Accueil Confidentialité des données Brigades sanitaires : la Cnil place ses garde-fous

Brigades sanitaires : la Cnil place ses garde-fous

La présidente de la Cnil Marie-Laure Denis a énuméré mardi une série de garde-fous à respecter sur les futurs fichiers qui seront alimentés par les “brigades” sanitaires contre le coronavirus.

Les brigades sanitaires interrogeront notamment les personnes se découvrant contaminées, pour identifier avec elles toutes les personnes croisées et les prévenir de leur risque de contamination.
Le gouvernement va soumettre à la Cnil dans les prochains jours son projet de décret détaillant les données qui seront collectées et les fichiers qui seront constitués par ces brigades sanitaires. Pour Marie-Laure Denis, présidente de l’institution chargée de protéger la vie privée des Français, la Cnil sera “particulièrement attentive à la durée des données qui seront conservées, et à la pertinence » de celles-ci.

Des données effacées ou inaccessibles plus vite

Le projet de loi actuellement débattu par le Parlement prévoit que les données recueillies par les brigades sanitaires seront conservées au maximum un an. Mais peut-être que certaines données pourront être effacées, ou du moins rendues inaccessibles plus vite, a suggéré Mme Denis lors d’une audition à l’Assemblée nationale. Les données relatives à l’identification des “cas contacts » (croisés par une personne contaminée), ou certaines réponses des personnes contaminées n’ont pas forcément besoin d’être conservées aussi longtemps, a-t-elle expliqué. “Certaines données liées à des enquêtes achevées » autour d’un patient contaminé “devraient être supprimées dans un délai assez bref, bien avant la fin de l’épidémie », a-t-elle dit.

Donner des consignes très claires aux enquêteurs

La Cnil demandera à voir le questionnaire que les brigades sanitaires proposeront aux personnes contaminées. “Il faudra donc donner des consignes très claires aux enquêteurs et sur ce qu’ils peuvent demander puis collecter » auprès des personnes contaminées, et “sur ce dont ils n’ont pas à connaître », a aussi souligné Mme Denis. La Cnil sera “particulièrement attentive à éviter dans la mesure du possible que (…) les enquêteurs disposent de champ libres où ils mettraient des informations non nécessaires », a-t-elle expliqué. La présidente de la Cnil diligentera également “des contrôles dès les premières semaines du dispositif“, pour vérifier le respect des dispositions encadrant le travail des brigades sanitaires, a-t-elle prévenu.
Mme Denis a estimé par ailleurs qu’il serait “justifié » que le gouvernement consulte la Cnil, s’il décidait d’adopter de futures ordonnances relatives à ce sujet.

Auteur : AFP

 

 

 

Avis d’expert – Frans Imbert Vier, PDG d’UBCOM, société de conseil en cybersécurité

Après le débat sur l’appli StopCovid, le gouvernement propose désormais un fichier de tracking sur un tableur Excel consultable par une très grande partie d’agent de l’État, policer, médecin, chercheur… Si le fondement de l’idée n’est pas discuté, Frans Imbert Vier ne comprend pas pourquoi il faut créer un fichier qui existe déjà au niveau des ARS en omettant encore une fois de proposer une gouvernance dans ce cadre drastique.

 

“Le ministre de la Santé annonce que ce fichier contiendra des données de santé mais sera consultable par des agents sans habilitation médicale et que le fichier n’aura pas le bénéfice du statut de donnée médicale le rendant inéligible à une protection spécifique pour les données santé.
L’argument invoqué est de pouvoir identifier les clusters, au même titre que durant la phase 1 de l’avant-confinement. À ce moment-là, le fichier n’était pas évoqué.
Notre question est comment le gouvernement compte protéger ce fichier au sein de la gestion des droits de consultation et surtout de sa sécurité au sens de la cyber criminalité. Quelles garanties techniques sont proposées et qui en sera l’opérateur technique ?
Inventer des nouveaux processus dans la précipitation relevant de la sécurité des données est aventureux compte tenu des enjeux technologiques que comprend un tel dispositif s’il devait être sécurisé selon les critères minimum imposés par la loi relevant de la protection des données de santé et le Règlement européen sur la protection des données (RGPD). C’est sans compter sur la gouvernance qu’il faudrait déployer auprès de tous les services concernés par son exploitation ».