Début

Contact tracing : la Cnil juge « indispensable » une évaluation de l’efficacité sanitaire des SI (avis)

Paris - Publié le lundi 14 septembre 2020 à 16 h 33 - n° 11450 « Le caractère dérogatoire des différents traitements mis en œuvre [contre le Covid-19] ne peut être justifié que si leur utilité est suffisamment avérée au regard de l’évolution sanitaire du pays », rappelle la CnilCommission Nationale de l’Informatique et des Libertés dans son « avis trimestriel adressé au Parlement sur les conditions de mise en œuvre des traitements SI-DEP, Contact Covid et StopCovid », publié le 14 septembre 2020. La Commission estime que « cette évaluation est indispensable et urgente au regard notamment des risques inhérents à ces traitements pour les droits et libertés des personnes ». Elle affirme avoir constaté, lors de ses contrôles sur StopCovid, que « le calendrier du travail d’évaluation n’avait pas encore été établi par le ministèreMinistère des Solidarités et de la SantéMinistère des Solidarités et de la Santé ».  

La Cnil affirme par ailleurs avoir relevé de « mauvaises pratiques » relatives au téléservice Contact Covid, notamment une « information incomplète » des patients 0 et des cas contacts ne leur permettant pas de « prendre pleinement connaissance du traitement qui est opéré sur leurs données et des droits qu’ils détiennent à cet égard », parmi lesquels leur « droit d’opposition ». La Commission prévoit d’adresser dans les prochains jours « une demande de mise en conformité dans les plus brefs délais à chaque organisme impliqué » (CnamCaisse nationale d’assurance maladie, agences régionales de santé, ministère des Solidarités et de la Santé) et de déterminer par la suite « si l’adoption d’une mesure correctrice est nécessaire ».
© Pixabay
© Pixabay

Covid-19 : le Comité de contrôle et de liaison va se pencher sur les enjeux de recherche des SI

Le Comité de contrôle et de liaison (CCL) Covid-19 « formulera un avis spécifique » sur les « enjeux des SI Covid vis-à-vis du potentiel de recherche très rapidement en septembre [étant donnée] l’urgence » du sujet, eu égard au « délai de conservation de certaines données de 6 mois ». C’est ce…
Actualité n° 11424 • 09/09/20 à 16:56

Application StopCovid : la Cnil clôt la procédure de mise en demeure engagée contre le ministère

La présidente de la Cnil Marie-Laure Denis a décidé de « procéder à la clôture de la mise en demeure du 20 juillet 2020 adressée au ministère des Solidarités et de la Santé » au sujet de l’application StopCovid, « par décision du 3 septembre 2020 ». C’est ce qu’annonce la Commission dans un…
Sélection n° 11407 • 04/09/20 à 16:30

Contact tracing : la Cnil lance une campagne de contrôles des SI StopCovid, Sidep et Contact Covid

« Vérifier, sur le terrain, le bon fonctionnement » des dispositifs Sidep, Contact Covid et StopCovid : c’est l’objectif de la campagne de contrôles annoncée par la Cnil dans un communiqué daté du 4 juin 2020, précisant que ces contrôles « commenceront dès le mois de juin » et se poursuivront…
Sélection n° 11078 • 04/06/20 à 15:53

StopCovid : l’application est opérationnelle annonce Bercy / la Cnil donne son feu vert

« L’utilité de l’application et la nécessité du traitement projeté pour accomplir la mission d’intérêt public sont suffisamment démontrées en amont de la mise en œuvre du traitement », affirme la Cnil dans son avis daté du 25 mai 2020 sur « les conditions de mise en œuvre » de l’application…
Sélection n° 11019 • 26/05/20 à 14:56

Contact tracing : publication du décret prévu par le projet de loi, amendé après avis de la Cnil

Le décret en Conseil d’État du 12 mai 2020 « relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 (SI-DEP et Contact Covid, dispositifs pilotés par la Cnam) prorogeant l'état d’urgence sanitaire et complétant ses dispositions » autorise « l’adaptation…
Actualité n° 10943 • 13/05/20 à 15:55

Évaluation des SI : la Cnil demande une grille d’analyse et un rapport plus complet

La Cnil affirme dans son avis qu’elle « souscrit à la demande du Comité de contrôle et de liaison covid-19 » dans son rapport annexé au rapport du Gouvernement adressé au Parlement le 9 septembre 2020, de « disposer d’indicateurs de performance des systèmes d’information déployés », afin de pouvoir « mesurer leur efficacité au regard des objectifs poursuivis ». La Commission « regrette » que le rapport en question « ne fasse pas état d’éléments plus précis justifiant de la nécessité de maintenir ces traitements au regard du contexte sanitaire actuel ». Elle estime qu'« une grille d’analyse devrait être établie au regard d’indicateurs d’efficacité sanitaire ».

La Cnil livre des précisions sur le suivi de l’application StopCovid. Elle souligne que si le rapport mentionne « le nombre de téléchargements » de l’application, il « ne permet pas d’apprécier suffisamment l’impact effectif de ce dispositif dans la lutte contre l’épidémie » du fait de l’absence d’analyse relative :

  • aux statistiques d’usage ;
  • aux résultats d’éventuelles enquêtes menées auprès des utilisateurs, professionnels ou grand public ;
  • au nombre de cas identifiés grâce à l’application.  

Contact Covid : améliorer l’information et la sécurité des transmissions

La Cnil retient des contrôles qu’elle a diligentés que les organismes concernés par le système d’information Contact Covid ont « mené des actions pour prendre en compte les exigences liées à la protection des données ».

