Covid 19 : comment sont traitées nos données personnelles ?

Pour tenter d’endiguer l’épidémie de COVID 19, le gouvernement a mis en place des systèmes d’information (SIDEP et Vaccin COVID), un téléservice (Contact Covid) et une application (TousAntiCovid). Tous recensent des données personnelles avec l’obligation de respecter le règlement général sur la protection des données (RGPD). Pour faire respecter cela, la CNIL (Commission nationale informatique et libertés) veille. Les failles existent et la frontière avec la limitation de nos libertés individuelles devient fine. Détaillons cela.

#1 – COMPRENDRE LE RGPD

Tout d’abord, reprenons la base, qu’est ce que le RGPD, quels sont ses objectifs ?

Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. Cette phrase, courte et simple révèle 3 éléments essentiels :

• Données personnelles, c’est à dire toute information se rapportant à une personne physique identifiée ou identifiable
• Traitement : le traitement des données est une opération ou un ensemble d’opérations portant sur des données personnelles, quel que soit le procédé utilisé, informatisé ou non. Il faut préciser que ce traitement a l’obligation d’avoir un objectif (on ne peut collecter des informations personnelles juste au cas où).
• Union Européenne : le RGPD harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels.

Le RGPD concerne tout organisme, quels que soient sa taille, son pays d’implantation et son activité. Il s’applique donc aussi bien au secteur public qu’au privé. D’autre part, il concerne les organisations établies sur le territoire de l’UE ainsi que celles dont l’activité cible des résidents européens. En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) en est la garante. C’est une autorité administrative indépendante.

Il ressort 3 objectifs principaux : la responsabilité (des entreprises et sous traitants), la transparence (de l’utilisation des données) et la confiance (retrouvée des citoyens).

Ornella Messina vous en dit plus dans son article de décembre 2019, RGPD : Opportunité ou frein d’une stratégie Data ?

Le Journal Le Monde détaille le RGPD en 5 questions dans cette vidéo (de 2018) :

Les notions de RGPD et de données personnelles étant claires, voyons la gestion de ces dernières réalisée par le gouvernement pour tenter de stopper l’épidémie de COVID.

#2 – GESTION DES DONNÉES PERSONNELLES DANS L’APPLICATION TOUSANTICOVID

TousAntiCovid est l’application de contact tracing pour alerter les français lorsqu’ils ont croisé des personnes testées positives (l’application propose aussi d’autres services qui ne concernent pas la gestion de nos datas donc dont nous ne parlerons pas ici). 

Un choix technologique sûr : indépendant des GAFAM

La question s’est posée pour choisir entre un modèle centralisé et un modèle décentralisé, ainsi que sur la concordance avec les autres pays européen afin de rendre les applications interopérables (capacité à communiquer entre deux ou plusieurs systèmes) Qu’est ce que cela signifie ?

Les deux architectures se composent d’éléments centralisés (serveurs, dispatchers) et décentralisés (smartphones) qui échangent et stockent des données, ici des crypto-identifiants.

• Dans le modèle dit “décentralisé”, les crypto-identifiants des personnes testées positives sont envoyés dans les téléphones via un serveur.
• Dans le modèle dit “centralisé”, ce sont les historiques de proximité qui sont échangés entre l’utilisateur et le serveur.

L’initiative de Apple et Google propose une architecture décentralisée; c’est-à-dire qu’un diagnostic médical (encrypté) circule dans toutes les applications. Cela, en plus de poser des questions de souveraineté, présente des risques de failles importants.

Pour cette raison, le Gouvernement français a choisi une solution “maison” centralisée reposant sur le protocole Robert. Ce modèle a été développé par des acteurs nationaux publics et privés dont le porteur de projet est l’Inria. Par souci de transparence, le code source est accessible en open data.

L’application ne demande aucune donnée personnelle. Elle utilise le signal Bluetooth pour détecter les smartphones à proximité. Les contacts pris en compte sont ceux de moins d’1 mètre qui durent plus de 15 minutes. Les datas sont alors anonymisées, chaque personne étant identifiée par le crypto-identifiant.

