L'Agence régionale de santé mise en demeure par la Cnil pour sa gestion des fichiers de contact tracing

C'est l'heure du bilan de mi-parcours pour la Commission nationale de l'informatique et des libertés (Cnil) qui vient de publier son avis sur plusieurs mesures mises en place par le gouvernement dans le cadre de la crise sanitaire. Sont concernés l'application TousAntiCovid, le système d'information Vaccin COVID et les deux fichiers de contact tracing, SI-DEP et Contact Covid. 

Une mauvaise gestion de "Contact Covid"
Bonne nouvelle : pour l'essentiel, ces dispositifs respectent les obligations du Règlement général sur la protection des données (RGPD). Seul bémol : la gestion du fichier "Contact Covid" mis en place par la Caisse nationale d'assurance maladie (Cnam) qui recueille des informations sur les cas contacts et les chaînes de contamination. En pratique, il vise à détecter les cas contacts à trois niveaux différents : médecins de ville/établissements de santé/centres de santé (niveau 1), personnel habilité de l’assurance maladie (niveau 2), Agence régionale de santé (niveau 3).

Dans le cadre de ses contrôles, le gendarme de la vie privée a relevé de "nombreuses disparités" concernant les pratiques des ARS dans l'activité de contact tracing de niveau 3. L'une des 18 Agences régionales de santé est coupable de plusieurs manquements dans la gestion des données personnelles, notamment sur leur durée de conservation et leur sécurité dans son logiciel dédié au contrat tracing. La Cnil a donc décidé de la mettre en demeure de se conformer aux exigences du RGPD dans un délai d'un mois. Un courrier a également été adressé au ministère de la Santé et des Solidarités pour alerter sur ces manquements.

Une conservation excessive des données personnelles
Dans les détails, la Cnil a observé que les informations recueillies sur le "patient zéro", première personne d'un cluster, sont renseignées dans un tableur. Ce fichier est ensuite adressé à la Cnam par une "messagerie sécurisée de santé" pour qu'elle reporte ces données dans la base "Contact Covid". Cette pratique, bien que prévue par une circulaire ministérielle, entraîne "une dispersion des données" dans les messageries. De plus, ces informations, étant en partie stockées dans des serveurs, risquent d'être conservées trop longtemps. 

A ce titre, la Cnil demande à l'ARS de soit cesser de transmettre ces tableurs via messagerie, soit de procéder à la suppression immédiate des emails contenant les tableurs, soit de les archiver régulièrement. De plus, l'autorité alerte cette ARS sur la mauvaise sécurité de son logiciel qui est accessible depuis un dossier partagé à accès restreint administré.

D'une part, aucune authentification supplémentaire n'est nécessaire pour accéder à cette application. D'autre part, cette absence d'authentification ne permet pas de retracer "finement" les évènements en cas d’accès à cette application par un tiers non autorisé, ni de déterminer par l’intermédiaire de quelle personne ce tiers y a eu accès.

Une meilleure information sur la réutilisation des informations
Face à ces pratiques dangereuses pour la protection des données personnelles, la Commission a soumis une série de recommandations à l'ensemble des ARS. Elle regrette par exemple que l'information quant à la réutilisation des données issues de "Contact Covid" soit absente, incomplète ou difficilement accessible. Elle les enjoint de modifier cet aspect.

La Cnil démarrera une troisième phase de contrôle en janvier 2021, dont les résultats seront communiqués ultérieurement dans son prochain avis.