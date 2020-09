La CNIL annonce que des contrôles supplémentaires vont démarrer d'ici la fin du mois sur plusieurs dispositifs relatifs au traçage des contacts (StopCocid, Contact Covid et Sidep).

L’application StopCovid fera bientôt l’objet d’une nouvelle campagne de contrôles de la part de la Commission nationale de l’informatique et des libertés (CNIL). C’est ce que l’autorité administrative indépendante annonce au détour de son avis trimestriel adressé au Parlement sur les conditions d’exploitation des outils utilisés pour suivre les contacts (contact tracing) atteints du coronavirus.

Les nouvelles inspections débuteront d’ailleurs très bientôt, puisque dans la délibération du 10 septembre de la CNIL, il est question de les lancer d’ici la fin du mois de septembre 2020.

L’accent sera surtout mis sur les deux outils de suivi des contacts « classiques », à savoir le système Contact Covid, qui est opéré par l’Assurance maladie et recueille des informations sur les cas contact et les chaînes de contamination, à travers des enquêtes sanitaires, et le système Sidep (Système d’Information pour la Déclaration des Essais de Produits), qui est opéré par le ministère de la Santé pour centraliser les résultats des tests au SARS-CoV-2 par les laboratoires publics et privés.

Mais la CNIL rappelle que de manière générale, « les contrôles se poursuivront tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent ». Concernant l’application StopCovid, qui met aussi en œuvre du suivi des contacts, son contrôle interviendra lors d’une troisième phase de vérification.

« Des contrôles sur place seront ainsi réalisés auprès des organismes concernés, afin de vérifier notamment la suppression effective des données. Les vérifications devraient porter sur les durées de conservation des données, leur suppression et/ou leur anonymisation éventuelle », écrit la CNIL dans sa délibération. Elle n’a pas indiqué à quelle date tout ceci aura lieu, d’autant que la suite de l’épidémie reste incertaine.

Des dispositifs qui respectent en général la loi

Concernant plus spécifiquement le respect de StopCovid à l’égard de la législation, la CNIL constate dans son communiqué du 14 septembre que le dispositif est « pour l’essentiel, respectueux des données personnelles et que la plupart des préconisations formulées par la CNIL dans ses avis ont été prises en compte ». Cette remarque vaut aussi pour Sidep et Contact Covid, précise l’autorité indépendante.

Cela n’a pas toujours été le cas. Pour ce qui est de StopCovid, il a fallu dégainer une mise en demeure à l’encontre du ministère de la Santé — qui a été levée au début du mois de septembre — pour le pousser à apporter un certain de corrections : retrait d’un captcha fourni par Google au profit d’une solution française, filtrage directement sur le smartphone des cas contacts et respect plus fin du RGPD.

C’est d’ailleurs ce qu’elle admet, en évoquant des « mauvaises pratiques ».

Concernant Sidep et Contact Covid, ce qui préoccupe pour l’heure la CNIL c’est d’une part un souci d’interconnexion de la plateforme des données de santé avec le fichier Sidep, qui n’était pas opérationnelle lors des premiers contrôles, et la qualité du transfert de données pseudonymisées à des organismes tiers pour le suivi épidémiologique, et d’autre part l’information délivrée aux patients et aux soignants, ainsi que des dispositions relatives au portail d’accès pour Contact Covid.

Une évaluation de l’intérêt de ces dispositifs toujours attendue

En parallèle des échanges qui ont lieu avec les différents organismes responsables de ces fichiers, pour les faire rentrer dans le rang, la CNIL souhaite la mise en place d’indicateurs en vue « d’évaluer plus précisément la contribution de ces dispositifs à la gestion de la crise sanitaire ». Car en l’état actuel des choses, l’impact de Sidep, Contact Covid et StopCovid dans la gestion épidémique est flou.

Cette « évaluation est indispensable et urgente au regard notamment des risques inhérents à ces traitements pour les droits et libertés des personnes », écrit la CNIL dans son bilan trimestriel.

Si elle a bien conscience que le déploiement de ces dispositifs est « récent » et que le gouvernement dispose de peu de recul sur leur fonctionnement », qui plus est dans un contexte où l’épidémie « diminuait », elle regrette que le rapport de l’exécutif adressé le 9 septembre au Parlement « ne fasse pas état d’éléments plus précis justifiant de la nécessité de maintenir ces traitements au regard du contexte sanitaire actuel ».

