Intervention de Marie-Laure Denis

Je vous remercie de votre invitation qui me donne l'occasion, pour la première fois depuis mon entrée en fonction à la CNIL, de venir échanger avec les membres de la commission des affaires sociales. Je suis accompagnée, bien que vous ne les voyiez pas, de M. Thomas Dautieu, directeur de la conformité, de Mme Marie Fromentin, juriste au service de la santé, et de M. Benjamin Vialle, chef du service des contrôles pour les secteurs RH, santé et affaires publiques.

Votre invitation fait suite à l'envoi au Parlement du deuxième avis trimestriel rendu public par la CNIL le 21 janvier dernier sur le fondement de l'article 11 de la loi du 11 mai 2020 prorogeant l'état d'urgence sanitaire. La CNIL avait adressé un premier avis au Parlement le 10 septembre 2020.

Le thème proposé pour cette audition porte sur les traitements de données dans le cadre de la lutte contre la propagation de l'épidémie de covid-19. Ce titre, englobant, rejoint parfaitement la démarche suivie par la CNIL depuis que le législateur a souhaité qu'elle adresse un avis public, en complément du rapport détaillé du Gouvernement, tous les trois mois à compter de la promulgation de la loi du 11 mai 2020 et ce, jusqu'à la disparition des systèmes d'information.

En effet, le Gouvernement a mis en place de nombreux systèmes numériques dans le cadre de la lutte contre l'épidémie. Il a non seulement déployé SI-DEP et Contact Covid, qui font l'objet de l'article 11, mais aussi l'application mobile StopCovid, devenue TousAntiCovid, et le système d'information Vaccin Covid. C'est pourquoi la CNIL, dans le cadre de sa mission d'accompagnement des pouvoirs publics, a fait le choix d'inclure ces différents dispositifs dans ses avis trimestriels afin d'informer le Parlement et les citoyens quant au dispositif global de lutte contre l'épidémie de covid-19.

En préambule, je souhaiterais saisir l'occasion qui m'est offerte de partager avec vous quelques réflexions relatives au rôle dévolu à notre autorité au cours de cette période. Je me suis exprimée devant vos collègues de la commission des lois, le 8 avril 2020, alors que nous affrontions le début de la crise sanitaire, et je leur ai fait part de mes réflexions.

J'avais indiqué en premier lieu que les membres de la CNIL estimaient que les données personnelles seraient considérées comme une ressource permettant de répondre directement aux défis sanitaires, à la recherche en santé, à la protection des personnes vulnérables et à l'accompagnement des stratégies de confinement et de déconfinement.

En second lieu, j'avais rappelé aux membres de la commission des lois de l'Assemblée nationale que les textes qui protègent les données personnelles, ou à caractère personnel, ne s'opposent pas à la mise en œuvre de solutions de suivi numérique, individualisé ou non, visant à la protection de la santé publique. Cependant, ces textes imposent de prévoir des garanties adaptées.

Depuis un an, le collège et les services de la CNIL ont entrepris des actions de sorte à accompagner les innovations mises en œuvre dans le cadre de la lutte contre l'épidémie, dans le respect des droits fondamentaux.

Les données de santé font l'objet d'une protection renforcée en vertu du règlement général sur la protection des données (RGPD) et de la loi informatique et libertés, très substantiellement modifiée par la loi du 20 juin 2018, que vous avez votée à la suite de l'entrée en application du RGPD.

La CNIL fonde donc son action sur des textes récents qui tiennent compte des derniers développements technologiques et qui ont passé, si j'ose dire, le « test » de l'urgence sanitaire. Par ailleurs, le Parlement s'est appuyé sur la CNIL pendant l'année écoulée, comme en témoignent non seulement ce dispositif lié à l'avis trimestriel, mais également le nombre croissant de sollicitations que nous recevons de sa part. Pour la seule année 2020, la CNIL a répondu à une dizaine de questionnaires et participé à une vingtaine d'auditions, et huit d'entre elles présentaient un lien direct avec la crise sanitaire.