Quand une personne se signale (elle-même) comme testée positive, grâce au rapprochement via le serveur central, les personnes ayant activé l’application et s’étant trouvé 15 minutes à moins d’un mètre de la personne reçoivent une notification.

Fiche d’identité TousAntiCovid

• Porteur de projet : Inria
• Finalités : traçage des contacts
• Données collectées : crypto-identifiant
• Lieu de stockage : smartphone / serveur
• Durée de conservation des données : 14 jours
• Suppression possible : par simple clics dans l’application

Nos données personnelles sont-elles bien protégées ?

Les problèmes de la première version de l’application semblent corrigés. Pour rappel :

• L’adresse IP était régulièrement utilisée par le système de sécurité
• L’historique de l’ensemble des contacts des utilisateurs remontait au serveur central (au lieu des seuls contacts susceptibles d’avoir été exposés au virus).

La CNIL estime aujourd’hui le dispositif conforme au RGPD. Elle met toutefois le gouvernement en garde contre toute tentation de procurer des avantages directs ou indirects aux personnes ayant installé l’application. Le téléchargement de cette dernière doit être volontaire pour ne pas porter atteinte à la protection des données à caractère personnel et au respect de la vie privée.

L’application TousAntiCovid est-elle fiable ?

L’application ne tient pas compte de contextes spécifiques (personnes séparées par une vitre / un mur). Vous pouvez donc être considéré en contact avec une personne d’un bâtiment voisin.

D’autre part, on peut s’interroger sur la précision de la technologie Bluetooth. La puissance du signal varie selon le type de puce, de batterie, d’antenne… sa portée est elle aussi variable.

Enfin, pour être efficace, il faudrait que son utilisation soit majoritaire (même s’il n’existe pas de consensus sur le nombre minimum d’utilisateurs). Les chiffres sont bien meilleurs que ceux de la précédente version (2 millions de téléchargements), mais les 15 millions annoncés sont encore loin de l’objectif fixé. La CNIL reste d’ailleurs sceptique quant à son utilité et demande “de développer des initiatives et des indicateurs permettant d’évaluer pleinement l’effectivité sanitaire du dispositif”.

Quels sont les freins à l’utilisation de TousAntiCovid ?

Le premier frein est l’inquiétude des citoyens sur le respect de la vie privée. Malgré le discours rassurant du Gouvernement, le premier écueil désavouant les promesses n’a pas rassuré. En effet, il a été prouvé que l’application collectait et transférait le cas échéant au serveurs central, les identifiants de toutes les personnes qui s’étaient croisée via l’application.

D’autre part, le protocole Robert reste proche du protocole utilisé pour l’application Trace Together (Singapour). Or les autorités singapouriennes ont reconnu que les données recueillies ont pu être consultées par la police malgré des assurances fournies sur la confidentialité des données lors du lancement du dispositif. Notre droit n’est pas comparable à celui de Singapour mais il est compréhensible que cette information ne rassure en rien les sceptiques.

Enfin, les États européens ne s’étant pas accordés sur les protocoles choisis, les applications ne sont pas interopérables et donc il n’est pas possible d’utiliser une seule et même application partout en Europe.

Quels usages de l’application TousAntiCovid à la réouverture des restaurants et des salles de sport ?

Un projet de décret est en cours d’étude par le Conseil d’Etat afin de modifier l’application. L’idée est d’installer des QR codes à l’entrée de certains lieux considérés comme à risque par les autorités. Nous comprendrons donc notamment les restaurants et les salles de sport.

Pour respecter la liberté de télécharger ou non l’application sans restreindre les libertés des citoyens, l’application ne sera pas obligatoire, par contre, le signalement le sera. Pour les personnes ne possédant pas de téléphone ou ne souhaitant pas télécharger l’application, ce sera donc le retour aux cahiers de rappel.

