Mise à jour du 3 mai 2020

Avec le déconfinement prévu à compter du 11 mai 2020 et le retour au travail de nombreux employés, certains employeurs pourront être tentés d'effectuer des contrôles de température de leurs salariés ou même de lancer leur propre application de contrôle du Covid19 au sein de leur entreprise.

C'est ainsi que le constructeur automobile italien Ferrari met en place son projet "back on track" basé sur une appli de traçage numérique téléchargeable volontairement de type DP-PPT (Decentralized Privacy-Preserving Proximity Tracing) utilisant le protocole PEPP-PT d'un groupe de chercheurs européens ayant créé un système informatique facilitant la création d’applications de traçage des personnes malades sur https://pepp-pt.org ) (Reuters)

En Inde, l'app de contact tracing "Aarogya Setu" très intrusive (car collecte données bluetooph et GPS) devient obligatoire, y compris pour les salariés sur leur lieu de travail, avec sanctions pénales à la clé ! https://www.indiatoday.in/technology/news/story/coronavirus-lockdown-no-more-voluntary-aarogya-setu-app-now-mandatory-for-office-workers-1673438-2020-05-01

Alors qu'en est-il de la légalité de telles mesures en France ?

Rappelons tout d 'abord que le Règlement général de la protection des données (RGPD) en vigueur depuis deux ans dans l’Union Européenne ne s’oppose pas a priori, dans le contexte de gestion de crise, à l’utilisation des technologies numériques et à l’exploitation des données personnelles sous réserve de certaines garanties. Il a estimé que ces technologies ne constituaient pas une solution en elles-mêmes, mais pouvaient être utiles au sein d’une stratégie globale de lutte contre l’épidémie, à condition qu’elles soient un outil de responsabilisation et d’aide à la décision pour les citoyens, et non de stigmatisation, de répression ou de discrimination. C’est pourquoi le Contrôleur européen de la protection des données (CEPD) préconise d’écarter le recours à la géolocalisation et de prévoir que l’utilisation des applications de traçage par Bluetooth soit proportionnée, temporaire et réévaluée régulièrement au regard de son efficacité ; qu’elle minimise l’atteinte à la vie privée ; et enfin qu’elle soit volontaire, seule manière selon lui de générer la confiance envers les autorités publiques, qui est la condition nécessaire à la large diffusion de ces applications et donc à leur efficacité pour endiguer l’épidémie.

Par aileurs, si l'employeur a une obligation de préserver la santé et la sécurité de ses salariés, il ne peut prendre des mesures que si elles sont proportionnées au but recherché et ne doit pas porter atteinte aux libertés fondamentales de ses salariés, ni au respect du droit de la personne. Quand au volontariat de la part des salariés, il est le plus souvent totalement illusoire eu égard au lien de subordination créé par le contrat de travail.

Un employeur ne peut donc collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un employé ou un visiteur de l'entreprise.

Il n’est donc pas possible de mettre en œuvre, par exemple :

- des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur 
- collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés 

Dans une communication du 6 mars 2020, la CNIL, après avoir souligné que les données de santé étaient protégées tant par le RGPD que par le Code de la santé publique, a rappelé qu'il n'était pas selon elle possible de mettre en œuvre des relevés obligatoires des températures corporelles de chaque employé puis de les adresser quotidiennement à leur hiérarchie et que "les employeurs doivent s'abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un employé/agent et ses proches".

Mais le Ministère du Travail considère dans le contexte actuel, qu’il est possible de relever la température des salariés à l’entrée de l’entreprise, sous certaines conditions.

Ces mesures peuvent donc faire l’objet de la procédure relative à l’élaboration des notes de service valant adjonction au règlement intérieur prévue le code du travail qui autorise une application immédiate des obligations relatives à la santé et à la sécurité.

Elles doivent alors respecter les dispositions du code du travail, en particulier celles relatives au règlement intérieur :

• Être proportionnées à l’objectif recherché ;
• Offrir toutes les garanties requises aux salariés concernés tant en matière d’information préalable, de conservation des données que des conséquences à tirer pour l’accès au site.

En outre, des garanties doivent être apportées :

• La prise de mesure dans des conditions préservant la dignité ;
• Une information préalable sur ce dispositif (RI, note de service, affichage, diffusion internet) en particulier sur la norme de température admise et sur les suites données au dépassement de cette norme : éviction de l’entreprise, précisions sur les démarches à accomplir, conséquences sur ma rémunération, absence de collecte de mes données de température par l’employeur ;
• Une information sur les conséquences d’un refus.

Sous ces conditions, si le salarié refuse la prise de sa température, son employeur serait alors en droit de lui refuser l’accès de l’entreprise (Questions-réponses « Covid-19 » du Ministère du Travail du 10 avril 2020 dans son FAQ questions réponses 

Prudence cependant pour une mise en place de tels contrôles dans le cadre d’un déconfinement, avec une note de service valant adjonction au règlement intérieur prévue à l’article L. 1321-5 du code du travail  communiquée simultanément au secrétaire du comité social et économique, ainsi qu’à l’inspection du travail.

Une ordonnance du 1er avril 2020 prévoit enfin que le médecin du travail peut procéder à des tests de dépistage du Covid-19 selon un protocole défini par arrêté. Dans l'entreprise, ce test est donc pour le moment réservé à ce professionnel de santé.

Enfin, nous rappellerons que le secrétaire d'Etat au Numérique Cédric, dans un entretien au JDD a précisé concernant l'application gouvernementale StopCovid qu"un employeur qui obligerait à l’utiliser s’exposerait à des poursuites pénales."

Mise à jour du 3 mai 2020

La ministre du Travail Muriel Penicaud a présenté ce dimanche un protocole de déconfinement pour le secteur privé. La prise de température ne sera pas obligatoire et les campagnes de dépistage, interdites, comme nous vous l'annoncions déjà.

Dans ce protocole national de déconfinement, il est précisé que considérée comme peu fiable, la généralisation du contrôle de température est exclue. Les sociétés ne peuvent ainsi contraindre un salarié à s’y soumettre. Un contrôle de température à l’entrée des établissements/structures est donc déconseillé. 

Le Haut Conseil de la santé publique rappelle, dans son avis du 28 avril 2020, que l’infection à SARS-CoV-2 peut être asymptomatique ou pauci symptomatique, et que la fièvre n’est pas toujours présente chez les malades. De plus, le portage viral peut débuter jusqu’à 2 jours avant le début des signes cliniques. La prise de température pour repérer une personne possiblement infectée serait donc faussement rassurante, le risque non négligeable étant de ne pas repérer des personnes infectées. Par ailleurs, des stratégies de contournement à ce contrôle sont possibles par la prise d’antipyrétiques.
Toutefois, les entreprises, dans le cadre d’un ensemble de mesures de précaution, peuvent organiser un contrôle de la température des personnes entrant sur leur site. Dans le contexte actuel, ces mesures peuvent faire l’objet de la procédure relative à l’élaboration des notes de service valant adjonction au règlement intérieur prévue à l’article L. 1321-5 du code du travail qui autorise une application immédiate des obligations relatives à la santé et à la sécurité avec communication simultanée au secrétaire du comité social et économique, ainsi qu'à l'inspection du travail. Elles doivent alors respecter les dispositions du code du travail, en particulier celles relatives au règlement intérieur, être proportionnées à l’objectif recherché et offrir toutes les garanties requises aux salariés concernés tant en matière d’information préalable, d’absence de conservation des données que des conséquences à tirer pour l’accès au site.  En outre, des garanties doivent être données, notamment: la prise de mesure dans des conditions préservant la dignité, une information préalable sur ce dispositif (RI, note de service, affichage, diffusion internet) en particulier sur la norme de température admise, l’objectif de la mesure et sur l’absence de suites  au dépassement de cette norme.

En tout état de cause, en l’état des prescriptions sanitaires des autorités publiques, le contrôle de température n’a pas un caractère obligatoire et le salarié est en droit de le refuser. Si l’employeur, devant ce refus, ne laisse pas le salarié accéder à son poste, il peut être tenu de lui verser le salaire correspondant à la journée de travail perdue

Enfin, interdiction formelle de réaliser des campagnes de dépistage du Covid-19 : les tests ne pourront être réalisés qu’en cas de symptômes par le médecin du travail ou le médecin traitant. S’il ne respecte pas ces consignes, l’employeur engagera sa responsabilité civile et pénale, comme en cas d’atteintes à la santé et à la sécurité des salariés.