Autorité administrative indépendante, la CNIL a largement contribué à installer et à préserver un climat apaisé en regard de systèmes d'information potentiellement intrusifs, tout en exerçant la plénitude des pouvoirs qu'elle détient en vertu de la loi. En effet, l'efficacité des mesures de santé publique est interdépendante de l'adhésion du public, celle-ci requérant la confiance qu'une autorité administrative indépendante et experte peut contribuer à apporter.

Nous avons agi non seulement en amont de la mise en œuvre du traitement, mais également en aval, afin de contrôler cette mise en œuvre.

En amont, depuis mars 2020, le collège de la CNIL a rendu treize avis relatifs à la gestion de la crise sanitaire. Ils étaient essentiellement destinés au Gouvernement et émis souvent en urgence, comme ce fut le cas récemment encore, pour l'avis relatif au traitement du système d'information lié aux vaccins contre la covid.

En aval, la CNIL a mené des contrôles d'organismes chargés de la mise en œuvre et elle s'est fortement mobilisée sur l'accompagnement de l'ensemble des acteurs, non seulement le Gouvernement et le Parlement, mais également les collectivités territoriales, ainsi que l'ensemble des secteurs d'activité liés à la santé et à la recherche. La CNIL maintient par ailleurs un contact permanent avec les régions, les départements et les mairies, territoires avec lesquels d'ailleurs, elle a conclu des partenariats. La CNIL reste à l'écoute de leurs problématiques, notamment sur trois sujets : le partage des données issues des fichiers sociaux et médico-sociaux des collectivités, notamment des départements, à des fins d'accompagnement des personnes vulnérables ; la distribution des masques et les fichiers de données sur la base desquels les distribuer ; la participation des collectivités à la campagne de vaccination de la population, notamment en Corse.

Par ailleurs, en matière de recherche en santé, la CNIL a priorisé un accompagnement des recherches sur la covid-19. Nous agissons sur la base d'un régime d'autorisations pour le traitement des dossiers de santé qui résulte d'un choix fort du législateur français, en 2018, de maintenir des autorisations quant à la recherche relative à la santé, conscient des enjeux liés à la protection des données.

Certes, la majorité des projets peuvent être mis en œuvre sans autorisation, sous réserve qu'ils soient conformes à une méthodologie de référence, et il suffit alors de faire une simple déclaration à la CNIL.

Cependant, s'agissant des projets qui nécessitent une autorisation – par exemple des études pour lesquelles les patients ne peuvent pas être informés individuellement de l'usage de leurs données –, la CNIL a mis en place une procédure accélérée d'instruction. Dès que les dossiers sont complets, les autorisations peuvent être délivrées rapidement, parfois même en quelques heures.

Nous avons ainsi délivré cent une autorisations de recherche spécifiquement liées à la covid-19 depuis un an, soit quatre-vingt-onze autorisations en 2020 et dix autorisations depuis le début de l'année 2021. Elles représentent environ un quart des décisions d'autorisation de recherches médicales que nous avons prononcées en 2020. En outre, 45 % des autorisations liées, en 2020, à la recherche sur la covid-19 ont été délivrées en moins de deux jours lorsque les dossiers étaient complets et près des deux tiers de ces autorisations ont été délivrés en moins d'une semaine. Le délai moyen de traitement s'élevait à dix-sept jours.

Cette mobilisation a été réalisée dans le respect des droits des personnes et de la sécurité des données. Je reconnais et j'assume que la CNIL se montre parfois exigeante quant à certains aspects tels que l'anonymisation des données et la sécurité informatique. Toutefois, l'actualité récente – fuites de données de laboratoires, par exemple – démontre combien ces exigences sont nécessaires et attendues de nos concitoyens.

