Intervention de de la CNIL

S'agissant de l'attaque au rançongiciel qui a frappé l'hôpital de Villefranche-sur-Saône, de façon plus générale, la CNIL est particulièrement vigilante quant à la sécurité dans les hôpitaux face à d'éventuelles cyberattaques. En 2020, la CNIL a procédé à sept contrôles dans des établissements de santé et des hôpitaux. Elle poursuivra ces opérations de contrôle de sorte à s'assurer que la sécurité des données est préservée. Nous souhaitons traiter ce sujet non seulement par une approche répressive, mais également, en complément des actions engagées par les ministères, dans une démarche d'accompagnement.

Le nombre d'attaques par des rançongiciels et cryptolockers sur les traitements de données dans les hôpitaux a triplé, ce qui génère des conséquences de désorganisation des soins et des risques encourus par les patients. Ainsi que je l'ai indiqué précédemment, la cybersécurité et la protection des données de santé constituent deux des trois thèmes prioritaires retenus par le collège de la CNIL pour l'année 2021.

S'agissant du système d'information relatif aux vaccins, nous nous assurons que les personnes sont correctement informées. Nous procéderons à des contrôles dans des centres de vaccination. Nous serons particulièrement vigilants quant au respect du secret médical et à l'habilitation des personnes qui ont accès au système d'information. Nous assurons également un accompagnement des collectivités locales au cours de la campagne de vaccination des populations. Nous avons publié une fiche pratique sur notre site.

Je profite de l'occasion qui m'est offerte pour indiquer que le site de la CNIL constitue une mine d'informations et il fait l'objet de plusieurs millions de visites chaque année.

Nous avons indiqué aux collectivités locales qu'elles étaient autorisées à cibler et à informer les publics prioritaires pour la vaccination, voire à mener des actions de transport en utilisant les données qu'elles ont à leur disposition de sorte à conduire des populations vers les centres de vaccination.

En revanche, s'agissant de la question de la prise de rendez-vous par exemple, la CNIL leur a indiqué qu'il n'y avait pas lieu de proposer des alternatives aux outils identifiés par l'État, voire de se préoccuper du suivi de l'administration des vaccins.

Nous sommes donc très attentifs à l'utilisation du système d'information sur les vaccins et nous veillons à ce que seules les personnes habilitées puissent y accéder.

S'agissant du développement de pratiques numériques en matière de santé, à savoir peut-être, plus indirectement, la télémédecine, il est vrai que la médecine à distance a connu un essor spectaculaire au cours des derniers mois. Au niveau mondial, nous avons atteint l'objectif fixé pour 2035. En France, nous sommes passés de quelques milliers de consultations par semaine avant le début du confinement à un million de consultations par semaine, au plus fort de la crise, au mois d'avril 2020, qui ont représenté un quart des consultations générales. Ce constat trouve une explication non seulement dans le contexte sanitaire, mais également dans l'ouverture de ces téléconsultations offertes par certaines plateformes aux médecins abonnés, dans la prise en charge à 100 % de ces consultations par l'assurance maladie, annoncée par le Gouvernement en mars dernier, et dans la possibilité d'y recourir avec un autre médecin que son médecin habituel.

Il n'en reste pas moins que cet essor du service de médecine à distance soulève des enjeux en matière de centralisation des données de santé par des acteurs privés et des risques inhérents en matière de sécurité. Dans ce cadre, au mois de juillet, la CNIL a reçu une notification émanant d'une entreprise de rendez-vous en ligne indiquant qu'elle avait subi une attaque informatique ayant permis d'accéder à un certain nombre de rendez-vous.

Nous prenons très au sérieux ces aspects de sécurité. Nous avons récemment publié un référentiel relatif au traitement de données, destiné à la gestion des cabinets médicaux et paramédicaux, dans lequel nous avons formulé des recommandations et abordé la question des mesures de sécurité à mettre en œuvre. Nous avons notamment insisté à ce sujet auprès des prestataires de service chargés de développer et d'assurer la maintenance des logiciels ou des postes de travail qui gèrent les dossiers des patients.

S'agissant de la télémédecine, nous sommes également très attentifs aux questions d'exclusion numérique parce que la télémédecine révèle également des inégalités sociales quant à l'accès à ces technologies. Je rappelle en effet que, selon une enquête de l'Institut national de la statistique et des études économiques menée à la fin de l'année 2019, 12 % des Français ne disposent pas de connexion à Internet.

Pour ce qui concerne le passeport sanitaire, la Commission européenne a confirmé aujourd'hui même aux membres du Comité européen de la protection des données, qui réunit l'ensemble des homologues européens de la CNIL, qu'elle solliciterait très prochainement à ce sujet l'avis de l'ensemble des autorités européennes réunies dans ce comité européen des données ainsi que celui du Contrôleur européen de la protection des données, qui est en quelque sorte la CNIL des institutions européennes.

