Covid-19 : Le Parlement renforce la protection des données de contact tracing

Le projet de loi "vigilance sanitaire", qui vient d'être adopté, contient une disposition visant à encadrer plus strictement le recours par les professionnels de santé à des services de collecte et de transmission des résultats de tests Covid-19. Ces logiciels devront respecter un certain nombre de règles garantissant leur sécurité informatique. A ce titre, une liste de prestataires de confiance sera rendue publique.

Covid-19 : Le Parlement renforce la protection des données de contact tracing © Pixabay

L'Assemblée nationale a adopté définitivement le 5 novembre 2021 le projet de loi "vigilance sanitaire", porté par le gouvernement et rejeté massivement par le Sénat, qui est dominé par la droite. Outre l'extension du pass sanitaire, ce texte encadre les services proposés aux professionnels de santé et laboratoires pour simplifier la collecte et la transmission des résultats de tests de dépistage du Covid-19.

Une liste de prestataires autorisés
Dans les détails, les services proposés devront "garantir strictement la sécurité, l’intégrité et la confidentialité des données traitées" dans des conditions fixées par un arrêté du ministre de la Santé. Seuls les services respectant ces modalités pourront se connecter aux fichiers de collecte et de transmission des résultats médicaux. La liste des prestataires autorisés sera rendue publique.

La fourniture ou l'utilisation de dispositifs non sécurisés sera pénalement réprimée de "5 ans d'emprisonnement et 300 000 euros d'amende", ajoute l'article.

Deux bases de données pour faciliter le contact tracing
Pour rappel, pour simplifier le contact tracing, le gouvernement a mis en place deux bases de données, le "SI-DEP" et "Contact Covid". Le SI-DEP (Système d’Informations de DEPistage) est une plateforme sécurisée où sont systématiquement enregistrés les résultats des laboratoires de tests Covid-19. Elle permet de s'assurer que tous les cas positifs sont bien pris en charge.  

De son côté, le fichier "Contact Covid" est dédié aux professionnels de santé (médecins, pharmaciens, biologistes des laboratoires et les professionnels habilités par la Caisse nationale de l'Assurance maladie). Il permet d'aller plus vite dans l'identification des personnes cas contacts afin de vérifier que chacun a été appelé, informé, testé et accompagné.

Or, certains prestataires proposent des services pour simplifier la collecte et la transmission de ces informations. Problème : "certaines solutions informatiques n'assurent pas un niveau de sécurité suffisant" et "peuvent donner lieu à des violations de données particulièrement sensibles", notent les parlementaires.

70 000 résultats de tests exposés sur Internet
Ils font référence à l'exposition récente d'une base de données contenant 70 000 résultats de tests Covid avec les coordonnées des personnes concernées. Ces informations auraient été librement accessibles durant plusieurs mois en raison d'une faille de sécurité sur la plateforme Francetest, révélait Mediapart dans une enquête publiée le 31 août 2021. Cette plateforme propose un service qui facilite le transfert des résultats de tests vers le fichier SI-DEP contre un euro par transmission. 

Saisie d'un signalement, la Commission nationale de l'informatique et des libertés (Cnil) a mis en demeure en octobre 2021 la société Francetest, éditrice de la plateforme, de sécuriser les données de santé qu'elle collecte pour le compte des pharmacies.