(crédits dessin: Cabinet Thierry Vallat)

Article mis à jour le 5 mai 2020

L'Inria, ANSSI, Capgemini, Dassault Systèmes, Inserm, Lunabee Studio, Orange, Santé Publique France et Withings viennent d'annoncer avoir créé l’équipe-projet StopCovid afin de structurer et renforcer leur contribution au projet gouvernemental de mise en place d’une application mobile de contact tracing (StopCovid) (communiqué de presse du 26 avril 2020 https://www.inria.fr/sites/default/files/2020-04/Communiqué%20de%20presse%20STOPCOVID_1.pdf) 

Rappelons que le Gouvernement français a confié à l'Inria le pilotage opérationnel du projet de recherche et développement baptisé « StopCovid » qui réunit l’expertise d’acteurs nationaux, publics comme privés, au sein de cette équipe-projet StopCovid. L’ensemble de ces acteurs contribue aux travaux déjà engagés pour mettre à disposition de tous les Français un outil permettant de mieux les protéger contre le Covid19.

Ce projet vise à mettre à disposition des autorités de santé françaises un outil numérique complémentaire d’aide à la gestion de la crise sanitaire contre le Covid-19.

Il repose sur cinq fondements :

• L’inscription de l’application StopCovid dans la stratégie globale de gestion de la crise sanitaire et de suivi épidémiologique. StopCovid est une brique complémentaire qui fournit aux acteurs de la santé publique un outil d’aide à la décision pour la phase de déconfinement.  
• Le strict respect du cadre de protection des données et de la vie privée au niveau national et européen, tel que défini notamment par la loi française et le RGPD ainsi que la boîte à outils récemment définie par la commission européenne sur les applications de suivi de proximité.
• La transparence, qui passe notamment par la diffusion, sous une licence open source, des travaux spécifiques menés dans le cadre du projet. Ceci afin d’apporter toutes les garanties en matière de contrôles par la société : transparence des algorithmes, code ouvert, interopérabilité, auditabilité, sécurité et réversibilité des solutions. Ainsi, cette solution pourrait proposer des briques de base exploitables par tous les pays qui le souhaiteraient.
• Le respect des principes de souveraineté numérique du système de santé publique : maîtrise des choix de santé par la société française et européenne, protection et structuration du patrimoine des données de santé pour guider la réponse à l’épidémie et accélérer la recherche médicale.
• Le caractère temporaire du projet, dont la durée de vie correspondra, s’il est déployé, à la durée de gestion de l’épidémie de Covid-19. 

L'application de contact tracing StopCovid basée sur le protocole RoBert est déjà très décriée pour ses risques potentiels de traçage des données personnelles avec un réseau centralisé (lire notre article StopCovid: l'application de traçage numérique)

Mais que dire d'un bracelet électronique connecté dont seraient équipées les personnes qui pourraient être atteintes du covid-19, et notamment les seniors ? 

La société Sigfox, spécialiste toulousain de l’Internet des objets, a déjà proposé ses services au gouvernement français avec un bracelet qui utiliserait un réseau bas débit 0G.

Ce type de bracelet aurait l'avantage d'être moins invasif pour les données personnelles et d'éviter l'utilisation des smartphones dont beaucoup de français ne sont pas équipés.

Plusieurs pays comme la Corée du Sud et Hong Kong ont déjà recours à ce type d'quipement connecté pour s'assurer du respect de la quarantaine par leurs ressortisssants, avec un succès très mitigé.

L'Italie étudie pour sa part deux pistes pour accélérer l'adoption d'Immuni, sa solution de contact tracing: limiter les déplacements des personnes n'ayant pas téléchargé l'application, pour les inciter à l'installer sur leur smartphone; faire porter des bracelets électroniques aux personnes âgées, moins familières des applications mobiles, et pourtant considérées comme population à risque.

Le port d’Anvers en Belgique teste une méthode analogue en partenariat avec la société de technologie numérique Rombit: le bracelet électronique émet un signal sonore lorsque des personnes se rapprochent trop près les unes des autres. Il garantirait le respect de la vie privée puisque ce dispositif n’envoie à l’employeur aucune information sur la localisation du porteur ou toute autre donnée sensible.

La France semble donc s'engager sur la même voie puisque la présence de la société Withings, spécialiste des objets connectés, dans l'équipe StopCovid n'est pas anodine et annonce qu'un tel dispositif serait à l'étude.

La CNIL a posé le principe que quelle que soit la solution retenue :

• elle ne peut constituer qu’un des éléments d’une réponse sanitaire plus globale ;
• sa mise en œuvre dans le cadre respectueux de la vie privée et des données personnelles est nécessaire pour, à la fois asseoir la confiance, créer les conditions d’une acceptabilité sociale de toute technique potentiellement intrusive et garantir la sécurité des personnes.

Comme le disait Benjamin Franklin: "Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité, ne mérite ni l'une ni l'autre, et finit par perdre les deux"

La question reste posée en cette veille du débat parlementaire qui s’ouvre sur la mise au vote à l’Assemblée nationale des dispositions de sortie de confinement: les libertés les plus fondamentales risquent d’être directement et durablement affectées au nom de la sécurité (droit d’aller et venir, droit à la vie privée, liberté d’expression, droit à ne pas être discriminée) par des dispositifs préconisés au nom du solutionnisme technologique, alors que beaucoup doutent de leur efficacité.

Mise à jour du 5 mai 2020

Alors que l'appli StopCovid est finalement annoncée pour le, 2 juin, le gouvernement confirme envisager un boitier ou un bracelet électronique pour les français n'ayant pas de smartphone ou ne pouvant pas installer l'application (Cédric O sur Medium https://medium.com/@cedric.o/stopcovid-ou-encore-b5794d99bb12):

"S’agissant du projet StopCovid, l’équipe projet intègre depuis le début des spécialistes de l’accessibilité (personnes en situation de handicap ou peu habituées aux outils numériques). Pour ceux ne possédant pas de smartphone, une partie de l’équipe est dédié à essayer de trouver une autre solution — par exemple, un boitier ou un bracelet qui permettraient de se passer des téléphones. La faisabilité d’un tel dispositif reste toutefois très incertaine et nécessitera a minima des semaines supplémentaires de développement."

On y arrive ! 

(crédits dessin: Cabinet Thierry Vallat)

Article mis à jour le 30 mai 2020

Alors que nous allons entamer en France la 8ème semaine de confinement, le gouvernement prépare la sortie.

L'une des pistes envisagées pour limiter la propagation du Covid19: une application de traçage pour smartphone: dénommée provisoirement "StopCovid", basée sur le volontariat, et qui permettrait de retracer la transmission du coronavirus.

Dans un entretien du Monde du mercredi 7 avril, le ministre de la Santé Olivier Véran et le secrétaire d’État au numérique Cédric O, avaient expliqué ce que pourrait être cette application anti Covid-19 qui serait "respectueuse des libertés publiques et proportionnée."  

Rappellons que dans le contexte de la crise sanitaire a été créé le Comité analyse recherche et expertise (Care), qui a été missionné pour mettre en place "une stratégie numérique d’identification des personnes ayant été au contact de personnes infectées" par le Covid-19 et notamment étudier l'opportunité de mettre en place des techniques de "backtracking", qui permettent d’identifier les personnes en contact avec celles infectées par le virus. 

L'état d'urgence permet en effet d'imposer, sous certaines conditions, des restrictions de libertés ou des possibilités de restriction de libertés très importantes, notamment à la vie privée des citoyens garantie en France par l'article 9 du code civil et remet en lumière l'importance de la collecte et du traitement des données personnelles obtenues à partir de la géolocalisation, dont celles sensibles entre toutes liées à la santé des individus.

L'application Bluetooth sera de type DP-PPT (Decentralized Privacy-Preserving Proximity Tracing) (reprise donc du projet PEPP-PT d'un groupe de chercheurs européens ayant créé un système informatique facilitant la création d’applications de traçage des personnes malades sur https://pepp-pt.org ) qui ne sera pas obligatoire, pour concilier l'impératif sanitaire pour que l'application fonctionne sans être trop liberticide, et que les Français l'installent et l'utilisent. 