S'agissant de TousAntiCovid, je voudrais battre en brèche l'idée selon laquelle cette application serait fondée sur la géolocalisation. Un des points d'attention extrêmement important de la CNIL a consisté à veiller à ce que l'application ne repose pas sur une géolocalisation. Elle utilise un protocole dit « Robert » en Bluetooth qui ne constitue pas une géolocalisation et ne permet pas de pister les personnes. La CNIL l'a vérifié lors de ses contrôles. Il en serait de même pour les informations recueillies par le flashage des codes QR à l'entrée d'un établissement recevant du public.

Au-delà du fait qu'elle opère des contrôles sur le déploiement des codes QR, la CNIL s'interroge régulièrement quant à la nécessité et à l'utilité de l'application TousAntiCovid. En outre, elle appelle de ses vœux – et c'est en partie le cas – une doctrine d'usage, à savoir que cette application soit utilisée dans des endroits où sont rassemblées des personnes qui ne se connaissent pas et qui sont susceptibles de présenter des risques de contamination, comme dans les transports en commun ou les ERP.

S'agissant des questions de proportionnalité, nous avons indiqué dans l'avis que nous avons rendu récemment que nous ne disposions pas encore de suffisamment d'éléments relatifs aux établissements recevant du public qui seraient concernés par ces conditions de réouverture. Il convient d'ailleurs de distinguer l'enregistrement obligatoire dans des lieux recevant du public de l'utilisation obligatoire de l'application TousAntiCovid. En effet, la CNIL a beaucoup insisté sur le fait que l'application repose sur un usage volontaire et je confirme qu'il ne peut pas y avoir de conséquences négatives au refus d'utiliser cette application. Il en serait de même des codes QR qui seraient mis à la disposition des ERP.

Il convient de proposer une alternative à l'utilisation de l'application TousAntiCovid, matérialisée tout simplement par des cahiers de rappel en version papier qui doivent également respecter les éléments relatifs à la protection des données. Lorsque nous avons déposé notre avis, le ministère nous a confirmé que deux dispositifs, l'un numérique et l'autre non numérique – cahier de rappel –, seraient mis à la disposition des personnes.

Par ailleurs, dans le cadre de notre avis, nous avons recommandé que le caractère obligatoire, non pas de l'utilisation de l'application, mais de l'enregistrement des visites dans des établissements recevant du public soit limité aux établissements à fort potentiel de risque, à savoir ceux dans lesquels le port du masque n'est pas possible – restaurants, salles de sport – ou ceux dans lesquels les mesures barrières ne sont pas efficaces.

Nous avons également attiré l'attention du Gouvernement et du Parlement sur le fait que, selon nous, il ne faut pas rendre ces enregistrements de visites obligatoires dans les lieux recevant du public dont la fréquentation relève de libertés fondamentales, comme les lieux de culte et les locaux syndicaux.

Nous avons obtenu que figure dans le décret la possibilité pour un utilisateur de supprimer de l'historique un lieu qu'il a visité.

Je vous rappelle que l'application TousAntiCovid a fait l'objet de nombreux contrôles de la CNIL. Nous avons réalisé sept contrôles et prononcé une mise en demeure contre StopCovid en juillet dernier qui a été clôturée en septembre. Pour autant, dès la conception de cette application, les préoccupations de protection de la vie privée ont été prises en compte et nous y avons veillé.

J'ai précédemment évoqué les actions que nous avons mises en œuvre à la suite de la fuite des données de santé de près de cinq cent mille patients de laboratoires. Nous nous sommes assurés que les personnes concernées avaient été informées ou le seront dans de très brefs délais. Nous avons obtenu le blocage de l'accès au fichier par le biais d'un référé d'heure à heure, déposé auprès du tribunal judiciaire de Paris, dès l'instruction des notifications de violations de données que nous avions enregistrées. Nous rappelons sans cesse la nécessité de protéger suffisamment les données de santé, thème prioritaire de nos contrôles.

Vous avez souligné la dépendance de certains de nos systèmes d'information aux technologies étrangères. Je confirme que l'hébergement des données de santé est assuré par Microsoft, société de droit américain. Je rappelle que la CNIL ne conteste absolument pas l'utilité et l'intérêt de cette plateforme de données de santé en matière de recherche. Cependant, en raison de la sensibilité et du volume des données en cause, elle a engagé un dialogue extrêmement nourri avec le ministère de la santé quant au risque éventuel présenté un hébergement de données par un opérateur qui n'est pas soumis à une juridiction européenne. Nous avons obtenu un engagement du ministère de la santé de remplacer cet hébergeur ou, en tout cas, de modifier les conditions de cet hébergement de sorte qu'il respecte davantage la souveraineté numérique française et européenne. Au mois de juillet dernier, la Cour de justice de l'Union européenne a annulé le traité permettant d'échanger des données entre l'Union européenne et les États-Unis, faute de garanties de protection suffisantes. Le Conseil d'État a également demandé la mise en œuvre de garanties supplémentaires à la fin de l'année dernière. Le collège de la CNIL sera particulièrement vigilant au respect du délai indiqué pour la mise en œuvre d'un hébergement conforme aux exigences françaises et européennes en matière de protection des données.

De nombreux responsables politiques nationaux et européens se montrent favorables, dans leurs discours et dans leurs actions, à la souveraineté numérique européenne.