S'agissant des grandes lignes du deuxième avis trimestriel de la CNIL relatif aux systèmes d'information conçus en vue de lutter contre la covid-19, je rappelle très brièvement quels traitements sont concernés : Contact Covid, mis en œuvre par la Caisse nationale de l'assurance maladie (CNAM), recueille les informations relatives aux personnes identifiées comme contacts à risque de contamination, cas contacts ou personnes co-exposées, et les chaînes de contamination ; le système SI-DEP, créé par le ministère des solidarités et de la santé, permet la centralisation des résultats des tests ; TousAntiCovid, ancien StopCovid, est une application mobile de suivi des contacts, utilisant la technologie Bluetooth et fondée sur le volontariat des personnes. Elle est mise à disposition afin d'alerter les utilisateurs d'un risque de contamination, lorsqu'ils se sont trouvés à proximité d'un autre utilisateur ayant été diagnostiqué positif à la covid-19. Elle a récemment évolué de sorte à permettre, le moment venu, l'enregistrement des visites dans des lieux recevant du public, grâce à des codes QR, afin de faciliter l'alerte des personnes ayant fréquenté ces lieux, sur une plage horaire similaire à celle d'une ou plusieurs personnes ultérieurement diagnostiquées positives au virus ; le système d'information Vaccin Covid, mis en œuvre sous la responsabilité conjointe de la direction générale de la santé et de la CNAM, vise à organiser, suivre et piloter les campagnes vaccinales contre la covid-19.

Pour chacun de ces systèmes d'information, la commission a été particulièrement vigilante quant aux modalités d'information des personnes et à l'exercice de leurs droits, quant au respect du principe d'anonymisation des données, quant à l'encadrement de la dérogation au principe du secret professionnel, notamment en exigeant une gestion particulièrement fine des habilitations des personnes amenées à accéder aux données et une sensibilisation spécifique à ces questions, et quant au respect des principes de sécurité. Ces exigences sont liées non seulement à la sensibilité de ces données, mais également à l'ampleur des traitements susceptibles d'être consultés par un grand nombre d'acteurs.

Dans ses avis trimestriels, le collège de la commission a également rappelé que l'atteinte portée à la vie privée est admissible uniquement dans le cadre d'une politique constituant une réponse nécessaire et appropriée au ralentissement de la propagation de l'épidémie et qu'elle implique que la nécessité de ce système d'information soit périodiquement réévaluée, en fonction de l'évolution de l'épidémie. La CNIL a aussi insisté sur l'obligation, malgré le contexte d'urgence, d'apporter des garanties au respect des principes fondamentaux. Dans ce cadre, le deuxième avis que nous avons publié contient le détail des observations que nous avons formulées pour chacun des systèmes mis en œuvre.

Au début du mois de janvier 2021, la CNIL a été saisie d'un projet de décret visant à renforcer le dispositif de traçage des chaînes de transmission du virus, en élargissant le champ d'action du fichier Contact Covid, afin de faciliter la réalisation des enquêtes sanitaires. En pratique, cela se traduit notamment par une extension significative du nombre de personnes concernées par l'ajout de la possibilité de collecter les données relatives aux personnes co‑exposées, à savoir des personnes qui se trouvaient au même moment qu'un patient diagnostiqué positif au virus en un lieu dans lequel il s'avérait impossible de respecter pleinement les mesures barrières et ce, au cours des quatorze derniers jours.

Dans l'avis que nous avons publié le 19 janvier 2021, nous avons noté que le projet de décret implique la collecte d'une nouvelle catégorie de données, notamment sur la participation à des activités ou des rassemblements de plus de six personnes ainsi que des données relatives au retour d'un voyage international ou dans l'outre-mer.

Les contrôles menés par la CNIL peuvent prendre plusieurs formes, à savoir sur place, sur pièces ou en ligne. En un an, nous avons réalisé onze contrôles de Contact Covid, soit auprès de la CNAM, soit auprès des agences régionales de santé (ARS).

Dans son deuxième avis, la CNIL a constaté le déploiement d'un plan d'action qui a amélioré les modalités de mise en œuvre du traitement des données et corrigé les mauvaises pratiques qui avaient été relevées dans le cadre de son premier avis, publié au mois de septembre 2020.

