Rechercher
Fermer ce champ de recherche.

La CNIL pointe les mauvaises pratiques des ARS avec Contact Covid

Auteur /Etablissement :
La Commission nationale de l'informatique et des libertés (CNIL) a publié, fin janvier un bilan sur les quatre dispositifs numériques utilisés depuis le début de la pandémie, y compris Contact Covid. Cet avis, en demi-teinte, pointe une gestion disparate de la part des agences régionales de santé. L'une d’elles a été mise en demeure.

La Commission nationale de l’informatique et des libertés (CNIL) a publié, fin janvier un bilan sur les quatre dispositifs numériques utilisés depuis le début de la pandémie, y compris Contact Covid. Cet avis, en demi-teinte, pointe une gestion disparate de la part des agences régionales de santé. L’une d’elles a été mise en demeure.
Dans le cadre de la lutte contre la Covid-19, le gouvernement a déployé plusieurs outils numériques: les fichiers SI-DEP, Contact Covid, l’application TousAntiCovid et le système d’informations Vaccin Covid. Après avoir reçu plusieurs avis et effectué 25 contrôles sur ces dispositifs, la CNIL dresse un bilan mitigé de l’utilisation de ces outils.
Elle souhaite que ces dispositifs soient le plus encadrés possible, collectant les données personnelles des patients, y compris celles de santé. La Commission avait émis un premier avis, le 10 septembre 2020, mettant en lumière le problème d’accès à ces données, notamment concernant les fichiers SI-DEP.
L’ensemble des professionnels de santé et personnel habilités d’un établissement de santé, social ou médico-social pouvait y accéder. De plus, la durée de conservation de ses données était jugée trop longue. Dans ce deuxième avis, la Commission constate que ces remarques ont été prises en compte.

La CNAM rappelé à l’ordre

Des améliorations ont été apportées dans le cas des fichiers SI-DEP. Cependant, la CNIL note la présence de mauvaises méthodes au niveau de la Caisse nationale d’assurance maladie. En effet, la CNAM continue d’utiliser «certaines pratiques résiduelles relatives aux conditions d’authentification, là la traçabilité et à la transmission de données personnelles à un tiers non habilité à héberger des données de santé».
Cette pratique n’assure pas une authentification forte, comme préconisée par la Politique générale des systèmes d’information de santé (PGSSI-S). Bien que des mesures ont été mises en place pour renforcer cet accès, à court terme, des données personnelles peuvent être transmises à une société inhabilitée. En conséquence, la Commission a décidé d’adresser un courrier à la Cnam afin de lui rappeler «ses obligations et faisant état des manquements relevés et des mesures à mobiliser pour y remédier».

Un logiciel  »fait maison » qui pose problème

La CNILa également constaté une disparité concernant Contact Covid et les mesures utilisées par certaines ARS. Une en particulier aurait commis plusieurs infractions au Règlement général sur la protection des données (RGPD). Cette agence aurait développé son propre logiciel de suivi des patients zéro et des cas contacts.
Ce programme ne respecterait pas la RGPD «dans la gestion des données, notamment concernant leur durée de conservation et leur sécurité». Cette agence «conserve sans restriction de durée les données contenues dans le logiciel». De plus, la Commission a observé la constitution d’un fichier de patient zéro. Les informations recueillies sont consignées dans un tableur puis envoyées à la Cnam par une messagerie sécurisée, afin que la Caisse nationale reporte ses données dans Contact Covid.
Pour la CNIL cette pratique pose trois problèmes :
• La dispersion d’informations au sein des messageries
• La conservation illimitée de ces fichiers dans les serveurs de l’agence et de la Cnam
• Aucune authentification forte n’est requise pour accéder à ces données, présentes sur différentes plates-formes. Ce dernier point étant crucial, puisqu’un tiers non-habilité peut accéder à ce document. En l’absence d’authentification adaptée, ce tiers ne pourra être identifié et il ne sera pas possible de savoir comment il a obtenu cet accès.

Mise en demeure de l’ARS concernée

À la lumière de ce constat, la Présidente de la CNIL a décidé de mettre en demeure cette ARS. Cette agence a un mois pour se conformer aux exigences de la RGPD. La Commission profite de cette occasion pour renvoyer ces recommandations à l’ensemble des ARS, concernant les mauvaises pratiques relevées durant ces contrôles.
Dans ce courrier, la CNIL rappelle les mesures nécessaires à la protection des données issues de l’outil Contact Covid. Elle recommande, entre autres, l’utilisation d’appels téléphoniques pour la délivrance d’informations. Un autre courrier a été envoyé au ministère des Solidarités et de la Santé, afin de l’alerter sur les constatations établies.
À la fin de cet avis, la Commission rappelle que ses contrôles «se poursuivront tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent». De nouvelles observations seront conduites pour s’assurer de la bonne mise en œuvre de la campagne vaccinale.
En plus de cette nouvelle phase d’évaluation, qui a débuté en janvier, la CNIL annonce une ultime vague de contrôle à l’issue de la mise en œuvre des traitements. Elle souhaite «notamment la suppression effective de données».

Sur le même sujet

Une nouvelle maison des Femmes au CHU de Montpellier

La Maison des Femmes Agnès McLaren vient d’ouvrir à Montpellier. Ce lieu est destiné à toutes celles qui sont victimes de violences et entièrement dédié, grâce à l’engagement des professionnels du CHU, à leur santé. L’actrice Alexandra Lamy, ambassadrice de “la maison des femmes”, est la marraine du site montpelliérain.

Une rencontre automobile contre le cancer à Poitiers

Le 30 mai dernier, le CHU de Poitiers célébrait l’ouverture de la 30e édition de l’événement automobile 500 Ferrari contre le cancer, organisé tous les ans par l’association Sport et Collection et le Rotary Club Sud-Vienne, au profit de la recherche contre le cancer. Une manifestation devenue une tradition, et qui accueille depuis 1995 quinze à vingt mille personnes. En l’espace de quelques jours, plus d’un millier de véhicules de prestige ont ainsi été réunis.