Contact Covid : la Cnil Ă©pingle encore une ARS

Le gendarme des donnĂ©es personnelles avait pourtant, en janvier dernier, sensibilisĂ© les Agences rĂ©gionales de santĂ©. Leur ministĂšre de tutelle aussi avait usĂ© de pĂ©dagogie. Et pourtant, dans son troisiĂšme avis quant aux dispositifs mis en place dans le cadre de la lutte contre le Covid-19, la Cnil annonce la mise en demeure d’une ARS Ă  qui elle reproche plusieurs manquements. 

Comme dĂ©sormais de coutume, la Cnil s’est Ă  nouveau penchĂ© sur le vaste Ă©ventail de dispositifs mis en Ɠuvre par les pouvoirs publics afin de lutter contre la pandĂ©mie. Le gouvernement doit ainsi fournir au Parlement tous les trois mois un rapport dĂ©taillĂ© sur les fichiers et autres applications Ă  l’instar du SI-DEP ou de TousAntiCovid, rapport qu’alimente le gendarme des donnĂ©es personnelles. 

Le rĂ©gulateur vient ainsi de publier son troisiĂšme avis depuis septembre 2020. Il y note que, pour la plupart des fichiers, de VACCIN COVID au SI-DEP (systĂšme d’information de dĂ©pistage) en passant par COVIDOM, les responsables de traitement sont en conformitĂ© avec la rĂ©glementation relative Ă  la protection des donnĂ©es personnelles. La Cnil signale tout de mĂȘme qu’elle n’a pas menĂ© de contrĂŽle de l’application TousAntiCovid depuis novembre 2020. Elle dĂ©plore en outre ne pas avoir Ă©tĂ© saisie des dĂ©tails techniques du fichier Quarantaine et Isolement.

Sur le fichier Contact COVID nĂ©anmoins, la Cnil s’épanche un peu plus. Ce fichier de la CNAM recueille des donnĂ©es sur les cas contacts et les chaĂźnes de contamination. Les ARS sont responsables du suivi des contacts de niveau 3 et, dans ce cadre, deux des agences rĂ©gionales ont Ă©tĂ© contrĂŽlĂ©es entre janvier et aujourd’hui. En effet, dans son deuxiĂšme avis publiĂ© en dĂ©but d’annĂ©e, le gendarme des donnĂ©es personnelles s’était alarmĂ© des “mauvaises pratiques” de certaines ARS en matiĂšre de donnĂ©es. Ce qui avait donnĂ© lieu Ă  un recadrage de la part de la Cnil et Ă  une campagne de sensibilisation menĂ©e par le ministĂšre de la SantĂ©. 

Situation disparate parmi les ARS

La Cnil a par la suite diligentĂ© des contrĂŽles auprĂšs de deux ARS. Chez la premiĂšre, les pratiques se sont amĂ©liorĂ©es, le rĂ©gulateur constatant “la mise en Ɠuvre de nombreuses mesures pour garantir de façon optimale le respect des donnĂ©es personnelles”. Mais, pour l’autre, ce n’était pas la mĂȘme chanson. La Cnil pointe “plusieurs points de non-conformitĂ©â€. A commencer par une durĂ©e de conservation excessive des donnĂ©es dans ses serveurs internes, puisque l’ARS en question ne les dĂ©truit pas au bout de trois mois. Vient ensuite une “information dĂ©ficiente des personnes concernĂ©es” : l’ARS contrĂŽlĂ©e n’a selon la Cnil “formalisĂ© aucun document d’information (papier ou numĂ©rique) destinĂ© aux personnes dont les donnĂ©es sont traitĂ©es”. 

Enfin, l’autoritĂ© administrative dĂ©nonce “l’absence de rĂ©alisation d’une AIPD”, ou analyse d'impact relative Ă  la protection des donnĂ©es. Or c’était justement l’un des points sur lesquels elle avait insistĂ© en janvier, et accessoirement il s’agit d’une obligation lĂ©gale. Sur ce manquement, la Cnil appelle le le ministĂšre de la SantĂ© Ă  fournir aux ARS une AIPD de rĂ©fĂ©rence. Quant Ă  l’ARS coupable de manquement, elle est mise en demeure et a dĂ©sormais deux mois pour se mettre en conformitĂ© avec le RGPD. Ce n’est jamais que la deuxiĂšme fois que la Cnil Ă©pingle une ARS pour ses mauvaises pratiques.