Intervention de de la CNIL

S'agissant de la plateforme de données Health Data Hub, je tiens d'abord à souligner l'utilité d'une plateforme de données de santé, notamment pour la recherche médicale. Nous disposons, en France, d'un nombre considérable de données de santé qui peuvent être utilisées à des fins de recherche, sous réserve d'en préserver la sensibilité et d'assurer des conditions de sécurité maximales. Le collège de la CNIL se montre très vigilant quant à un éventuel accès direct à ces données par les autorités de pays tiers. C'est la raison pour laquelle il a très fermement fait part de son souhait que l'hébergement de la plateforme et des services qui sont rattachés à sa gestion puisse être réservé à des entités relevant exclusivement des juridictions de l'Union européenne.

Vous avez évoqué l'arrêt rendu par la Cour de justice de l'Union européenne au mois de juillet dernier qui a invalidé l'accord de transfert de données, notamment vers les États‑Unis. Le Conseil d'État a reconnu, dans une ordonnance d'octobre dernier, le risque présenté par le transfert de données, notamment vers les États-Unis, en raison de la soumission de Microsoft au droit américain. Il a par ailleurs demandé que des garanties supplémentaires soient mises en place.

Le collège de la CNIL estime nécessaire d'éliminer ce risque. C'est la raison pour laquelle nous avons demandé et obtenu, de la part du ministère, l'engagement de modifier la solution technique de sorte à supprimer ce risque dans un délai déterminé, compris entre douze et dix-huit mois, et qui, en tout état de cause, ne devra pas excéder deux ans. La CNIL considère que ce délai est de nature à garantir un juste équilibre entre la préservation du droit à la protection des données et l'objectif qui consiste à favoriser la recherche et l'innovation dans le domaine de la santé. Dans notre esprit, il s'agit d'une période transitoire.

La CNIL sera d'ailleurs très prochainement auditionnée par la CNAM, notamment le membre du collège qui est en charge de la santé, au sujet non seulement de l'avis qu'elle a rendu relativement au décret, mais également du recours à Microsoft pour l'hébergement des données de cette plateforme. Je vous rappelle que le conseil d'administration de la CNAM s'est opposé, en février, au transfert d'une copie du système.

S'agissant des moyens dont dispose la CNIL, les pouvoirs publics sont conscients du périmètre couvert par ses missions. En effet, nous assurons des missions d'accompagnement non seulement des pouvoirs publics – notre échange en est l'illustration –, de millions d'entreprises, mais également des individus qu'il importe d'informer de leurs droits.

La CNIL compte actuellement deux cent vingt-cinq agents, effectif qui sera porté à deux cent quarante-cinq à la fin de l'année. Les pouvoirs publics sont donc conscients qu'il convient d'étoffer les ressources de la CNIL. En effet, la valeur de la CNIL réside exclusivement dans ses agents. Pour autant, le ratio entre le nombre d'agents de l'autorité de protection des données et la population est l'un des trois plus faibles de l'ensemble de l'Union européenne. En outre, notre effectif compte moitié moins d'agents que celui de notre homologue anglais. Pour autant, le nombre de plaintes que nous enregistrons augmente de 30 % par an depuis la mise en œuvre du RGPD : il atteint 14 000 plaintes par an. Nous réalisons des centaines de contrôles. Nous sommes très présents pour l'accompagnement des entreprises et des organismes. Nous sommes très impliqués à l'échelon européen et international afin de faire vivre cette coopération européenne qu'incarne le RGPD. Nous sommes très engagés pour la cybersécurité, qui nécessite également des moyens. C'est pourquoi je suis convaincue qu'il est impératif de renforcer les effectifs à temps plein de la CNIL.

Plusieurs d'entre vous m'ont interrogée quant au passeport vaccinal. La CNIL n'a pas été saisie à ce sujet. Dès lors, les informations dont je dispose sont issues des articles que je lis dans la presse. Pour autant, je vous confirme que, si la création de ce passeport se confirmait, la CNIL serait amenée à se prononcer quant à la mise en œuvre d'un tel traitement de données qui nécessiterait des modifications législatives ou réglementaires. Nous serions attentifs à la sécurité des données, notamment les données de santé et les données sensibles. Dans le cas échéant de la mise en œuvre d'un dispositif numérique, nous serions particulièrement attentifs à la préservation du caractère volontaire, d'une réelle liberté de choix et, par là même, à ce que l'accès à des services ne soit pas conditionné à l'utilisation de ce dispositif numérique. Nous serions également très vigilants quant à son articulation avec d'autres dispositifs qui ont été mis en place en vue de la réouverture de certains établissements recevant du public afin d'éviter les risques de multiplication et de superpositions de ces dispositifs et de confirmer leur réelle utilité dans la lutte contre l'épidémie et la covid-19.