Ceci me permet de préciser ici que les cahiers de rappel avaient fait l’objet de manquement au RGPD lors de la première phase de son utilisation. En effet, des restaurateurs profitaient des coordonnées à des fins marketing. 

La question sera donc de choisir entre les deux solutions.

Au niveau du fonctionnement, deux degré d’alerte sont envisagés :

• Le risque modéré : une seule personne positive, les cas “contact” seront invités à surveiller leurs symptômes.
• Le risque élevé : plusieurs personnes (nombre à déterminer) sont testées positives, les autres utilisateurs seront donc invités à aller se faire dépister.

#3 – GESTION DES DONNÉES PERSONNELLES DANS LES FICHIERS SIDEP ET CONTACT COVID

Dans la stratégie de traçage des contacts, l’application TousAntiCovid est accompagnée depuis mai 2020 de deux fichiers : SIDEP (système intégré de dépistage et de prévention) et Contact Covid. Ces systèmes d’information vont traiter des données personnelles.

Le SIDEP est un système d’information national permettant la centralisation des résultats des tests COVID.

Contact COVID recueille des informations sur les cas contact et les chaînes de contamination. Les cas contact sont détectés par trois entités différentes : 

• Niveau 1 : Médecins de villes / établissements de santé / centres de santé
• Niveau 2 : personnels habilités de l’assurance maladie
• Niveau 3 : agences régionales de santé

Fiche d’identité SIDEP

• Responsable : DGS*
• Finalités :
• • Transmission des résultats d’analyse patient / médecin / organismes,
  • Surveillance épidémiologique,
  • Recherche sur le virus et la lutte contre sa propagation.
• Données traitées :
  • Données personnelles du patient,
  • Données personnelles du médecin responsable,
  • Données sur le prélèvement et son résultat.
• Durée de conservation des données : 6 mois après la fin de l’état d’urgence sanitaire (date qui a déjà évolué à de nombreuses reprises mais qui est actuellement fixée au 1er juin 2021).
• Droits des personnes sur le traitement de leurs données : par écrit au directeur de l’organisme ou au délégué à la protection des données.

Fiche d’identité Contact COVID

• Responsable : CNAM*
• Finalités :
  • identification des personnes infectées
  • identification des personnes avec lesquelles ces personnes infectées ont été en contact
  • réalisation d’enquêtes sanitaires,  accompagnement et orientation des personnes infectées ou avec lesquelles elles ont été en contact, pilotage et suivi des actions
• Données traitées :
  • données personnelles de la personne testée positive
  • potentiellement données personnelles des personnes « contact »
• Durée de conservation des données : 3 mois maximum après leur collecte, porté à 6 mois pour la surveillance épidémiologique (données pseudonymisées).
• Droits des personnes sur le traitement de leurs données : par écrit au directeur de l’organisme ou au délégué à la protection des données

Qui a accès aux données personnelles ?

Côté SIDEP, Santé Publique France, les ARS et les organismes d’assurance maladie ont accès aux données brutes (avec identification). Les données pseudonymisées sont aussi accessibles aux mêmes interlocuteurs mais aussi à la direction de la recherche, des études, de l’évaluation et des statistiques du ministère chargé de la santé et la plateforme de données de santé (Health Data Hub).

Coté Contact COVID, les données ne sont accessibles qu’à des personnes astreintes au secret professionnel et dans la limite du besoin d’en connaître. Il s’agit des médecins, des agents des organismes nationaux et locaux d’assurance maladie, des ARS mais encore d’autres agents notamment des communautés professionnelles de santé.

Ces “brigades” sont donc composées de plusieurs milliers de personnes pour un suivi efficace à l’échelon national. Dans un article de Numerama du 12 mai 2020, le président du Conseil scientifique, Jean François Delfraissy, livrait un ordre de grandeur : 15 000 à 20 000 personnels voire peut être 30 000.