Elle relève cependant les « pratiques insatisfaisantes » suivantes :

  • les informations délivrées aux « patients 0 » et aux « cas contacts » sur les traitements sont « parfois parcellaires », « en l’absence de remise d’un support d’information délivré par la Cnam ». En dépit de cela, au 25 juin 2020, elle souligne que « 42 % des patients 0 qui ont déclaré des cas contacts ont exercé leur droit d’opposition à la communication de leur identité à au moins un contact » et que « 21 % d’entre eux en ont refusé la diffusion à l’ensemble de leurs contacts » ;
  • dans une ARSARSAgence régionale de santé, les équipes de contrôle de la Commission ont constaté qu’aucune procédure d’exercice des droits « informatique et libertés » à destination des patients 0 et des cas contacts n’a été formalisée ;
  • des CPAMCPAMCaisse Primaire d'Assurance Maladie ont adressé des données de santé par courriels à destination d’une ARS sans avoir recours à une messagerie sécurisée ;
  • dans un établissement hospitalier et sur instruction de la Cnam, il a été procédé à l’envoi occasionnel de données de santé inscrites dans des fichiers distincts du système d’information principal ce qui « conduit à l’éparpillement de fichiers et ne permet pas une gestion satisfaisante de la durée de conservation des données ».

S’agissant du fichier SI-DEP, la Cnil « constate à ce stade un niveau global de conformité satisfaisant. »

Deux vagues de contrôles à venir sur les SI Covid

La Commission annonce à la fin de son avis que les contrôles portant sur les SISISystème d'Information Covid « se poursuivront tout au long de la période d’utilisation des fichiers », c’est-à-dire « jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent. »

La « seconde phase de contrôles » débutera «  avant la fin du mois de septembre 2020 » et « portera principalement sur les points suivants » .

Concernant le traitement SI-DEP :

  • l’interconnexion de la plateforme des données de santé (ou Health data hubHealth Data Hub) avec le fichier SI-DEP, « non opérationnelle à la date des premiers contrôles » ;
  • le transfert des données à des organismes tiers, c’est-à-dire « les remontées de données pour le suivi épidémiologique (données pseudonymisées) auprès de la DreesDirection de la recherche, des études, de l’évaluation et des statistiques ou de Santé publique FranceSanté publique France » ;

Concernant le traitement Contact Covid :

  • les modalités de mise en œuvre du portail d’accès au traitement Contact Covid à destination des partenaires ne disposant pas d’un compte « Ameli pro » ;
  • l’information délivrée aux patients par les médecins et les pharmaciens sur le traitement Contact Covid.

 Pour ces deux traitements :

  • l’effectivité des mesures prévues pour l’exercice des droits des personnes concernées.

La Cnil souligne que son prochain avis public « fera état des résultats de ces contrôles ».

Elle annonce enfin « une troisième vague de contrôles » qui sera effectuée à l’issue de la mise en œuvre des traitements, avec des contrôles sur place réalisés auprès des organismes concernés, afin notamment de vérifier «  la suppression effective des données  ».

Protection des données : les efforts de la Cnam

La Cnam affirme dans un communiqué diffusé le 14 septembre 2020 qu’elle a « d’ores et déjà mis en œuvre plusieurs actions » concernant les points de vigilance relevés par la Cnil, et qu’elle « entend améliorer encore ses procédures, en lien avec les autres acteurs mobilisés dans le travail de traçage » pour « tenir compte rapidement de l’ensemble des observations » de la Commission.

L’Assurance maladie affirme avoir :

  • formé et sensibilisé ses collaborateurs mobilisés au sein des plateformes de « contact tracing » pour qu’ils rappellent à chaque personne contactée les droits dont elle dispose à l’égard de ses données personnelles ;
  • diffusé « une information directe auprès des assurés », notamment sur ameli, ainsi que des différents professionnels de santé impliqués dans le suivi des cas contacts de leurs patients ;
  • engagé « un effort important » pour équiper les établissements de santé et les agences régionales de santé de « comptes sécurisés leur permettant d’accéder directement à l’outil, sans avoir à adresser de messages à l’Assurance Maladie par d’autres canaux » : « près de 800 comptes ont ainsi été créés » pour les agents des ARS et plus de 900 pour les médecins des établissements de santé et médico-sociaux», et « ce déploiement continue ».

« Une nouvelle sensibilisation de l’ensemble des acteurs à l’importance d’informer les personnes de leurs droits sera effectuée dans les prochaines semaines », annonce la Cnam.

Elle rappelle que les contrôles effectués par la Cnil « se sont déroulés en juin, au début de la mise en œuvre d’un dispositif qui a évolué et évolue sans cesse depuis » et qu’alors les établissements de santé « n’étaient notamment pas tous dotés des outils leur permettant d’accéder au système d’information sécurisé Contact Covid par un portail dédié ».

Commission Nationale de l'Informatique et des Libertés
Fiche n° 340, créée le 10/05/16 à 15:15 - MàJ le 17/10/19 à 14:23

Commission Nationale de l'Informatique et des Libertés

■ Création en 1978
■ Présidée par Marie-Laure Denis
■ Accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droit
■ Analyse l’impact des innovations technologiques et des usages émergents sur la vie privée et les libertés
■ Travaille en étroite collaboration avec ses homologues européens et internationaux pour élaborer une régulation harmonisée


  • Catégorie : Acteurs publics



Commission Nationale de l'Informatique et des Libertés
8, rue Vivienne
CS 30223
75083 Paris Cedex 02 - FRANCE
Téléphone : 01 53 73 22 22
vCard meCard .vcf VCARD

Fin
loader mask
1