Des discussions sont en cours au niveau européen, cet après-midi même, dans le cadre d'échanges au sein du Comité européen de la protection des données, qui réunit l'ensemble des CNIL européennes. Il est probable que cette instance européenne soit amenée, le cas échéant, à se prononcer sur le sujet. En effet, la présidente de la Commission européenne a annoncé très récemment que la Commission allait présenter ce mois-ci une proposition législative relative au Digital Green Pass, dont l'objectif consisterait à fournir non seulement la preuve de la vaccination, mais également celle du test PCR négatif ou la présence d'anticorps.

Les compagnies aériennes expérimentent différentes méthodes de test. Air France a mis à l'essai, à destination de l'outre-mer, un outil différent de celui qui est mis en place par l'Association internationale du transport aérien. La CNIL n'a pas été saisie de ces projets, ce qui n'est d'ailleurs pas anormal puisque le RGPD implique une responsabilisation des personnes en charge des traitements de données qui ne sont donc pas obligées de solliciter l'autorisation à la CNIL. En revanche, ils sont tenus de respecter l'ensemble des règles en matière de protection des données et de mobilisation de ces données. En effet, la collecte doit concerner uniquement des données nécessaires et ne peut intervenir qu'après avoir informé les personnes, recueilli leur consentement et s'être assuré de la sécurité de ces données. Il est également important que ces données soient stockées localement, à la disposition de l'utilisateur, et non pas dans une base centrale. Il convient également d'identifier les accès aux données et de répartir les rôles et les responsabilités entre un consortium, par exemple, réunissant les acteurs à l'origine de cette initiative, les professionnels de santé et les compagnies bénéficiant du dispositif. J'insiste sur le fait que le caractère volontaire du dispositif doit s'appliquer également aux compagnies aériennes. Il doit se traduire par une réelle liberté de choix et la proposition de solutions alternatives en cas de refus d'utiliser cette méthode sans que cette posture implique un refus d'accès au voyage.

Tels sont quelques-uns des points d'attention et de vigilance sur lesquels nous ne manquerions pas de nous prononcer, le cas échéant et le moment venu.

La question de la sécurité des données est bien entendu indissociable de la protection des données. Vous avez évoqué notamment les attaques dont ont été victimes certains hôpitaux via des logiciels qui chiffrent les données et réclament le paiement d'une rançon pour en libérer l'accès. Ces attaques n'impliquent pas uniquement des conséquences financières et de désorganisation. En effet, l'année dernière en Allemagne, une patiente est décédée à la suite attaque de ce type visant l'établissement dans lequel elle était hospitalisée. Dès lors, dans le domaine de la sécurité des hôpitaux, il me paraît essentiel de conjuguer les actions de la CNIL à celles des différents intervenants. Je me suis récemment entretenue avec le secrétaire d'État chargé de la transition numérique et avec la déléguée ministérielle au numérique en santé, que vous avez d'ailleurs auditionnée récemment. La question repose concrètement sur la part de leur budget que les hôpitaux peuvent consacrer à la protection des données. Elle s'élève actuellement entre 1,6 et 1,8 % et l'engagement d'actions de fond nécessiterait de l'augmenter à environ 3 %. Ces actions impliqueraient d'engager, et de rémunérer au prix du marché, des experts informatiques en la matière. Je pense que le volet numérique du plan France Relance pourrait permettre des avancées dans ce cadre.

Le rôle de la CNIL réside dans de l'accompagnement, autant que possible. Cependant, elle ne dispose pas des ressources nécessaires à l'accompagnement de l'ensemble des hôpitaux. Dès lors son action se limite à prodiguer des conseils généraux, à entretenir des contacts avec les fédérations et les représentants du domaine hospitalier. Nous accompagnons également les hôpitaux par nos actions de contrôle. En effet, nous avons procédé à sept contrôles d'établissements français en 2020. Je rappelle que, conformément au RGPD, les hôpitaux, comme l'ensemble des acteurs, des entreprises et des organismes publics, sont tenus de notifier à la CNIL un constat de violation des données dans les soixante-douze heures qui suivent la prise de conscience de cette violation de sorte que nous puissions décider, si cela n'a pas encore été fait et en fonction de la nature de la violation et des données concernées, s'il convient d'en informer les utilisateurs et les personnes dont les données ont été violées.

La formation restreinte de la CNIL, c'est-à-dire sa commission des sanctions, a sanctionné deux médecins au mois de décembre dernier, bien que les sommes en jeu ne fussent pas importantes, et leur a rappelé qu'il était interdit de donner libre accès sur Internet aux données de leurs patients. À ma connaissance, le RGPD constitue le seul texte qui comporte des obligations en matière de sécurité et de protection des données sur lesquelles baser les sanctions de la CNIL.