C'est la raison pour laquelle l'appli StopCovid ne devrait pas utiliser la géolocalisation, ni le GPS ni la triangulation cellulaire de votre smartphone. L’application est basée sur ce qu’Olivier Véran appelle le  “contact tracing”, ou “traçage de contact”, qui permettra, via le bluetooph de vos appareils, d’identifier les chaînes de transmission du coronavirus. “Lorsque deux personnes se croisent pendant une certaine durée, et à une distance rapprochée, le téléphone portable de l’un enregistre les références de l’autre dans son historique. Si un cas positif se déclare, ceux qui auront été en contact avec cette personne sont prévenus de manière automatique”, détaille ainsi Cédric O dans le Monde.

Elle émettra un identifiant (ID) unique, en principe non lié à un autre ID, qui ne pourra être capté que par les autres mobiles à proximité.

Le logiciel recherche donc le maximum d’informations sur les rencontres faites par une personne contaminée, pour retrouver des patients sources (ceux qui l'ont contaminé), identifier des chaînes de contamination et ainsi freiner la propagation de l’épidémie.

Cela donne un schéma comme suit:

1. Trois utilisateurs Riri, Fifi et Loulou installent le dispositif sur leur portable,. 
2. La personne Riri est porteuse du virus. Elle entre en contact avec les personnes Fifi et Loulou 
3. Riri est testée positive et isolée. Elle transmet l’accès à l’historique de l’application aux autorités.
4. Lesquelles envoient une notification à Fifi et à Loulou.

“Les données seraient anonymes et effacées au bout d’une période donnée. Personne n’aura accès à la liste des personnes contaminées, et il sera impossible de savoir qui a contaminé qui”, précise le secrétaire d'Etat qui promet de rendre public le code informatique de l’application.

Le projet final devrait par ailleurs être soumis à l'approbation de la CNIL. A cet égard, dans le cadre des travaux de contrôle liés à la crise sanitaire, Marie-Laure DENIS, Présidente de la CNIL, a été auditionnée par la commission des lois de l’Assemblée nationale le 8 avril 2020.

Au sujet des technologies qui se fondent sur l’analyse de données de localisation des individus, la CNIL a rappelé au cours de l’audition les principaux points suivants :

• Le cadre juridique que l’Europe et la France se sont donné comporte, en lui-même, les solutions permettant de répondre à la situation.
• Si un suivi individualisé des personnes était mise en œuvre, il faudrait d’abord, à droit constant, qu’il soit basé sur le volontariat, avec un consentement réellement libre et éclairé - et le fait de refuser l’application n’aurait aucune conséquence. Ensuite, la CNIL veillerait notamment à ce que ce dispositif soit mis en place pour une durée limitée.
• Si un dispositif de suivi des personnes était mis en place de manière obligatoire, alors il nécessiterait une disposition législative et devrait, en tout état de cause, démontrer sa nécessité pour répondre à la crise sanitaire ainsi que sa proportionnalité en tenant compte des mêmes principes de protection de la vie privée, et en étant réellement provisoire ;
• Quelle que soit la solution retenue :
  • elle ne peut constituer qu’un des éléments d’une réponse sanitaire plus globale ;
  • sa mise en œuvre dans le cadre respectueux de la vie privée et des données personnelles est nécessaire pour, à la fois asseoir la confiance, créer les conditions d’une acceptabilité sociale de toute technique potentiellement intrusive et garantir la sécurité des personnes.

Tout serait donc parfait pour vos précieuses données personnelles dans le meilleur des mondes numérique ? 

Pas si sur. En effet, comme le rappelle Guillaume Champeau, "ce type d'application pose un choix stratégique: faut-il fonctionner le logiciel en pair-à-pair avec un mode totalement décentralisé où la liste des ID des malades et des personnes à prévenir circulent de main en main, sans serveur central, ou faut-il que l'application fasse remonter à un serveur central (par ex. géré par l'autorité de santé) l'ID de tous ceux qui sont malades, et que les applications interrogent régulièrement la base de données du serveur pour savoir s'ils ont été en contact avec un malade ?"

En effet, dans la seconde hypothèse, outre les risques de piratage, le problème serait que l'Etat accède à ces informations avec une grande base centralisée des interactions sociales.

Et que devient le comité CARE dans tout ça ? il semble avoir été bien vite oublié ...

Sans parler de la notion de consentement libre pour que nos données personnelles puissent être ainsi utilisées et donc de la nécessité d'une information claire et facile à comprendre pour tout un chacun afin que nous soyons à même de donner un consentement éclairé.

Reste aussi le problème de la discrimination que constitue l'obligation d'avoir un smartphone pour ce type d'application, ce qui n'est pas le cas de millions de personnes en France (près de la moitié des séniors de plus de 70 ans n'ont pas de télephone portable !)

Alors, StopCofid sera-t-il un essai grandeur nature d'un traçage numérique à grande échelle, avant-coureur de futures solutions de tracking hors période d'urgence sanitaire.

Les solutions invasives qui entraînent le sentiment d'une surveillance constante des personnes et ne préviennent pas contre les risques d'abus sont enfin proscrites par le droit européeen (voir par exemple CJUE, g. ch. 21 décembre 2016, affaire Tele2/Watson, C 203/15 et C 698/15)

Attention donc avec cette collecte de données de santé :quel choix sera fait par le Gouvernement,, le respect de notre vie privée pourra en dépendre !

Mise à jour du 15 avril 2020

Dans son discours du 13 avril dernier, Président de la République Emmanuel Macron a invité le Parlement à débattre de cette application.

Alors que de nombreux observateurs estiment, comme la Quadrature du Net, que l’application StopCovid serait inutile, dangereuse pour nos libertés et pourrait même aggraver la situation sanitaire https://www.laquadrature.net/2020/04/14/nos-arguments-pour-rejeter-stopcovid/, le secrétaire d’Etat au numérique Cédric O se dit "optimiste mais pas totalement certain" de l’utilité du projet StopCovid dans la lutte contre le coronavirus.

Alors que Google et Apple, qui détiennent avec Android et Ios les deux grands systèmes d’exploitation de smartphones dans le monde, ont annoncé qu’ils travaillaient ensemble pour faciliter la mise en œuvre de ce type d’applications, Le problème, a expliqué le secrétaire d'Etat au numérique Cédric O devant la commission des lois du Sénat, est que la technologie Bluetooth ne permet pas en soi de mesurer exactement la distance entre deux smartphones,https://www.publicsenat.fr/article/debat/cedric-o-la-faisabilite-technique-de-l-application-stopcovid-pose-question-181923

Les sénateurs ont également interrogé le secrétaire d’Etat sur la brûlante question des données personnelles. Cédric O a réaffirmé certains principes, notamment l’installation de l’application sur « la base du volontariat » ainsi que « le complet anonymat des données ». « La seule chose que fera cette application, c’est qu’elle vous préviendra si vous avez été en contact les jours précédents avec quelqu’un qui a été testé covid + » rappelle Cédric O. « Mais personne n’aura accès à la liste des personnes dans l’application, et personne n’aura accès à qui a rencontré qui » a-t-il complété. Par ailleurs, le secrétaire d’Etat au numérique juge « inapproprié » le terme « tracking » puisque l’application n’utilise pas de données GPS ni de données téléphoniques. 

Mise à jour le 26 avril 2020

Le Conseil du Numérique et la CNIL ont donné leurs avis sur l'application StopCovid.

L'Institut national de recherche en sciences et technologies du numérique (Inria) a publié une première version du protocole de traçage: le protocole, baptisé ROBERT (ROBust and privacy-presERving proximity Tracing), "représente l’état de l’art de nos réflexions sur l’architecture technique d’une application de 'contact tracing' respectueuse des valeurs européennes", a indiqué l'INRIA.

Dans son avis publié le 24 avril 2020 Le Conseil a indiqué être favorable au principe de StopCOVID. 

Cet avis se fonde sur trois éléments :

1. L’application peut s’avérer utile dans la lutte contre la pandémie, en tant qu’élément d’une stratégie plus globale. Une telle application doit être unique et spécifiée par l’État afin de garantir sa souveraineté numérique.
2. Une série de conditions doivent être assurées afin de garantir l’intérêt général et l'État de droit. Elles touchent à la confiance des citoyens, qui doit s’appuyer sur la transparence et l’indépendance du contrôle de l’application, ainsi que sa limitation dans le temps et la reconnaissance de son caractère exceptionnel.
3. L’inclusion, l’accessibilité et la loyauté de l’information sont les facteurs-clés de la réussite de son déploiement. À ce titre, l’accent doit être mis sur l’expérience utilisateur de l’application, l’accompagnement des publics fragiles ou éloignés du numérique et la mobilisation des acteurs de la médiation numérique.

