«Contact covid» : «beaucoup de précautions ont été prises», selon A.Mole

Avec la loi de prorogation de l'état d'urgence sanitaire du 11 mai 2020, et son décret d'application, le fichier « contact covid » a pu voir le jour. 

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Que pensez-vous de la mise en place de ce fichier ?

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Il est important de souligner que le processus d’adoption du système « contact covid » a permis la mise en place de beaucoup de garanties. Il y a eu des critiques émises : sur l’absence de consentement des personnes concernées, notamment au moment de la collecte des données, ou sur les atteintes aux libertés individuelles des personnes. Je ne peux pas dire qu’aucune atteinte n’est portée à la vie privée, mais nous sommes dans un contexte exceptionnel d’urgence sanitaire, et la question est donc de savoir si le système est approprié pour ralentir la progression de l’épidémie et si des garanties suffisantes ont été prévues. Or, beaucoup de précautions ont été prises : tout d’abord l’adoption d’une loi, qui  a été soumise au Conseil constitutionnel qui l’a validée dans sa très grande majorité - sauf sur quelques points - puis la CNIL a donné son avis sur le projet de décret relatif au système d’information, avis qui a été largement suivi. Il fallait trouver un équilibre entre les différents principes fondamentaux que sont d’une part la protection de la santé publique et d’autre part le droit au respect de la vie privée et à la protection des données personnelles. Selon moi, l’équilibre a été trouvé et le système peut être considéré comme proportionné par rapport à l’objectif poursuivi. 

Quelles sont les données qui peuvent être collectées ?

Les données collectées sont, conformément aux finalités poursuivies par le système, celles qui permettent l’identification des personnes testées positives au covid-19, et celles concernant les personnes qui ont eu un contact avec la personne infectée sur une période de 14 jours avant le diagnostic et qui ont donc pu être contaminées. L’objectif est d’identifier les chaînes de contamination et de prendre les mesures médicales et d’isolement nécessaires en fonction de la situation des personnes, pour éviter que se créent des foyers de transmission. Ces données ont été considérées à la fois par le Conseil constitutionnel et par la CNIL comme pertinentes et justifiées au regard de ces finalités.

Les données de santé susceptibles d’être collectées sont tout d’abord strictement limitées. Ceci est bien précisé par la loi, son décret d’application, mais aussi par la décision du Conseil constitutionnel ou encore l’avis de la CNIL. Il s’agit des informations selon laquelle :

• une personne est contaminée (caractère positif du test, date de prélèvement ou, pour un patient hospitalisé, l'existence de symptômes associés à un scanner) ; 
• ses symptômes et la date de leur apparition, qui seront enregistrés dans le dispositif. 

Les autres données qui pourront être collectées, sont des données administratives, donc moins sensibles, même si elles demeurent des données personnelles. Il s’agit notamment, pour le patient contaminé et pour les personnes évaluées comme contacts présentant des risques de contamination :

• des données permettant de les identifier (noms, prénoms, date de naissance, sexe, numéro de sécurité sociale) ; 
• des données permettant de les contacter (adresse de résidence, numéro de téléphone, adresse électronique) ;
• des données relatives à la situation de la personne au moment du dépistage (hospitalisée, à domicile ou déjà à l'isolement) ;
• la déclaration d'un besoin d'accompagnement social et d'appui à l'isolement ;
• la désignation de l'organisme d'affiliation assurant la prise en charge des frais de santé ;
• les coordonnées et la spécialité du médecin à l'origine de l'inscription dans le traitement de données ;
• le cas échéant, la fréquentation, dans les 14 derniers jours, d’un Ephad, ou la participation à un rassemblement de plus de 10 personnes, etc. (voir l’article 2 du décret).

La CNIL avait considéré, dans son avis du 8 mai 2020, que certaines catégories de données faisaient l’objet d’une description imprécise dans le projet de décret qui lui était soumis. Ceci a été pris en compte dans la version finale du décret qui donne une liste claire des données qui pourront être enregistrées dans le système.

La collecte pourra être réalisée sans le consentement de la personne concernée. Pourquoi ?

L’objectif est de protéger la population du risque de contagion, et, pour cette raison, il est prévu que les professionnels de santé enregistrent dans le système le fait qu’une personne est testée positive au virus. L’obligation pour les médecins de déclarer aux autorités sanitaires qu’un patient est atteint d’une maladie contagieuse, sans le consentement du patient, est conforme aux dispositions du code de la santé publique. Pour certaines maladies déterminées - comme le choléra par exemple - , lorsqu’il existe un risque de contagion ou d’épidémie, le médecin peut être obligé de fournir des informations aux autorités publiques de santé sans l’accord du patient. C’est un mécanisme qui existe depuis de nombreuses années, dans le but de protéger la santé publique. Il n’est pas étonnant que ce mécanisme soit utilisé face au Covid-19.  

