La Commission nationale de l'informatique et des libertés (CNIL) , dans son dernier avis sur les dispositifs accompagnant la lutte contre la pandémie, rapporte les résulats des derniers contrôles du dispositif Vaccin Covid.
Trois contrôles ont été menés par la CNIL sur la mise en œuvre du fichier Vaccin Covid et de son téléservice. Ce dispositif permet à tout professionnel de santé, habilité à réaliser des opérations de vaccination, de rechercher une personne via son numéro de sécurité sociale. La commission a constaté que le téléservice était régulièrement alimenté par des personnels administratifs, utilisant le compte d’un professionnel de santé. « Les investigations se poursuivent afin de savoir si les exigences en termes de traçabilité et d’imputabilité des actions sont respectées », indique le rapport. Ce dernier souligne l'importance de protéger les données personnelles, du chiffrement des données et d'une authentification forte pour accéder au téléservice.
32 opérations de contrôles depuis le début de la crise sanitaire
Depuis le début de cette crise, la CNIL a procédé à 32 opérations de contrôle sur le Système d'information de dépistage populationnel (Sidep), Contact Covid, l'application Tousanticovid et le fichier Vaccin Covid. La commission confirme que ces systèmes sont respectueux des données personnelles. Dans le cadre de Contact Covid, la Cnil a toutefois constaté des lacunes dans le respect du règlement général de protection des données (RGPD). Elle note également la possibilité de centraliser les données de ce dispositif, ainsi que du fichier Sidep, dans un Système national des données de santé (SNDS). Elle invite le gouvernement « à prévoir des modalités d’information adéquates des personnes concernées et permettant de faciliter l’exercice de leurs droits ».
La commission a contrôlé deux Agences régionales de santé (ARS). L'objectif étant d'évaluer les disparités inter-régions concernant les pratiques de contact tracing. C'est-à-dire les contacts sans gestes barrières ou autres protections. L'une de ces deux ARS a été mise en demeure, ne se conformant pas aux exigences de la RGPD. Elle a deux mois pour appliquer des changements. Ces manquements concernent une durée de conservation excessive des données et une information déficiente des personnes concernées.
Une nouvelle phase de contrôle a débuté juin. La CNIL souhaite que le gouvernement produise des éléments pour « évaluer pleinement l’efficacité des fichiers mis en œuvre dans le cadre de la lutte contre l’épidémie de Covid-19 ».
Pour en savoir plus : Nouvel avis de la Cnil