Afin d’accompagner son avis, le Conseil a émis quinze recommandations, parmi lesquelles :

• Créer un comité de pilotage, avec des parlementaires, des chercheurs et des citoyens-experts, disposant d’un pouvoir d’arrêt de l’application.
• Renommer l’application « AlerteCOVID » pour ne pas lui faire porter de fausses promesses.
• Favoriser une seule application pour la France, sous l’autorité du Ministère de la Santé.
• Encadrer l’application par un décret fixant les conditions de sa mise en œuvre, sa durée dans le temps et des garanties sur la protection des données.
• Clarifier les procédures à suivre en cas de réception d’une notification ou de test positif .
• Organiser des séances de questions-réponses entre les citoyens et les responsables politiques, par exemple à travers des directs sur des médias généralistes (sur les mêmes modalités, organiser des séances à destination de la communauté technique et de la médiation).
• Mobiliser les acteurs de terrain (collectivités, structures de médiations, associations) pour évaluer les besoins et accompagner les plus éloignés du numérique, voire participer à leur équipement.

La CNIL s'est également prononcée aujourd'hui 26 avril sur ce projet d'application.  Publication de l’avis de la CNIL sur le projet. La CNIL estime le dispositif conforme au Règlement général sur la protection des données (RGPD) si certaines conditions sont respectées. Elle relève qu’un certain nombre de garanties sont apportées par le projet du gouvernement, notamment l’utilisation de pseudonymes.

La CNIL appelle cependant à la vigilance et souligne que l’application ne peut être déployée que si son utilité est suffisamment avérée et si elle est intégrée dans une stratégie sanitaire globale. Elle demande certaines garanties supplémentaires. Elle insiste sur la nécessaire sécurité du dispositif, et fait des préconisations techniques. Elle précise qu'il doit s’inscrire dans une stratégie sanitaire globale et appelle, sur ce point, à une vigilance particulière contre la tentation du « solutionnisme technologique ». Elle souligne que son efficacité dépendra, notamment, de sa disponibilité dans les magasins d’application (appstore, playstore…), d’une large adoption par le public et d’un paramétrage adéquat.

Concernant le volontariat qui est la base de l'application, il convient de souligner qu'il ne doit pas uniquement se traduire par le choix, pour l’utilisateur, de télécharger puis de mettre en œuvre l’application (installation de l’application, activation de la communication par Bluetooth, voire fait de se déclarer positif au COVID-19 dans l’application) ou la faculté de la désinstaller. Le volontariat signifie aussi qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application. Ainsi, l’accès aux tests et aux soins ne saurait en aucun cas être conditionné à l’installation de l’application. L’utilisation d’une application sur la base du volontariat ne devrait pas conditionner ni la possibilité de se déplacer, dans le cadre de la levée du confinement, ni l’accès à certains services, tels que par exemple les transports en commun.

La Commission souligne également que l’effectivité du dispositif envisagé repose sur le bon calibrage des algorithmes permettant d’identifier une interaction susceptible d’avoir engendré une contamination. Par ailleurs, la CNIL recommande que le recours à toute forme d’automatisation de la décision d’informer des personnes exposées soit associé à la possibilité pour ces personnes d’échanger avec un personnel qualifié.

La CNIL rappelle par ailleurs que des situations telles que l'épidémie actuelle de COVID- 19 ne suspendent ni ne restreignent, par principe, la possibilité pour les personnes concernées d'exercer leurs droits sur leurs données à caractère personnel, conformément aux dispositions des articles 12 à 22 du RGPD. Des modalités appropriées pour l’exercice des droits devront également être définies si l’application est déployée.

En outre, sur le plan de la sécurité de l'appli, la Commission rappelle que seuls des algorithmes cryptographiques à l’état de l’art doivent être mis en œuvre, afin d’assurer l’intégrité et la confidentialité des échanges. Elle relève à cet égard l’usage de l’algorithme 3DES, envisagé à ce stade, et attire l’attention du ministère sur le fait que conformément au référentiel général de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information cet algorithme ne devrait en principe plus être utilisé !

Elle demande enfin à pouvoir se prononcer à nouveau après la tenue du débat au Parlement, afin d’examiner les modalités définitives de mise en œuvre du dispositif, s’il était décidé d’y recourir (lire délibération de la CNIL du 26 avril 2020 https://www.cnil.fr/sites/default/files/atoms/files/deliberation_du_24_avril_2020_portant_avis_sur_un_projet_dapplication_mobile_stopcovid.pdf)

Le débat sur le traçage numérique s'impose donc avec d'autant plus d'acuité qu'incertitudes et inquiétudes s'accumulent sur le dispositif envisagé (sans compter qu'il ne serait pas susceptible de fonctionner sur les smartphones Apple, mais seulement sur les android ) Il se tiendra, avec un vote à la clé, le 28 avril devant l'Assemblée nationale et le 29 avril au Sénat.

mise à jour du 2 mai 2020

Le ministre de la santé Olivier Veran a annoncé à l'issue du conseil des ministres du 2 mai qui s'est tenu ce samedi que le traçage des contacts des personnes testées positives ne se fera finalement pas avec une application sur téléphone :

« Au 11 mai, non, il n’y aura pas d’application StopCovid disponible dans notre pays et le premier ministre a été très clair, : si ce type d’application devait voir le jour, il y aurait un débat spécifique au Parlement, rien n’a changé de ce point de vue-là. »

Un enterrement sans fleurs ni couronnes sans aucun doute salutaire, mais le fichier Sidep ne s'annonce pas mieux pour la protection de nos données personnelles (lire notre article sur le fichier SIDEP dans le projet de loi de prorogation de l'urgence sanitaire http://www.thierryvallatavocat.com/2020/05/le-projet-de-loi-de-prolongation-de-l-urgence-sanitaire-autorise-la-creation-d-un-nouveau-et-inquietant-fichier-de-sante.html)

mise à jour du 30 mai 2020

Après bien des débats et des remises en question, l'application très décriée de tracing dénommée "StopCovid" va pouvoir être déployée en France.

La CNIL ayant donné son avis le 25 mai, les parlementaires l'ayant adopté le 27 mai 2020, le  Décret n° 2020-650 du 29 mai 2020 a pu être publié au Journal officiel ce 30 mai.

Ce texte crée donc un traitement de données à caractère personnel, nécessaire au fonctionnement de l'application mobile de suivi de contacts dénommée « StopCovid », qui permet à ses utilisateurs d'être informés lorsqu'ils ont été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19, grâce à la conservation de l'historique de proximité des pseudonymes émis via la technologie Bluetooth.

Née dans la douleur et la controverse, cette application de traçage numérique va devoir démontrer son efficacité, plus que douteuse si l'on en croit les retours d'expérience de ce type de dispositif à l'étranger, sans parler des difficultés techniques et éthiques liées au dispositif centralisé choisi par le gouvernement et sa compatibilité avec les systèmes d'exploitation IOS et Android des ordiphones en circulation (en rappelant qu'un quart des français n'en dispose pas). Sans parler du transfert des données au sein du Health Data Hub, la plateforme des données de santé 

Retrouvez le Décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »

et l'avis de la CNIL Délibération n° 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l'application mobile dénommée « StopCovid »

(crédits dessin: Cabinet Thierry Vallat)

article mis à jour le 11 novembre 2020

Qui a peur du Big Data santé ? Menace-t-il vos données personnelles de santé et quels sont les risques de confier vos data médicales en matière de protection des données personnelles et de vie privée ?

Cette question n'est pas anodine suite à la récente création en France du Health Data Hub, une « Plateforme des données de santé » ayant pour objectif de favoriser l’utilisation et de multiplier les possibilités d’exploitation des données de santé, en particulier dans les domaines de la recherche, de l’appui au personnel de santé, du pilotage du système de santé, du suivi et de l’information des patients.

Qu'est-ce que c'est le Health Data Hub ?

Créée dans le cadre de la loi « Organisation et Transformation du système de santé » la plateforme a été mise en place par un arrêté ministériel du 29 novembre 2019. et vise à permettre aux chercheurs d’accéder aux vastes ensembles de données de santé du Système National des Données de Santé (SNDS) créé par la loi Santé de 2016 afin notamment d’entraîner des modèles d’intelligence artificielle.