Le dispositif légal assure toutefois le respect de la volonté des personnes dans plusieurs domaines. Tout d’abord, la personne testée positive (le patient zéro) n’est pas dans l’obligation de donner le nom des personnes avec qui elle a été en contact. La législation prévoit qu’elle donne ces informations volontairement. Il est également prévu que le nom du patient zéro ne sera pas indiqué aux personnes contacts, sauf avec son accord exprès. Et les personnes contactées par les brigades anti-Covid n’auront pas l’obligation de répondre aux enquêteurs. Il y a donc un respect relativement important de la volonté des personnes.

Pendant combien de temps les données seront-elles conservées ?

Au départ, le projet de décret sur lequel a planché la CNIL prévoyait une durée de conservation d’un an. Finalement, une durée limitée à 3 mois a été retenue. C’est un point extrêmement important pour la protection des libertés individuelles conformément aux principes du RGPD. A l’issue de cette période de 3 mois, toutes les données permettant d’identifier une personne, à savoir le nom, le prénom, le numéro de sécurité sociale, les coordonnées de la personne (adresse, mail et numéro de téléphone) devront être anonymisées. Elles seront alors conservées sous une forme strictement anonyme à des fins de recherche épidémiologique pour une durée de 6 mois à compter de la fin de l’état d’urgence sanitaire prévue pour le 10 juillet. 

Les personnes concernées conservent-elles leurs droits sur leurs données, tels que prévus par le RGPD ? 

Oui. L’avis de la CNIL est clair à ce sujet, et souligne qu’aucune dérogation aux droits des personnes tels qu’ils résultent du RGPD (accès aux données, droit de modification, etc.) n’a été mise en place par le dispositif. Seul le droit à la portabilité des données ne s’appliquera pas, mais pour des raisons évidentes et légitimes : en effet il s’agit d’un droit prévu par le RGPD qui permet aux personnes dans certains cas de demander que leurs données personnelles contenues dans une base de données soient « portées » vers une autre base de leur choix. Offrir une telle possibilité aux personnes dans un tel contexte aurait constitué une atteinte à la sécurité et à la confidentialité des données contenues dans « contact covid ». Il aurait été totalement contradictoire avec l’esprit du RGPD de permettre la portabilité des données.

Le fichier sera géré et accessible à une quantité de personnes (voir l’article 3 du décret). Qu’en pensez-vous ?

Il est vrai que de prime abord, la liste des destinataires paraît très longue. De plus, la liste précise des données qui seront accessibles à chaque catégorie de destinataire n’est pas détaillée dans le décret, ce qui aurait constitué une garantie. Mais il s’agit seulement de personnes spécifiquement habilitées des organismes nationaux et locaux d'assurance maladie et des organismes de santé, telles que les Agences régionales de santé (ARS), et les professionnels de santé. La raison pour laquelle ils pourront soit enregister des données dans le système et les consulter, soit seulement les consulter, est indiquée dans le décret comme la CNIL l’avait demandé dans son avis. Les pharmaciens, par exemple, seront habilités à enregistrer et à accéder à la base mais uniquement aux fins de dispenser les masques pris en charge par l'assurance maladie. Le Conseil constitutionnel a veillé à ce que les catégories de personnes ayant accés à « contact çovid » soient restreintes à la sphère de la santé. Ainsi il a censuré la consultation de « contact covid » par les organismes sociaux qui était prévue initialement par la loi, car il a jugé que l’accompagnement social n’a pas de lien direct avec l’épidémie et ne justifie donc pas leur accès au fichier. 

Mais cette longue liste ne posera-t-elle pas de problème de sécurité ?

La question d’une faille de sécurité se pose toujours. Notamment face à une base de données sensibles. On redoute forcément les risques pour les personnes en cas d’atteinte à la sécurité, au vu de la nature et du volume des données traitées. Dans son avis, la CNIL a rappelé l’importance des mesures techniques et organisationnelles permettant d’assurer notamment la confidentialité des données, la traçabilité des actions effectuées sur le fichier et leur imputabilité (qui saisit quoi, qui a accés à quoi). La CNIL a également relevé que le dispositif prévu autorise l’identification par identifiant et mot de passe seulement, ce qui n’est pas conforme aux préconisations de la PGSSI-S, c’est-à-dire un mécanisme d’authentification forte. Mais elle a également reconnu dans son avis que cette mesure avait dû être différée compte tenu des délais de mise en oeuvre. Elle a cependant relevé que plusieurs mesures de sécurité étaient prises pour la mise en place et le fonctionnement de « contact covid ». L’article 5 du décret prévoit ainsi que le système permet de retracer les opérations de mise à jour, de suppression et de consultation des enregistrements, ce qui assure son contrôle.