La question reste donc entière sur la capacité de l’ensemble de ces personnes à connaître et respecter le RGPD sur des données sensibles (de santé). L’article de Dalloz actualité du 26 mai 2020, démontre de potentielles failles quant à la mise en place de “mesures techniques ou organisationnelles appropriées”. Nous parlons ici de traçabilité de traitement de données, d’authentification simple (identifiant / mot de passe) pour accéder à des données de santé ; inverse de l’authentification forte.

Quel est l’avis de la CNIL en janvier 2021 ?

Côté SIDEP, la CNIL émettait des réserves ainsi que des demandes d’amélioration en septembre 2020 (selon notamment les problématiques énoncées plus haut). Dans son rapport de janvier 2021, elle considère que les conditions de mise en œuvre n’appellent plus de mesures particulières ; cela signifie donc que le RGPD est respecté.

Côté Contact COVID, l’avis de la CNIL diffère selon les responsables.

La CNAM a amélioré la mise en œuvre du traitement et pratiquement corrigé les mauvaises pratiques. La CNIL relève encore des mauvaises pratiques liées aux conditions d’authentification, à la traçabilité et la la transmission à un tiers non habilité à héberger des données de santé.

Au niveau du traitement par les Agences Régionales de Santé (ARS), il existe des disparités de traitement. Elle relève notamment plusieurs manquements dans la gestion des données (sur la durée de conservation et leur sécurité).

Janvier 2021, l’épidémie n’est toujours pas maîtrisée et un nouveau confinement semble se profiler. La campagne de vaccination est lancée, et donc un nouveau fichier a vu le jour.

#4 – GESTION DES DONNÉES PERSONNELLES DANS LE SYSTÈME D’INFORMATION (SI) « VACCIN COVID » 

Fiche d’identité SI Vaccin COVID

• Responsable : Ministère des Solidarités et de la Santé et la CNAM
• Finalités (notamment) : 
  • Identification des personnes éligibles
  • Envoi ou édition d’invitations à la vaccination
  • Gestion des éventuels rappels
  • Suivi de l’approvisionnement 
  • Pilotage
  • Mise à disposition de données pour permettre leur réutilisation
• Données traitées : données personnelles de la personne concernée et données sur les professionnels de santé impliqués. 
• Durée de conservation : 10 ans pouvant être allongé à 30 ans.
• Droits des personnes sur le traitement de leurs données : par écrit au directeur de l’organisme ou au délégué à la protection des données. Cependant, une fois entrées dans le parcours vaccinal, les personnes ont le droit à la limitation du traitement mais pas à l’effacement des données pour des raisons de traçabilité de la vaccination.

Comment se déroule le traitement des données personnelles ?

Le processus est assez différent des autres fichiers. Les données sont collectées automatiquement par le biais de connexions avec d’autres fichiers de santé. Cela est donc réalisé sans l’accord des personnes, avant de savoir si elles souhaiteront se faire vacciner ou non. Deux objectifs : 

1. identifier les personnes éligibles (pour l’envoi de bons de vaccination)
2. organiser la vaccination

A partir de là, deux cas de figure, 

1. les personnes ne souhaitant pas se faire vacciner peuvent demander l’effacement des données (cela étant fastidieux, il est probable que la proportion en sera minime)
2. les personnes acceptant de se faire vacciner ne pourront plus exercer le droit d’opposition (sauf concernant l’utilisation de leurs données à des fins de recherche)

Ce déroulé étant provisoire car pour le moment, seules les personnes vulnérables et les + de 75 ans sont appelés pour se faire vacciner. La question de l’inscription via l’application TousAntiCovid reste entière. L’application qui ne collecte aujourd’hui pas de données personnelles sera t-elle amenée à être modifiée ?

D’autre part, une interrogation réside dans le recours à des plateformes privées pour la prise de rendez-vous. De ce côté, les plateformes respectent, selon les dernières informations, les règles du RGPD.

