À la suite de la crise sanitaire inédite qui nous touche, le Gouvernement a mis en place, à compter du 11 mai, une Politique de déconfinement progressif. Cette Politique s’accompagne de mesures permettant de dépister les malades du Covid-19 et de réaliser des enquêtes sanitaires.
Pour ce faire, la loi n°2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire a permis la création temporaire de deux fichiers nationaux permettant d’identifier les personnes infectées (« patients 0 »), les personnes susceptibles d’être contaminées par ce patient 0 (« cas contact ») et les chaînes de contamination : le fichier SI-DEP et le fichier Contact Covid.
Afin de garantir la protection des données personnelles des personnes enregistrées dans ces fichiers, la CNIL a émis un avis le 8 mai 2020, avant même l’adoption de la loi prorogeant l’état d’urgence sanitaire, sur le projet de décret encadrant les conditions de mise en œuvre de ces fichiers.
Des fichiers sensibles en matière de protection des données personnelles
Les fichiers SI-DEP et Contact Covid contiennent des données personnelles et de vie personnelle (identité, hébergement, déplacement, participation à des rassemblements, etc.) ainsi que des données sensibles telles que des données de santé. De plus, ces fichiers pourront être consultées par un grand nombre d’acteurs, tels que les enquêteurs sanitaires.
La CNIL a estimé que le dispositif mis en place était « globalement » conforme au RGPD, notamment en raison du caractère nécessaire du traitement de données pour la réalisation de la politique sanitaire de déconfinement. Elle a également relevé que des moyens permettant de garantir la protection des données personnelles étaient mis en œuvre, tels que :
- le caractère volontaire de la participation aux enquêtes
- la limitation des données de santé traitée
- le caractère temporaire du dispositif.
Les recommandations de la CNIL
Cependant, aux vues du grand nombre de données personnelles collectées et enregistrées, dont sensibles ainsi que de leur grande accessibilité, la CNIL a recommandé que soit mis en œuvre un certain nombre d’éléments permettant de garantir la protection des données personnelles tels que :
- la limitation des accès des utilisateurs des fichiers en fonction du poste occupé au sein du dispositif sanitaire ;
- la formation des personnes ayant accès aux fichiers et la mise en place de mesures de traçabilité des consultations ;
- la limitation des durées de conservation des données dans le système à 3 mois à compter de la collecte ;
- la garantie des droits d’accès, d’information, de rectification et d’opposition.
Le Gouvernement a pris en compte l’avis de la CNIL puisque le décret, paru le 12 mai a suivi ses recommandations. La CNIL a toutefois précisé qu’elle opérerait des contrôles dans les semaines suivant la mise de place du dispositif, afin de vérifier son application pratique et que la nécessité de réaliser un tel traitement de données serait « régulièrement réévalué ».
