Recevez chaque jour toute l'actualité du numérique

x

Covid-19 : Faut-il s'inquiéter des fichiers de contact tracing issus des brigades sanitaires ?

Le projet de loi prorogeant l'état d'urgence sanitaire prévoit la mise en place de bridages qui devront recenser les cas positifs au Covid-19 et les cas contacts pour détecter les chaînes de transmission. Ces données seront ensuite compilées dans deux fichiers nationaux dont les modalités de fonctionnement soulèvent des inquiétudes quant à leur conformité avec le RGPD.  
Twitter Facebook Linkedin Flipboard Email
×

Covid-19 : Faut-il s'inquiéter des fichiers de contact tracing issus des brigades sanitaires ?
Covid-19 : Faut-il s'inquiéter des fichiers de contact tracing issus des brigades sanitaires ? © Maksym Kaharlytskyi- Unplash

Le projet de loi prorogeant l'état d'urgence sanitaire dévoilé le 2 mai 2020 prévoit la mise en place de "brigades de cas contact" à partir du 11 mai, date de début du déconfinement. Les médecins généralistes et des salariés de l'Assurance maladie seront tenus de recenser les personnes testées positives au Covid-19 et les personnes qu'elle a côtoyées.

L'objectif est de retracer les chaînes de transmission du virus pour lutter contre la pandémie et assurer un déconfinement réussi. Les données seront compilées dans deux fichiers nationaux. Mais les modalités de fonctionnement de ces futurs fichiers soulèvent de nombreuses inquiétudes.

Irrespectueux du RGPD
La première base de données, baptisée "Sidep", recensera les informations en provenance des laboratoires de biologie médicale lorsqu'un patient a été testé positif au virus. La seconde, "contact tracing", listera les personnes qui ont côtoyé le malade. Toutes ces personnes seront invitées à se confiner pour éviter la propagation du virus.

"Je suis favorable à l'application StopCovid à la condition qu'elle respecte le Règlement général sur la protection des donnée personnelles mais là j'ai été très surpris par la création de ces deux fichiers. Si je les compare au droit qui régit les données personnelles, cela me paraît irrespectueux du béaba de ce qu'impose ce droit. Ces fichiers collectent des données de manière excessive", déclare Alexandre Lazarègue, avocat au Barreau de Paris spécialisé dans le droit des données personnelles, contacté par L'Usine Digitale.

L'article 6 du projet de loi prévoit que les fichiers seront disponibles pendant la pandémie de Covid-19 et jusque dans un maximum d'un an. Le RGPD impose qu'une durée de conservation raisonnable soit déterminée en fonction des finalités poursuivies. Pour maître Lazarègue, la durée définie par le projet de loi est trop longue. "Savoir que pendant un an vous allez être fiché comme ayant été contaminé ou en contact avec une personne infectée, c'est quelque chose d'excessif", estime-t-il.

De plus, le nombre de personnes habilitées à consulter ces fichiers peut également sembler être disproportionné, déclare l'avocat. Le projet de loi cite le service de santé des armées, les communautés professionnelles territoriales de santé, les établissements de santé, maisons de santé, centres de santé et médecins prenant en charge les personnes concernées, ainsi que les laboratoires autorisés à réaliser les examens de biologie médicale de dépistage sur les personnes concernées. "Qu'ils puissent alimenter le fichier est une autre, qu'ils puissent accéder au contenu en est une autre. Ils pourront savoir si une personne a été atteinte d'un cancer par exemple", alerte l'avocat.

Une violation du principe de minimisation
"Permettre une surveillance épidémiologique est une finalité pertinente", note Alexandre Lazarègue. Dans le même temps, il regrette qu'en plus de contenir l'identité de la personne concernée, les fichiers stockent "les données de santé de manière large". "C'est contraire au principe de minimisation des données qui dispose qu'il ne faut collecter que les informations qui sont absolument nécessaires avec les finalités, s'inquiète l'avocat et poursuit, il aurait été plus conforme au RGPD que de ne collecter que les informations utiles soit l'identité et les facteurs de comorbidités".

Maître Lazarègue alerte également sur la nécessité de protéger solidement les données médicales comme l'impose le code de la santé publique sur "le chiffrement, le lieu géographique du stockage…". L'objectif est d'empêcher que les bases de données ne soient victimes de vol par exemple. "Rien n'est garanti à ce jour. Les médecins généralistes ne sont pas du tout équipés à la hauteur de ce qu'impose ces obligations", estime le juriste. En outre, les modalités pratiques de ces fichiers seront précisées par décret c'est-à-dire par l'administration française donc sans débat public. "J'estime que le droit des données personnelles nécessite beaucoup de vigilance et seule la représentation nationale aurait dû être vraiment compétente pour arrêter des décisions", regrette Alexandre Lazarègue.


De futures corrections attendues
Le projet de loi va être discuté cette semaine au Parlement et Alexandre Lazarègue espère que ces problèmes "vont être corrigés et rectifiés". Il mentionne par ailleurs que la Commission nationale de l'informatique et des libertés (Cnil) devra donner son avis une fois le texte voté. "Normalement la Cnil donne son avis avant que le projet ne soit voté. Il y a quelque chose de curieux dans cette procédure", soulève-t-il.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media