Il s’agit donc d’une Plateforme publique, aux accès strictement contrôlés et sécurisés, qui associera le Système national des données de santé en le complétant par d’autres sources de données. L’une des évolutions majeure réside dans l’origine des données. Aujourd’hui, le SNDS contient des données médico-administratives issues essentiellement du SNIIRAM et du PMSI. Les données du « Health Data Hub » pourront provenir, après qu’elles aient été anonymisées,  des dossiers patients des établissements de santé, publics ou privés, ou des médecins de ville.

L'utilité de tels outils n'est plus à démontrer. 

La quantité de données accumulées chaque jour dans les Centres hospitaliers recèle des informations essentielles pour accroître notre connaissance de pathologies, comme les cancers par exemple: fréquence des effets secondaires, efficacité des médicaments en vie réelle, résistance de certains patients aux traitements, etc. Les technologies du Big Data offrent aujourd’hui l’opportunité d’exploiter ces données pour faire avancer la recherche et améliorer les soins en cancérologie. Unicancer a ainsi construit avec l'outil Consore un moteur de recherche capable de retrouver des informations disséminées dans le texte de centaines de milliers de dossiers des patients des Centres de lutte contre le cancer.

Data de santé et intelligence artificielle

La plateforme permettra le développement de nouvelles techniques, notamment celles liées aux méthodes d’intelligence artificielle. Il aura un rôle de promotion de l’innovation dans l’utilisation des données de santé, et sera notamment associé aux instituts 3IA qui se sont positionnés dans le domaine de la santé, et plus généralement aux différentes initiatives portées par le Gouvernement dans le cadre de la stratégie intelligence artificielle nationale.

A cet égard rappelons que le projet de loi Bio-éthique encore en discussion au Parlement vise dans son article 11 à permettre l'information du patient lorsque l'IA est utilisée à l’occasion d’un acte de soins. Les patients devront donc être systématiquement informés du recours à l'Intelligence artificielle et notamment de tout "traitement algorithmique de données massives". Par ailleurs le projet de loi décline également la garantie d’une intervention humaine (lire Projet de loi bioéthique et intelligence artificielle)

C'est ainsi que le code de la santé devrait être, dès le vote de la loi, complété par un nouvel article L. 4001-3 ainsi rédigé :

« Art. L. 4001-3. – I. – Lorsque pour des actes à visée préventive, diagnostique ou thérapeutique est utilisé un traitement algorithmique de données massives, le professionnel de santé qui communique les résultats de ces actes informe la personne de cette utilisation et des modalités d’action de ce traitement.

« II. – L’adaptation des paramètres d’un traitement mentionné au I pour des actions à visée préventive, diagnostique ou thérapeutique concernant une personne est réalisée avec l’intervention d’un professionnel de santé et peut être modifiée par celui-ci.

« III. – La traçabilité des actions d’un traitement mentionné au I et des données ayant été utilisées par celui-ci est assurée et les informations qui en résultent sont accessibles aux professionnels de santé concernés. "

La « Plateforme des données de santé » a été constituée sous forme d’un groupement d’intérêt public (GIP) qui reprend les missions de l’Institut national des données de santé (INDS), tout en les élargissant.

La Plateforme se substitue de plein droit à l'INDS créé par l'article L. 1462-1 du code de la santé publique (dans sa version prévue par l'article 193 de la loi n° 2016-41) dans l'ensemble des biens, personnels, droits et obligations de ce dernier, et ce compris le budget de l'INDS voté dans son dernier état prévoyant la transition de l'INDS vers la Plateforme.

Les missions du Health Data Hub :

1° De réunir, organiser et mettre à disposition les données du système national des données de santé mentionné à l'article L. 1461-1 du code de la santé publique, leur documentation et les programmes facilitant leur exploitation. Lorsque c'est pertinent au regard de la demande des utilisateurs, elle peut élargir son périmètre à certaines données contextuelles. Elle contribue à la sensibilisation des acteurs aux risques liés à l'exploitation de telles données ; elle propose, en lien avec les acteurs concernés, des formations. Elle promeut l'innovation dans l'utilisation des données de santé, par exemple par la mise en relation des acteurs, la diffusion d'outils, l'organisation d'événements. Elle peut participer pour son propre compte à certains de ses partenariats, notamment des grands projets européens ;
2° D'informer les patients, de promouvoir et de faciliter leurs droits, en particulier concernant les droits d'opposition dans le cadre du 1° du I de l'article L. 1461-3 ;
3° D'assurer le secrétariat unique mentionné à l'article 76 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et de se prononcer sur l'intérêt public dans la période transitoire précédant la mise en place du nouveau comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé ;
4° D'assurer le secrétariat du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé ;
5° De contribuer à l'élaboration, par la Commission nationale de l'informatique et des libertés, de référentiels et de méthodologies de référence au sens du b du 2° du I de l'article 8 de la loi n° 78-17 du 6 janvier 1978 précitée. Elle facilite la mise à disposition de jeux de données de santé présentant un faible risque d'impact sur la vie privée, dans les conditions prévues au II de l'article 66 de la même loi, ainsi que la mise à disposition de jeux de données de santé à des fins de formation ou d'expérimentation ;
6° De procéder, pour le compte d'un tiers et à la demande de ce dernier, à des opérations nécessaires à la réalisation d'un traitement de données issues du système national des données de santé pour lequel ce tiers a obtenu une autorisation dans les conditions définies à l'article L. 1461-3 du code de la santé publique, y compris lorsque le traitement n'implique pas les seules données du système national des données de santé ; ces traitements pouvant aller jusqu'à l'enrichissement par des données complémentaires des entrepôts de la Plateforme ;
7° De contribuer à diffuser les normes de standardisation pour l'échange et l'exploitation des données de santé, en tenant compte des standards européens et internationaux ;
8° D'accompagner, notamment financièrement, les porteurs de projets sélectionnés dans le cadre d'appels à projets lancés à son initiative et les producteurs de données associés aux projets retenus.
Elle publie chaque année un rapport transmis au Parlement.
Elle peut tarifer des services en lien avec ses missions et reverser une partie de ses recettes aux partenaires tels que les producteurs de données qui ont contribué à leur réalisation.

Mais une donnée de santé c'est quoi  docteur ? 

Le règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données , publié en avril 2016 après quatre ans de débats entre la Commission et le Parlement européen comprend 92 articles et remplace la directive 95/46/CE concernant la protection des données dans l'Union européenne.

Entré en vigueur en mai 2018,  le RGPD nous donne une définition plus claire des data de santé.

Il s’agit de "données à caractère personnel relatives à la santé mentale et physique d’une personne, y compris la prestation de services de soins de la santé qui révèle une information sur l’état de santé de la personne (…) présent, passé et futur". Par donnée de santé, il faut entendre "toute information concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source".

Le règlement précise qu'il est interdit d’utiliser les données personnelles d’un individu sans avoir obtenu son consentement explicite. Il doit avoir accès à une information "concise, aisément accessible, formulée en des termes clairs", quant à l’utilisation et au partage de ses données. Un droit à la portabilité des données est créé. Le règlement insiste sur la prévention, avec la nécessité d’une étude préalable des risques liés au traitement, et sur l’adoption du principe de protection des données dès la conception et par défaut.

Le règlement introduit enfin une obligation de déclaration en cas de violation de données, en 72 heures maximum auprès de la Cnil, et "dans les meilleurs délais"  auprès de la personne concernée. Les professionnels ont tout intérêt à jouer la transparence.

Quelles données de santé figurent déjà dans le SNDS ?

Le SNDS ne contient aucune donnée directement identifiante concernant les bénéficiaires (pas de noms/prénoms ou numéro de sécurité sociale, ni d’adresse postale).

Les données contenues dans le SNDS sont détaillées à l’article R. 1461-4 du Code de la santé publique. Il s’agit des informations relatives :

-aux bénéficiaires de soins :

• pseudonyme ou code pour chaque bénéficiaire ;
• sexe, mois et année de naissance, rang de naissance et lieu de résidence ;
• informations médico-administratives, y compris le cas échéant celles liées aux affections de longue durée (ALD) et maladies professionnelles ;
• informations liées au décès : date, lieu, causes et circonstances, situation familiale et profession à la date du décès.

-aux organismes d’assurance maladie obligatoire et, le cas échéant, complémentaire :

• identification des organismes ;
• caractéristiques de la prise en charge de ces organismes.

-aux prestations prises en charge par les organismes, associées à chaque bénéficiaire, notamment :

• soins de « ville » : nature des actes, actes de pharmacie, dispositifs médicaux, consultations des professionnels de santé, examens biologiques, date de grossesse, etc. ;
• séjours à l’hôpital, y compris accueil aux urgences ;
• montant des actes ou prestations, tarif appliqué et part prise en charge par l’assurance maladie obligatoire, date de remboursement etc. ;
• type de contrat souscrit avec la complémentaire santé (le cas échéant).

