Le gendarme des données personnelles avait pourtant, en janvier dernier, sensibilisé les Agences régionales de santé. Leur ministère de tutelle aussi avait usé de pédagogie. Et pourtant, dans son troisième avis quant aux dispositifs mis en place dans le cadre de la lutte contre le Covid-19, la Cnil annonce la mise en demeure d’une ARS à qui elle reproche plusieurs manquements.
Comme désormais de coutume, la Cnil s’est à nouveau penché sur le vaste éventail de dispositifs mis en œuvre par les pouvoirs publics afin de lutter contre la pandémie. Le gouvernement doit ainsi fournir au Parlement tous les trois mois un rapport détaillé sur les fichiers et autres applications à l’instar du SI-DEP ou de TousAntiCovid, rapport qu’alimente le gendarme des données personnelles.
Le régulateur vient ainsi de publier son troisième avis depuis septembre 2020. Il y note que, pour la plupart des fichiers, de VACCIN COVID au SI-DEP (système d’information de dépistage) en passant par COVIDOM, les responsables de traitement sont en conformité avec la réglementation relative à la protection des données personnelles. La Cnil signale tout de même qu’elle n’a pas mené de contrôle de l’application TousAntiCovid depuis novembre 2020. Elle déplore en outre ne pas avoir été saisie des détails techniques du fichier Quarantaine et Isolement.
Sur le fichier Contact COVID néanmoins, la Cnil s’épanche un peu plus. Ce fichier de la CNAM recueille des données sur les cas contacts et les chaînes de contamination. Les ARS sont responsables du suivi des contacts de niveau 3 et, dans ce cadre, deux des agences régionales ont été contrôlées entre janvier et aujourd’hui. En effet, dans son deuxième avis publié en début d’année, le gendarme des données personnelles s’était alarmé des “mauvaises pratiques” de certaines ARS en matière de données. Ce qui avait donné lieu à un recadrage de la part de la Cnil et à une campagne de sensibilisation menée par le ministère de la Santé.
Situation disparate parmi les ARS
La Cnil a par la suite diligenté des contrôles auprès de deux ARS. Chez la première, les pratiques se sont améliorées, le régulateur constatant “la mise en œuvre de nombreuses mesures pour garantir de façon optimale le respect des données personnelles”. Mais, pour l’autre, ce n’était pas la même chanson. La Cnil pointe “plusieurs points de non-conformité”. A commencer par une durée de conservation excessive des données dans ses serveurs internes, puisque l’ARS en question ne les détruit pas au bout de trois mois. Vient ensuite une “information déficiente des personnes concernées” : l’ARS contrôlée n’a selon la Cnil “formalisé aucun document d’information (papier ou numérique) destiné aux personnes dont les données sont traitées”.
Enfin, l’autorité administrative dénonce “l’absence de réalisation d’une AIPD”, ou analyse d'impact relative à la protection des données. Or c’était justement l’un des points sur lesquels elle avait insisté en janvier, et accessoirement il s’agit d’une obligation légale. Sur ce manquement, la Cnil appelle le le ministère de la Santé à fournir aux ARS une AIPD de référence. Quant à l’ARS coupable de manquement, elle est mise en demeure et a désormais deux mois pour se mettre en conformité avec le RGPD. Ce n’est jamais que la deuxième fois que la Cnil épingle une ARS pour ses mauvaises pratiques.