Et après, quelle relation entre vaccination et libertés individuelles ?

La création d’un passeport vaccinal suscite de nombreuses polémiques. Certains crient au scandale et y voient une atteinte aux libertés. Les chiffres, eux, sont plus favorables à la mesure. 62% des français souhaiteraient qu’il soit obligatoire pour prendre l’avion.

Cette mesure soulève d’autres problématiques, même sans obligation française. En effet, prenons l’exemple d’une entreprise souhaitant envoyer un salarié à l’étranger, dans un pays où la vaccination est obligatoire. L’employé refuse de se faire vacciner. Quelles conséquences pour l’entreprise ? Pour le salarié ? Le Journal du net s’est penché sur la question.

Comme nous venons de le voir, la frontière entre gestion des données personnelles et libertés individuelles s’affine. La question du passeport vaccinal interroge. L’application deviendra-t-elle nécessaire pour accéder aux lieux publics ? Même si le Gouvernement semble aujourd’hui peu enclin à ces pratiques, seuls les événements à venir pourront répondre à ses interrogations. D’autre part, l’émergence de caméras dites “intelligentes” et de caméras thermiques est un nouvel enjeu pour les libertés individuelles. 

Enfin, nous avons vu que dans l’ensemble, le traitement de nos données personnelles est plutôt bien réalisé, quid de la cybersécurité et de l’utilisation de ces données en cas de piratage informatique.

Pour aller plus loin

Sur les données personnelles :

• Clarisse Pastor : Ce qu’il faut savoir sur la collecte de nos données personnelles

Sur la COVID et ses enjeux :

• Comment la COVID accélère les transformations au travail ?
• Entreprises à succès de 2020 malgré la COVID-19 : leurs recettes pour performer

Lexique

• CNAM : Caisse Nationale d’Assurance Maladie
• ARS : Agence Régionale de Santé
• RGPD : Règlement Général sur la Protection des Données
• CNIL : Commission Nationale de l’Informatiques et des Libertés
• SIDEP : Service intégré de dépistage et de prévention
• DGS : Direction Générale de la Santé

Sources de l’article COVID 19 : comment sont traitées nos données personnelles ?

• RGPD :
  • Site de la CNIL – article RGPD 
  • Site Solidarités-sante.gouv.fr 
• TousAntiCovid :
  • https://www.cnetfrance.fr/news/stopcovid-ce-qu-il-faut-savoir-sur-l-application-de-tracage-du-gouvernement-39902481.htm
  • https://solidarites-sante.gouv.fr/soins-et-maladies/maladies/maladies-infectieuses/coronavirus/tousanticovid 
  • https://www.rtl.fr/actu/sciences-tech/coronavirus-comment-vont-fonctionner-les-qr-codes-a-l-entree-des-lieux-publics-7800955297
• Anonymisation :
  • Site de la CNIL – article anonymisation
• SIDEP et Contact COVID :
  • https://www.cnil.fr/fr/la-cnil-publie-son-deuxieme-avis-adresse-au-parlement-sur-les-conditions-de-mise-en-oeuvre-de-si-dep
  • Site Ameli – Article Contact Covid 
  • https://www.dalloz-actualite.fr/flash/etat-d-urgence-pour-donnees-de-sante-ii-sidep-et-contact-covid#.YA89FOhKiUk 
• CNIL :
  • https://www.cnil.fr/fr/la-cnil-publie-son-deuxieme-avis-adresse-au-parlement-sur-les-conditions-de-mise-en-oeuvre-de-si-dep
  • https://www.cnil.fr/fr/la-cnil-rend-public-son-avis-trimestriel-adresse-au-parlement-sur-les-conditions-de-mise-en-oeuvre 
• Vaccin COVID
  • Site la Dépèche – Article sur la vaccination – Covid 19
  • https://www.bfmtv.com/tech/campagne-de-vaccination-comment-le-gouvernement-pourrait-utiliser-tous-anti-covid_AN-202101050146.html