-aux professionnels de santé, notamment :

• numéro d’identification (ces numéros sont conservés séparément des autres données du SNDS) ;
• profession, sexe, date de naissance ;
• lieu de réalisation de l’acte.

-aux personnes en situation de handicap (informations médico-sociales liées au handicap et à sa prise en charge, décisions de la commission des droits et de l'autonomie des personnes handicapées).

-des informations relatives aux arrêts de travail et aux prestations fournies (arrêt maladie, maternité, accidents du travail, etc.).

Pour la plateforme des données de santé,, la loi indique qu'elle contient « des données collectées lors des actes pris en charges par l’Assurance maladie », mais également, avec l’accord du citoyen et sous son contrôle, les informations contenues dans son espace numérique de santé. Toutes ces données seront dé-identifiées, afin de respecter le secret médical.

Quels droits pour les citoyens français ?

Toute personne dispose d’un droit d’opposition si elle ne souhaite pas que les données qui la concernent, contenues dans le SNDS, fassent l’objet d’une utilisation à des fins de recherche.

Elle ne peut toutefois pas s’opposer aux traitements de données nécessaires à l’exercice des missions des services de l’Etat et de certains établissements publics telles que, par exemple, le suivi d’une épidémie ou la surveillance sanitaire.

Les droits d'accès, de rectification et d'opposition s'exercent localement auprès du directeur de la caisse d’assurance maladie à laquelle la personne est rattachée.

Lorsque les données du SNDS sont utilisées dans le cadre d’une recherche spécifique, une information individuelle peut être délivrée à la personne.

Les droits d’accès, de rectification et d’opposition s’exercent alors auprès du responsable de l’étude, de l’établissement ou du professionnel de santé concerné ou auprès du directeur de la caisse d’assurance maladie du bénéficiaire.

Quelle protection des données personnelles de santé ?

Rappelons que les conditions d’accès à la plateforme est basé à la fois sur la loi « Informatique et Libertés » qui complète le RGPD et sur le Code de la Santé Publique.

De plus, les projets de recherche choisis par la plateforme devront être approuvés par la CNIL.

La loi prévoit qu’un seul comité éthique et scientifique, dont la composition sera précisée par décret, étudiera les demandes d’accès aux données à la plateforme.

Rappelons par ailleurs que les données du SNDS sont pseudonymisées, et que les chercheurs qui y accèdent ne seront pas autorisés à les copier ou à les extraire du Hub.

La loi du 24 juillet 2019 prévoit par ailleurs que:

"Pour le système national des données de santé et pour les traitements utilisant des données à caractère personnel issues de ce système :

1° Aucune décision ne peut être prise à l'encontre d'une personne physique identifiée sur le fondement des données la concernant et figurant dans l'un de ces traitements ;

2° Les personnes responsables de ces traitements, ainsi que celles les mettant en œuvre ou autorisées à accéder aux données à caractère personnel qui en sont issues, sont soumises au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal ;

3° L'accès aux données s'effectue dans des conditions assurant la confidentialité et l'intégrité des données et la traçabilité des accès et des autres traitements, conformément à un référentiel défini par arrêté des ministres chargés de la santé, de la sécurité sociale et du numérique, pris après avis de la Commission nationale de l'informatique et des libertés ;

4° Les données individuelles du système national des données de santé sont conservées pour une durée maximale de vingt ans, sans préjudice de l'application du premier alinéa de l'article 78 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés."

Enfin, les données du système national des données de santé ne peuvent être traitées pour l'une des finalités suivantes :

1° La promotion des produits mentionnés au II de l'article L. 5311-1 en direction des professionnels de santé ou d'établissements de santé ;

2° L'exclusion de garanties des contrats d'assurance et la modification de cotisations ou de primes d'assurance d'un individu ou d'un groupe d'individus présentant un même risque.

Faut-il craindre pour la protection de ces données ? 

Outre le piratage des données et leur exploitation par des malfaisants come déjà arrivé en INde, aux USA ou à Singapour avec les informations de santé de millions de patients compromises, la principale inquiétude qui subsiste est liée au fait que les données de la plateforme seront stockées sur des serveurs privés étrangers.

C'est le cas du Health Data Hub qui est hébergé chez Microsoft et non sur les serveurs d’un fournisseur français comme OVH.

Ce choix a été fait, car Microsoft est le premier opérateur du Cloud certifié "hébergeur de données de santé" et les données seront stockées sur les Data Centers de Microsoft établis en France.

Néanmoins, une crainte subsiste liée à la loi américaine du Cloud Act qui autorise le gouvernement des États-Unis à obliger les hébergeurs américains à fournir les données dans le cadre d’une enquête pénale, même si l’article 48 du RGPD interdit en principe le transfert de données de pays européens vers des pays extérieurs.

Alors quels bénéfices pourrons-nous tirer de ces collectes massives de nos données et en seront-nous toujours maîtres alors que Google développe son propre système gràce à sa filiale Calico ? On a appris en effet en novembre 2019 que  le géant californien avait aspiré les données de santé de millions d'américains sans leur consentement dans le cadre de son projet Nightingale. Cette pratique, bien que très douteuse, est néanmoins légale aux USA avec le Health Insurance Portability ans Accountability Act de 2016 qui "facilite l'échange de données entre les acteurs de la santé. 

A l'heure de l'ouverture automatique du dossier médical partagé (DMP) en France prévue à partir de juin 2021 et de la collecte parallèle de données via les objets connectés comme les montres, la question reste donc posée.

S'il est encore trop tôt pour y répondre avec précision, le mouvement parait inéluctable vers une intervention des plateformes sur le lucratif et stratégique marché de la santé, avec la crainte d'une appropriation de ce dernier, à plus ou moins court-terme au profit des GAFAM. 

mise à jour du 8 mai 2020

le Health Data Hub a été mis en service en avril 2020 de façon anticipée et sur un périmètre limité.

Suite à la publication de l'arrêté du 21 avril 2020 modifiant celui du 23 mars sur l’organisation du système de santé durant l’épidémie qui autorise le Health Data Hub, ainsi que la Caisse nationale de l’assurance-maladie (Cnam), à collecter, « aux seules fins de faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus Covid-19 », un nombre considérable de données, la CNIL s'est alertée son avis du 20 avril 2020.

La CNIL rappelle « les inquiétudes concernant l’accès par les autorités des États-Unis aux données transférées aux États-Unis, plus particulièrement la collecte et l’accès aux données personnelles à des fins de sécurité nationale ». Par ailleurs, "les données seront conservées par l’hébergeur au sein d’un boîtier chiffrant, ce qui a pour conséquence de permettre techniquement à ce dernier d’accéder aux données" 

Le Health Data Hub récupérera en effet des données issues des enquêtes épidémiologiques instaurées par la loi de prolongation de l’état d’urgence sanitaire, dont celles du Système d’information national de dépistage populationnel (SIDEP), pour « permettre un réutilisation des données homogènes et de qualité pour la recherche ». « Dans le cadre du Health Data Hub », cette réutilisation se fera « avec un chaînage avec les autres données du SNDS ».

Mise à jour du 11 novembre 2020

Dans son ordonnance du 13 octobre 2020, https://www.conseil-etat.fr/actualites/actualites/health-data-hub-et-protection-de-donnees-personnelles-des-precautions-doivent-etre-prises-dans-l-attente-d-une-solution-perennele Conseil d’État reconnaît l’existence d’un risque de transfert de données issues du Health Data Hub vers les États-Unis et demande des garanties supplémentaires. 

Par crainte que certaines données puissent être transférées aux États-Unis, des requérants avaient saisi le Conseil d’Etat d’un recours demandant la suspension du « Health Data Hub », la nouvelle plateforme destinée à accueillir, à terme, l’ensemble des données de santé des personnes soignées en France.

Le juge des référés estime qu’on ne peut exclure un risque de transfert des données de santé hébergées dans la plateforme du Health Data Hub aux services de renseignements américains.

En raison de l’utilité du Health Data Hub pour la gestion de la crise sanitaire, il refuse de suspendre le fonctionnement de la plateforme.

En revanche, il enjoint au Health Data Hub de renforcer sur certains points le contrat qui le lie à Microsoft et de rechercher des mesures additionnelles pour mieux protéger les données qu’il héberge.