Par ailleurs, nous sommes très actifs dans l'édition de guides, de recommandations relatives aux mots de passe, etc. Nous avons également édité une application qui permet de réaliser facilement des études d'impact des traitements sur la protection des données lorsqu'un risque élevé est identifié.

En 2021, le collège de la CNIL a décidé d'axer deux de ses trois thèmes prioritaires de contrôle sur la cybersécurité et les violations de données. Force est de constater que les notifications de violations de données ont augmenté de 24 % entre 2019 et 2020. Nous enregistrons un peu moins de trois mille notifications de violations de données chaque année et je pense que ce chiffre est sous-estimé. En outre, les violations liées à des attaques par CryptoLocker sur des établissements de santé ont triplé entre 2019 et 2020 – douze en 2019 contre trente-six en 2020 – et de nombreuses sanctions de la CNIL concernent des manquements à la sécurité des données. Nous suivons tout particulièrement ce sujet.

Comme vous avez pu le constater dans l'actualité, nous avons également essayé d'être les plus réactifs possible face à la fuite des données de santé qui a affecté simultanément près de cinq cent mille patients de vingt-huit laboratoires. Nous avons diligenté des contrôles sur pièces et sur place. Nous avons déjà réalisé des contrôles et nous poursuivons notre action dans ce domaine. Nous avons également saisi le tribunal judiciaire de Paris de sorte qu'il enjoigne les fournisseurs d'accès à Internet de bloquer le site, situé hors de l'Union européenne, qui rendait cette base de données accessible. Nous nous sommes assurés que les personnes dont les données ont été violées en avaient été informées ou étaient sur le point de l'être par les laboratoires. Nous continuons à instruire les notifications de violations de données.

La cybersécurité constitue un sujet prégnant, notamment dans le domaine de la santé, compte tenu du volume des données concernées, de la sensibilité et de l'intimité qu'elles révèlent. La CNIL agit et continuera à agir massivement sur les problématiques liées à la cybersécurité.

S'agissant du partage des données médicales, d'une façon générale, il importe de concilier l'ouverture des données et leur protection. L'ouverture des données, notamment des données d'intérêt public – qui ne concernent pas exclusivement le domaine de la santé – constitue non seulement un facteur d'innovation, mais également un élément de la confiance entre l'administration, les pouvoirs publics et les administrés. Cette ouverture des données relève d'ailleurs de la loi pour une République numérique de 2016, qui oblige l'ouverture par défaut des données de l'administration.

La CNIL est en relation institutionnelle avec la Commission d'accès aux documents administratifs avec laquelle, à la fin de l'année 2019, elle a édité un guide de réutilisation des données publiques. Ce guide propose des fiches thématiques et il a fait l'objet de quatre mille cent téléchargements. Les collectivités territoriales, notamment, disposent de nombreuses données publiques qui peuvent être intéressantes. Cependant, le respect du principe d'anonymisation des données à caractère personnel constitue une des principales clefs de protection des données dans le cadre de l'ouverture des données publiques, par exemple patrimoniales ou financières. La protection des données fonde la condition d'un partage acceptable des données sur le plan social.

En ce qui concerne plus spécifiquement les données de santé, nous avons publié un référentiel qui permet un accès des bénéficiaires aux données de l'échantillon généraliste pour certains traitements qui ne font pas l'objet d'une autorisation de la CNIL.

Le décret sur lequel nous avons rendu un avis ne prévoit pas d'interopérabilité des systèmes d'information SI-DEP et Contact Covid parce que certaines catégories de personnes habilitées à consulter ou à accéder à ces fichiers sont identiques et peuvent donc procéder à un partage d'informations, notamment par exemple, afin d'augmenter l'efficacité des enquêtes d'identification des cas contacts. Quoi qu'il en soit, les systèmes d'information doivent respecter un principe de finalité précis, inscrit dans le RGPD, qui implique une logique en silos, une séparation des systèmes d'information en fonction de leur objectif, ainsi qu'une identification très précise des destinataires de données.

La CNIL ne s'oppose pas à l'interopérabilité des systèmes d'information dès lors qu'elle permet un échange de données contrôlé afin qu'elles puissent aisément être réutilisées dans un autre système, par exemple. Ces échanges doivent être réalisés dans le respect de l'anonymisation des données et de la sécurité, mais en aucun cas dans une logique d'interconnexion généralisée des systèmes d'information. Quoi qu'il en soit, cette interopérabilité devrait être traduite dans les textes.