Toutefois, nous avons constaté certaines mauvaises pratiques résiduelles relatives aux conditions d'authentification, à la traçabilité et à la transmission des données personnelles à un tiers non habilité à héberger des données de santé. J'ai donc décidé d'adresser un courrier rappelant la CNAM à ses obligations et faisant état des manquements relevés et des mesures qu'il s'avère nécessaire de mobiliser pour y remédier.

La CNIL a également relevé de nombreuses disparités dans les pratiques des ARS pour ce qui concerne le suivi des contacts. Dans ce cadre, j'ai donc adressé une mise en demeure à l'une d'entre elles ainsi qu'un courrier de sensibilisation à l'ensemble des ARS afin de les informer de quelques pratiques contraires au RGPD, relevées lors des contrôles. J'ai également écrit au ministère des solidarités et de la santé afin de le tenir informé.

Pour ce qui concerne SI-DEP, nous avons réalisé sept contrôles non seulement auprès du ministère et de l'Assistance publique - Hôpitaux de Paris (AP-HP), mais également dans deux laboratoires d'analyses médicales réalisant des tests PCR. Dans notre deuxième avis, nous avons relevé que les remarques formulées à l'issue de la première phase de contrôle, au mois de septembre 2020, avaient bien été prises en compte et que le niveau de conformité était satisfaisant s'agissant du respect des durées de conservation des données. Ces constats posés, nous avons considéré qu'il n'était pas nécessaire de prendre des mesures particulières.

S'agissant de TousAntiCovid, anciennement StopCovid, nous avons également réalisé sept contrôles. À l'issue des contrôles que nous avons menés au mois de juin 2020, j'ai adressé une mise en demeure, qui a été rendue publique, à l'encontre du ministère de la santé. Le ministère s'étant mis en conformité dans le délai imparti, j'ai prononcé la clôture de cette mise en demeure le 3 septembre 2020. Dans la perspective de la réouverture de certains établissements recevant du public, le Gouvernement a souhaité poursuivre ces évolutions en introduisant un dispositif numérique d'enregistrement dans certains établissements par codes QR. De nouveaux contrôles seront planifiés dès que la mise à jour de l'application sera réalisée.

Pour ce qui concerne Vaccin Covid, des contrôles sont d'ores et déjà prévus.

Enfin, outre les contrôles effectués sur ces principaux systèmes d'information, la CNIL procède également à des vérifications sur les fichiers du quotidien liés au suivi de la pandémie. Elle a ainsi procédé à des contrôles relatifs, par exemple, à la tenue des cahiers de rappel, mis en œuvre à partir du mois d'octobre 2020, alors que les établissements étaient encore ouverts. Nous avons d'ailleurs publié sur notre site, à l'attention des professionnels, des exemples de cahiers de rappel qui protègent les droits des personnes et qui rappellent que ces données ne doivent pas être utilisées à des fins de prospection commerciale. Dans ce cadre, nous avons prononcé deux rappels à l'ordre à l'encontre d'organismes qui utilisaient ces cahiers de rappel sans respecter la procédure de protection des données.

En conclusion, sans remettre en cause la légitimité de poursuivre la lutte contre l'épidémie, il convient non seulement de concilier la protection de la santé et la protection des données, mais également de veiller à ne pas banaliser le recours à ces systèmes d'information qui demeurent très intrusifs et consommateurs de données personnelles.

Quoi qu'il en soit, les contrôles se poursuivront tout au long de la période d'utilisation des fichiers, jusqu'à la fin de leur mise en œuvre et jusqu'à la suppression des données qu'ils contiennent. Le prochain avis public publié par la CNIL fera état des résultats de ces contrôles, notamment pour ce qui concerne les contrôles liés à Vaccin Covid. Une ultime salve de contrôles sera effectuée jusqu'à la suppression effective des données.