Il appartiendra à la CNIL de veiller, pour les demandes d’autorisation des projets de recherche sur le Health Data Hub dans le cadre de la crise sanitaire, à ce que le recours à la plateforme soit techniquement nécessaire, et de conseiller les autorités publiques sur les garanties appropriées.

Ces précautions devront être prise dans l’attente d’une solution pérenne qui permettra d’éliminer tout risque d’accès aux données personnelles par les autorités américaines, comme annoncé par le secrétaire d’État au numérique (source: CNIL)

retrouvez la délibération de la CNIL du 20 avril 2020 https://www.cnil.fr/sites/default/files/atoms/files/deliberation_du_20_avril_2020_portant_avis_sur_projet_darrete_relatif_a_lorganisation_du_systeme_de_sante.pdf

(crédits dessin: Cabinet Thierry Vallat)

Article mis à jour le 7 avril 2020

A la suite de l'annonce de la création du Comité analyse recherche et expertise (Care), missionné pour mettre en place "une stratégie numérique d’identification des personnes ayant été au contact de personnes infectées" par le Covid-19 et notamment étudier l'opportunité de mettre en place des techniques de "backtracking", qui permettent d’identifier les personnes en contact avec celles infectées par le virus, la Cnil a émis des  recommandations au Care (lire sur le site Mediapart).

L'état d'urgence permet en effet d'imposer, sous certaines conditions, des restrictions de libertés ou des possibilités de restriction de libertés très importantes, notamment à la vie privée des citoyens garantie en France par l'article 9 du code civil et remet en lumière l'importance de la collecte et du traitement des données personnelles obtenues à partir de la géolocalisation, dont celles sensibles entre toutes liées à la santé des individus.

Le Règlement Général de Protection des Données prévoit ainsi en cas de crise sanitaire, une exception au principe général de consentement préalable, en précisant que "  le traitement de données à caractère personnel devrait être également considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou à celle d'une autre personne physique. Le traitement de données à caractère personnel fondé sur l'intérêt vital d'une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d'intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine" (raison 46 https://www.privacy-regulation.eu/fr/r46.htm

Son article 9 dispose que:

"Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits"

mais que cette interdiction ne s'applique pas si la personne donne son consentement ou si " le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel "

La CNIL a donc tout d'abord rappelé que "le cadre juridique actuel, en particulier le RGPD et la directive ePrivacy (applicable au recueil de données de localisation dans le cadre de communications électroniques), permet, selon certaines modalités, de traiter de telles données notamment de manière anonymisée (suffisamment agrégée) ou avec le consentement des personnes. Ce même cadre juridique permet aux États d’aller plus loin et de déroger, par la loi, à cette exigence d’anonymisation ou de consentement, sous certaines conditions."

Elle appelle ensuite à "privilégier le traitement de données anonymisées et non de données individuelles, lorsque cela permet de satisfaire l’objectif".

La Commission européenne, via son commissaire au marché intérieur a elle aussi communiqué dans le même sens pour privilégier l'usage de données anonymisées permettant de suivre l'évolution des concentrations de population. Mais cette anonymisation ne permet pas un suivi individuel,  L’opérateur télécom Orange, à la demande de Thierry Breton, va d'ailleurs transférer les données de ses quelques 34 millions d’utilisateurs en France à la Commission européenne et travaille avec l’Institut français de la recherche médicale (Inserm). 

En conséquence, si un pistage des individus testés positifs au Covid-19 devait être mis en place pour permettre de juguler l'épidémie de coronavirus, il faudrait un texte législatif limitant ce backtracking dans le temps et dans ses objectifs. 

Ce suivi très intrusif utiliserait en effet les données de géolocalisation des smartphones des personnes testées positives au Covid-19 par exemple pour vérifier que celles-ci restent bien confinées à leur domicile comme instauré dans plusieurs pays en Israêl ou en Pologne, où tous les citoyens en quarantaine doivent télécharger une application et envoyer régulièrement des selfies afin de prouver qu'ils sont bien chez eux.

Il permettrait également de visualiser et reconstituer les déplacements des personnes infectées, pour identifier, voire prévenir, les individus susceptibles d’avoir été exposés au virus, un système mis en place par la Corée du Sud. L'opérateur suisse Swisscom aide à détecter les attroupements via les téléphones en communiquant aux autorités helvétiques lorsque plus de 20 téléphones se trouvent dans un espace de 100 m2. 

La Cnil invite donc le gouvernement à recueillir l'aval préalable du Parlement pour un tel dispositif:

 "Si la France souhaitait prévoir des modalités de suivi non anonymes plus poussées, le cas échéant sans le consentement préalable de l’ensemble des personnes concernées une intervention législative s’imposerait" et bien sur  "qu'il faudrait s’assurer que ces mesures législatives dérogatoires soient dûment justifiées et proportionnées ."

Le défenseur des droits a de son côté demandé l'organisation d'un débat public. "Il faut voir d'un côté ce que sont les exigences des libertés et de l'autre côté quel est le bénéfice de cette mesure de géolocalisation" a-t-il déclaré à France Info (https://www.francetvinfo.fr/sante/maladie/coronavirus/geolocalisation-des-patients-atteints-du-coronavirus-il-faut-voir-les-exigences-des-libertes-affirme-le-defenseur-des-droits_3883831.html

On se souviendra que  lors de l'examen par le Sénat de la loi du 23 mars 2020 instituant l'état d'urgence sanitaire, avait été déposé un amendement autorisant pour une durée de six mois "toute mesure visant à permettre la collecte et le traitement de données de santé et de localisation". Le gouvernement avait cependant rejeté ce texte. Pour combien de temps...

On rappellera juste à cet égard que, par exemple, les smartphones de millions d’Américains sont suivis par le gouvernement, la sécurité intérieure US ayant acheté des données de localisation provenant de smartphones afin de suivre des personnes à la frontière. Et tout cela avec une facilité dérisoire:  les autorités américaines ont eu accès à ces informations via des bases de données commerciales rassemblées par des sociétés de marketing. ayant pu mettre la main sur des informations concernant leurs utilisateurs sans que ceux-ci ne s’en aperçoivent, comme avec des applications de météo qui demandent la localisation précise des utilisateurs afin d’offrir un service personnalisé, des jouets, des montres ou autres objets connectés.

Sans parler des tentations de croisement de ces informations avec des fichiers de police, l'utilisation croisée de la reconnaissance faciale ou les caméras de vidéo-surveillance omniprésentes dans nos villes.

D'ailleurs Le ministre de l’Intérieur a confirmé le 5 avril dernier  que le tracking de la population, dans une volonté de lutter contre la pandémie de Covid-19, était une solution envisagée par le gouvernement.Castaner: le traçage des Français pourrait être retenu «Toutes les intelligences disponibles sont nécessaires et seront utilisées. Le tracking fait partie des solutions retenues par un certain nombre de pays, donc nous aurons fait le choix de travailler avec eux pour regarder ces solutions», a déclaré le ministre de l’Intérieur. Pour sa part, Édouard Philippe avait précisé que le traçage numérique ne serait pas «obligatoire» mais utilisé sur la base «d’un engagement volontaire».

Attention donc avec ces données récoltées qui sont susceptibles d’être vendues à des annonceurs numériques: évitez d'activer ces préférences sur votre téléphone, le respect de votre vie privée pourra en dépendre !

Bien entendu, au delà de l'urgence, dont on ne sait que trop qu'elle peut autoriser des dérives autoritaires et se pérenniser au delà du strict temps de crise sanitaire, la question est de savoir vers quel modèle de société veut-on aller et si le contrôle permanent des individus va devenir la norme.
 

(crédits dessin: Cabinet Thierry Vallat)

Encore un nouveau revers judiciaire pour Google qui vient de se faire condamner par le Tribunal de grande instance de Paris par jugement du 12 février 2019 à modifier de nombreuses clauses (209 !) de ses "Conditions d’utilisation" et "Règles de confidentialité".

Après cinq ans de procédure, ce jugement de 136 pages constitue une avancée indéniable pour les consommateurs qui pourront en bénéficier, notamment au sujet de la protection de leurs données personnelles.