Le collège de la CNIL a souvent recours à l'expression « solutionnisme technologique » non pas à des fins de stigmatisation de la technologie et des innovations technologiques, mais pour appeler l'attention sur le fait que ces technologies suscitent une sorte de facilité et de fascination qui conduisent à considérer que la faisabilité technologique exonère de l'étude des risques. Les algorithmes, par exemple, sont très utiles, mais il convient d'être conscient des risques qu'ils sont susceptibles de générer. Il importe donc de ne pas tomber dans ce piège du solutionnisme technologique, sans pour autant, bien entendu, rejeter les opportunités d'innovations.

Lorsqu'il rend un avis sur un système d'information ou sur l'article 11 de la loi du 11 mai 2020, le collège de la CNIL garde constamment à l'esprit la nécessité et la proportionnalité des systèmes d'information. Il s'interroge quant aux bénéfices apportés par ces systèmes dans le cadre de la stratégie sanitaire globale. À titre d'exemple, nous souhaitons que l'application TousAntiCovid fasse l'objet de critères d'évaluation suivis. Je constate que les Britanniques ont récemment opéré des traçages numériques sur leur propre application.

Vous avez indiqué que les ARS encourageraient l'établissement de listes de personnes non vaccinées. Lorsque nous avons rendu notre avis sur le système d'information lié aux vaccins, nous avons constaté qu'il ne s'agissait pas d'un fichier listant les personnes non vaccinées, comme on avait pu entendre que l'Espagne, par exemple, l'envisageait. Si votre information est pertinente, je n'en ai pas été informée. Quoi qu'il en soit, nous avons prévu de contrôler des ARS et nous ne manquerons pas de vérifier précisément ce point.

Il me paraît très important de rappeler que lorsqu'il a examiné le système d'information sur les vaccins, le collège de la CNIL a demandé qu'un droit d'opposition soit possible et figure dans ce fichier et nous l'avons obtenu dans le cadre du décret qui a été publié. Cela signifie que lorsqu'une personne reçoit un bon de vaccination, elle est autorisée à s'opposer à figurer dans le système en formation sur les vaccins si elle refuse de se faire vacciner. En revanche, toute vaccination est consignée dans le fichier pour des raisons de traçabilité pharmacologique. Toutefois la CNIL a veillé à ce que toute personne vaccinée ait le droit de s'opposer à l'utilisation de ses données, même anonymisées, à des fins de recherche.

Dès que la CNIL étudie un système d'information relatif, notamment, à la crise sanitaire, elle est particulièrement attentive à faire respecter les droits de nos concitoyens, les droits dits « Informatique et libertés », dans l'élaboration de ses systèmes d'information.

Nous n'avons pas été saisis par le Conseil d'État à propos de la requête introduite contre la prise de rendez-vous via l'application Doctolib. Un collectif a déposé récemment un référé liberté devant le Conseil d'État visant à obtenir l'annulation du partenariat passé entre le Gouvernement et Doctolib pour la prise de rendez-vous. Il est reproché à Doctolib de mettre en danger les données personnelles des patients en confiant leur hébergement à Amazon Web Services, société soumise au droit américain et donc potentiellement aux programmes de surveillance qu'il autorise. Doctolib a publiquement contesté ces allégations. Les requérants demandent au Conseil d'État d'ordonner la suspension de ce partenariat. Cette affaire a été portée devant la justice, mais à ce jour, la CNIL n'a pas été sollicitée par le Conseil d'État à ce sujet.

S'agissant de la question de la pérennisation des systèmes d'information liés à la covid-19, la CNIL a échangé avec le Parlement quant à l'éventuelle instauration d'un régime pérenne de gestion des urgences sanitaires, lors d'une audition qui s'est déroulée au mois de novembre dernier devant la mission d'information de la commission des lois de l'Assemblée nationale relative aux aspects juridiques de l'état d'urgence sanitaire. Au mois de décembre dernier, le collège de la CNIL a également rendu en urgence un avis relatif à un projet de loi qui visait à instituer un régime pérenne de gestion des urgences sanitaires et qui autorisait le Gouvernement à créer par décret des systèmes d'information à des fins de gestion et de suivi de situations sanitaires exceptionnelles, en dehors du régime de l'état d'urgence sanitaire. Ce projet de loi a finalement été abandonné. Dans l'avis qu'il a rendu, le collège a émis des réserves, considérant que la notion de situations sanitaires exceptionnelles devrait être précisément définie afin de s'assurer que l'atteinte portée à la vie privée par de tels traitements ne revête pas un caractère systématique. De tels systèmes peuvent être mis en œuvre uniquement s'ils constituent une réponse nécessaire et appropriée à la situation en cause. Nous avons estimé que seuls des faits d'une particulière ampleur ou gravité pouvaient justifier la mise en œuvre de tels traitements.