Le gendarme des donnĂ©es personnelles avait pourtant, en janvier dernier, sensibilisĂ© les Agences rĂ©gionales de santĂ©. Leur ministĂšre de tutelle aussi avait usĂ© de pĂ©dagogie. Et pourtant, dans son troisiĂšme avis quant aux dispositifs mis en place dans le cadre de la lutte contre le Covid-19, la Cnil annonce la mise en demeure dâune ARS Ă qui elle reproche plusieurs manquements.Â
Comme dĂ©sormais de coutume, la Cnil sâest Ă nouveau penchĂ© sur le vaste Ă©ventail de dispositifs mis en Ćuvre par les pouvoirs publics afin de lutter contre la pandĂ©mie. Le gouvernement doit ainsi fournir au Parlement tous les trois mois un rapport dĂ©taillĂ© sur les fichiers et autres applications Ă lâinstar du SI-DEP ou de TousAntiCovid, rapport quâalimente le gendarme des donnĂ©es personnelles.
Le rĂ©gulateur vient ainsi de publier son troisiĂšme avis depuis septembre 2020. Il y note que, pour la plupart des fichiers, de VACCIN COVID au SI-DEP (systĂšme dâinformation de dĂ©pistage) en passant par COVIDOM, les responsables de traitement sont en conformitĂ© avec la rĂ©glementation relative Ă la protection des donnĂ©es personnelles. La Cnil signale tout de mĂȘme quâelle nâa pas menĂ© de contrĂŽle de lâapplication TousAntiCovid depuis novembre 2020. Elle dĂ©plore en outre ne pas avoir Ă©tĂ© saisie des dĂ©tails techniques du fichier Quarantaine et Isolement.
Sur le fichier Contact COVID nĂ©anmoins, la Cnil sâĂ©panche un peu plus. Ce fichier de la CNAM recueille des donnĂ©es sur les cas contacts et les chaĂźnes de contamination. Les ARS sont responsables du suivi des contacts de niveau 3 et, dans ce cadre, deux des agences rĂ©gionales ont Ă©tĂ© contrĂŽlĂ©es entre janvier et aujourdâhui. En effet, dans son deuxiĂšme avis publiĂ© en dĂ©but dâannĂ©e, le gendarme des donnĂ©es personnelles sâĂ©tait alarmĂ© des âmauvaises pratiquesâ de certaines ARS en matiĂšre de donnĂ©es. Ce qui avait donnĂ© lieu Ă un recadrage de la part de la Cnil et Ă une campagne de sensibilisation menĂ©e par le ministĂšre de la SantĂ©.Â
Situation disparate parmi les ARS
La Cnil a par la suite diligentĂ© des contrĂŽles auprĂšs de deux ARS. Chez la premiĂšre, les pratiques se sont amĂ©liorĂ©es, le rĂ©gulateur constatant âla mise en Ćuvre de nombreuses mesures pour garantir de façon optimale le respect des donnĂ©es personnellesâ. Mais, pour lâautre, ce nâĂ©tait pas la mĂȘme chanson. La Cnil pointe âplusieurs points de non-conformitĂ©â. A commencer par une durĂ©e de conservation excessive des donnĂ©es dans ses serveurs internes, puisque lâARS en question ne les dĂ©truit pas au bout de trois mois. Vient ensuite une âinformation dĂ©ficiente des personnes concernĂ©esâ : lâARS contrĂŽlĂ©e nâa selon la Cnil âformalisĂ© aucun document dâinformation (papier ou numĂ©rique) destinĂ© aux personnes dont les donnĂ©es sont traitĂ©esâ.Â
Enfin, lâautoritĂ© administrative dĂ©nonce âlâabsence de rĂ©alisation dâune AIPDâ, ou analyse d'impact relative Ă la protection des donnĂ©es. Or câĂ©tait justement lâun des points sur lesquels elle avait insistĂ© en janvier, et accessoirement il sâagit dâune obligation lĂ©gale. Sur ce manquement, la Cnil appelle le le ministĂšre de la SantĂ© Ă fournir aux ARS une AIPD de rĂ©fĂ©rence. Quant Ă lâARS coupable de manquement, elle est mise en demeure et a dĂ©sormais deux mois pour se mettre en conformitĂ© avec le RGPD. Ce nâest jamais que la deuxiĂšme fois que la Cnil Ă©pingle une ARS pour ses mauvaises pratiques.Â