques utilisés depuis le début de la pandémie, y compris Contact Covid. Cet avis, en demi-teinte, pointe une gestion disparate de la part des agences régionales de santé. L'une d’elles a été mise en demeure.

La Commission nationale de l’informatique et des libertés (CNIL) a publié, fin janvier un bilan sur les quatre dispositifs numériques utilisés depuis le début de la pandémie, y compris Contact Covid. Cet avis, en demi-teinte, pointe une gestion disparate de la part des agences régionales de santé. L’une d’elles a été mise en demeure.
Dans le cadre de la lutte contre la Covid-19, le gouvernement a déployé plusieurs outils numériques: les fichiers SI-DEP, Contact Covid, l’application TousAntiCovid et le système d’informations Vaccin Covid. Après avoir reçu plusieurs avis et effectué 25 contrôles sur ces dispositifs, la CNIL dresse un bilan mitigé de l’utilisation de ces outils.
Elle souhaite que ces dispositifs soient le plus encadrés possible, collectant les données personnelles des patients, y compris celles de santé. La Commission avait émis un premier avis, le 10 septembre 2020, mettant en lumière le problème d’accès à ces données, notamment concernant les fichiers SI-DEP.
L’ensemble des professionnels de santé et personnel habilités d’un établissement de santé, social ou médico-social pouvait y accéder. De plus, la durée de conservation de ses données était jugée trop longue. Dans ce deuxième avis, la Commission constate que ces remarques ont été prises en compte.

La CNAM rappelé à l’ordre

Des améliorations ont été apportées dans le cas des fichiers SI-DEP. Cependant, la CNIL note la présence de mauvaises méthodes au niveau de la Caisse nationale d’assurance maladie. En effet, la CNAM continue d’utiliser «certaines pratiques résiduelles relatives aux conditions d’authentification, là la traçabilité et à la transmission de données personnelles à un tiers non habilité à héberger des données de santé».
Cette pratique n’assure pas une authentification forte, comme préconisée par la Politique générale des systèmes d’information de santé (PGSSI-S). Bien que des mesures ont été mises en place pour renforcer cet accès, à court terme, des données personnelles peuvent être transmises à une société inhabilitée. En conséquence, la Commission a décidé d’adresser un courrier à la Cnam afin de lui rappeler «ses obligations et faisant état des manquements relevés et des mesures à mobiliser pour y remédier».

Un logiciel  »fait maison » qui pose problème

La CNILa également constaté une disparité concernant Contact Covid et les mesures utilisées par certaines ARS. Une en particulier aurait commis plusieurs infractions au Règlement général sur la protection des données (RGPD). Cette agence aurait développé son propre logiciel de suivi des patients zéro et des cas contacts.
Ce programme ne respecterait pas la RGPD «dans la gestion des données, notamment concernant leur durée de conservation et leur sécurité». Cette agence «conserve sans restriction de durée les données contenues dans le logiciel». De plus, la Commission a observé la constitution d’un fichier de patient zéro. Les informations recueillies sont consignées dans un tableur puis envoyées à la Cnam par une messagerie sécurisée, afin que la Caisse nationale reporte ses données dans Contact Covid.
Pour la CNIL cette pratique pose trois problèmes :
• La dispersion d’informations au sein des messageries
• La conservation illimitée de ces fichiers dans les serveurs de l’agence et de la Cnam
• Aucune authentification forte n’est requise pour accéder à ces données, présentes sur différentes plates-formes. Ce dernier point étant crucial, puisqu’un tiers non-habilité peut accéder à ce document. En l’absence d’authentification adaptée, ce tiers ne pourra être identifié et il ne sera pas possible de savoir comment il a obtenu cet accès.

Mise en demeure de l’ARS concernée

À la lumière de ce constat, la Présidente de la CNIL a décidé de mettre en demeure cette ARS. Cette agence a un mois pour se conformer aux exigences de la RGPD. La Commission profite de cette occasion pour renvoyer ces recommandations à l’ensemble des ARS, concernant les mauvaises pratiques relevées durant ces contrôles.
Dans ce courrier, la CNIL rappelle les mesures nécessaires à la protection des données issues de l’outil Contact Covid. Elle recommande, entre autres, l’utilisation d’appels téléphoniques pour la délivrance d’informations. Un autre courrier a été envoyé au ministère des Solidarités et de la Santé, afin de l’alerter sur les constatations établies.
À la fin de cet avis, la Commission rappelle que ses contrôles «se poursuivront tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent». De nouvelles observations seront conduites pour s’assurer de la bonne mise en œuvre de la campagne vaccinale.
En plus de cette nouvelle phase d’évaluation, qui a débuté en janvier, la CNIL annonce une ultime vague de contrôle à l’issue de la mise en œuvre des traitements. Elle souhaite «notamment la suppression effective de données».

Commentaires

Il n’y a pas encore de commentaire pour cet article.

Sur le même sujet

A Caen, le CHU innove pour mieux soigner les tumeurs cérébrales 

Comme chaque année, le mois de février est l’occasion pour les CHU, acteurs majeurs du soin et de la recherche à l’échelle régionale, de mettre en valeur leur implication dans la lutte contre le cancer. Le CHU de Caen est notamment revenu sur ses innovations en matière d’intervention neurochirurgicale. Il est d’ailleurs, pour certaines d’entre elles, un précurseur en France.

A Reims, des Logisti-soins libèrent du temps aux soignants

A l’écoute de ses soignants, le CHU de Reims mise sur le déploiement d’un nouveau métier au cœur de son Nouvel Hôpital : le logisti-soins. Gestionnaire des activités de restauration, des consommables et de la maintenance du matériel biomédical, celui-ci vise une amélioration nette de la répartition du travail. Entièrement adoptée par les équipes soignantes, cette réorganisation optimise le soin et dégage ainsi un temps indispensable tant aux soignants qu’aux patients.

L’APHM élabore un kit d’urgence pour les missions spatiales 

Le service de Radiologie Interventionnelle de l’Hôpital de la Timone (AP-HM) s’implique dans le partenariat entre le Centre National d’Etudes Spatiales (CNES), l’Institut de Médecine et Physiologie Spatiale (MEDES) et la Société Française de Radiologie (SFR). Afin d’améliorer la sécurité des astronautes lors des missions spatiales, douze équipes de radiologues ont travaillé sur la conception d’un kit médical d’urgence prenant en charge plus d’une dizaine de pathologies différentes.