Sur cette action diligentée par l’association de défense des consommateurs Uic Que Choisir, et selon la décision du TGI, dont elle peut faire appel, Google ne doit plus désormais:

• Collecter ni partager les données personnelles de ses utilisateurs sans les avoir informés clairement
• Géolocaliser en permanence ses utilisateurs, déposer des cookies ou collecter les informations stockées sur leurs téléphones et tablettes sans véritable accord
• Modifier volontairement les données personnelles collectées ou les diffuser librement dans des annonces commerciales
• Dissuader les utilisateurs de s’opposer aux dépôts systématiques de cookies
• Laisser croire que l’utilisation de ses services entraine l’acceptation des conditions d’utilisation et règles de confidentialité
• Exclure systématiquement toute responsabilité (en cas de dysfonctionnement)
• Refuser d’appliquer la loi française

UIC Que Choisir a publié un communiqué dans lequel l'association de consommateurs a précisé que selon le jugement, disponible en fichier Pdf ci-après,  la firme de Mountain View "ne peut effectivement qu'abusivement présenter au consommateur la collecte des données à caractère personnel lorsqu'il ne le fait que comme une simple et seule condition d'amélioration des services proposés alors que la finalité réelle et première de cette collecte est celle de l'organisation d'envois de publicités ciblées auprès de ce même consommateur en exploitant commercialement l'ensemble de ses données à caractère personnel."

Par ailleurs,  il est ordonné par le TGI à Google Inc de "permettre à l’ensemble de ses adhérents français la lecture de l’intégralité du présent jugement par le moyen d’un lien hypertexte dans une bannière exclusivement dédiée devant figurer sur la page d’accueil de son site Internet ainsi que sur celles de ses applications sur tablettes et téléphones pendant une durée de trois mois, ces dispositifs d’accès et de lecture devant être créés dans un délai d’un mois à compter de la signification de la présente décision et sous astreinte provisoire de 5.000 € par jour de retard à l’expiration de ce délai, cette astreinte ne pouvant courir que pendant une durée de six mois au maximum"

Google INC. a en outre été condamnée à payer au profit de l’association UFC-QUE CHOISIR la somme de 30.000 € en réparation du préjudice moral ayant été occasionné à l’intérêt collectif des consommateurs. et une indemnité de 20.000 €  sur le fondement de l’article 700 du code de procédure civile.

Un appel est toujours possible qui serait suspensif de l'ensemble des condamnations.

(source: communiqué de UIC Que Choisir et jugement du 12 février 2019)

(crédits dessin: Cabinet Thierry Vallat)

Retrouvez le jugement du TGi de Paris du 12 février 2019

Le site Internet du "grand débat national", développé par la société Cap Collectif, doit recueillir les propositions des Français pendant deux mois, à partir du 22 janvier 2018. Avec des enjeux particulièrement élevés en termes de transparence et d'indépendance.

Jusqu'au 15 mars, les citoyens pourront en effet déposer directement leurs contributions sur le site Internet prévu à cet effet  à l’adresse granddebat.fr,

Pour ce faire, il faudra s’inscrire sur la plateforme, soit sous sa propre identité, soit sous un pseudo, et fournir son adresse électronique.

De nombreuses réserves ont été faites s'agissant de la protection des données sur la première version du site et, devant la levée de boucliers, les modalités de conformité au règlement général sur la protection des données (RGPD) ont été complétées depuis lors .

C'est que les contributions pourraient révéler les opinions politiques des contributeurs, qui sont autant de données sensibles, comme en dispose l'article 9 du RGPD

 Notamment,  les mentions légales et la politique de confidentalité du site précise désormais que l'adresse mail des participants sera conservée pendant un an à compter de la fermeture de la plateforme. Par ailleurs, un lien de désinscription sera proposé dans toute communication. Au-delà, "les données personnelles collectées pourront être anonymisées et conservées à des fins statistiques. Sinon, elles feront l’objet d’une suppression définitive.

Bien entendu, si vous estimiez que les droits sur vos données n’ont pas été respectés, vous aurez la faculté d'introduire une réclamation auprès de la CNIL.

Au delà de l'aspect protection des données sensibles, on pourra également regretter que ce "grand débat", qui comprend quatre thèmes, n'intègre pas la question primordiale de la justice, sévèrement malmenée avec le projet de loi justice en cours de discussion au Parlement.

Me Thierry Vallat était l'invité de la matinale de LCI ce 22 janvier 2019 et a pu répondre aux questions de Pascale de La Tour du Pin sur la protection des données personnelles sur le site granddebat.fr

Un arrêté du 23 novembre 2018 , publié au journal officiel du 28 décembre 2018, vient de créer pour le ministère de l'enseignement supérieur, de la recherche et de l'innovation un traitement de données à caractère personnel dénommé ''Système d'information sur l'orientation dans le supérieur''.

Ce nouveau superfichier au délicieux acronyme d'''ORISUP'' est supposé n'avoir qu'une finalité statistique et de recherche scientifique permettant :
- de disposer d'informations de base fiables et cohérentes sur l'ensemble du dispositif national d'orientation dans l'enseignement supérieur, ainsi que sur le parcours des candidats à une inscription dans une formation du premier cycle de l'enseignement supérieur et des étudiants dans l'enseignement supérieur ;
- de réaliser des études sur l'efficacité de l'enseignement supérieur selon les populations d'étudiants, selon les filières, selon les types d'établissements ;
- de disposer de données pour mener à bien des études prospectives et longitudinales.

En réalité, ce traitement de données à caractère personnel retrace tout le parcours des étudiants et intègre les fichiers APB + Parcoursup + SIECLE + SYSCA + SCOLEGE + OCEAN + AGLAE 

Auront désormais accès aux informations du traitement les agents du service statistique ministériel du ministère chargé de l'enseignement supérieur et de la recherche, à l'exclusion des données personnelles relatives aux nom de famille, nom d'usage, prénoms et lieu de naissance des étudiants. L'accès à l'ensemble des données personnelles collectées sera réservé aux seuls agents du service statistique ministériel individuellement désignés et spécialement habilités.

Les données du présent traitement sont conservées pendant une durée maximale de quinze ans, sauf les données relatives aux nom de famille, nom d'usage et prénoms qui ne seront conservées que pendant une durée maximale de deux ans, durées au terme desquelles les données devront normalement faire l'objet d'un archivage .

Y figurent notamment:

Données d'identité (civilité, nom, prénoms, date de naissance, sexe)
Etat civil (pays, département et commune de naissance, nationalité)
Coordonnées personnelles (adresse postale, académie de résidence)
Informations relatives aux responsables du candidat (lien de parenté, catégorie socio-professionnelle, adresse postale)
Informations concernant les candidats boursiers (Echelon de bourse en année, nombre de parts (si boursiers de l'enseignement supérieur)
Revenu brut global, avis d'imposition de l'année précédente
Nombre de frères et sœurs à charge
Nombre de frères et sœurs scolarisés dans l'enseignement supérieur Informations relatives aux activités sportives et artistiques (niveau de pratique, discipline, résultat, performance, prix obtenus)
Curriculum vitae
Projet de formation motivé
Attestations de formations diverses
Informations relatives aux activités sportives et artistiques (niveau de pratique, discipline, résultat, performance, prix obtenus, personnes référentes)
Données relatives à la scolarité du candidat
Parcours scolaire (informations relatives à l'établissement scolaire, niveaux, cursus suivis, options, langues vivantes)

Bref, on l'aura compris, l'ensemble de votre parcours scolaire et universitaire, vos données familiales et de revenus seront disponibles.

Bien entendu, les droits d'opposition, d'accès et de rectification, prévus par les articles 15 et suivants du règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et les articles 38 et suivants de la loi du 6 janvier 1978 susvisée, s'exercent auprès du service statistique ministériel du ministère chargé de l'enseignement supérieur et de la recherche, par courrier électronique à l'adresse : orisup@enseignementsup.gouv.fr.

Mais en fin de compte, et alors que  la CNIL avait appelé l’attention du Ministère de l’Education  Nationale,  compte tenu de la sensibilité des données en jeu, que  soit mis en place un encadrement juridique contraignant tant en ce qui concerne la non utilisation des données scolaires à des fins commerciales que sur la nécessité de garantir de façon effective et contraignante la protection des données personnelles traitées dans le cadre de l'Education.  les données personnelles continuent d'être données en pâture aux algorithmes (lire également Données personnelles des élèves données en pâture aux GAFA) :  le cochon numérique est déjà entré dans le champ de maïs des données de nos chères têtes blondes...

Retrouvez  l'arrêté du 23 novembre 2018 portant création d'un traitement automatisé de données à caractère personnel dénommé « Système d'information sur l'orientation dans le supérieur » (ORISUP)

(crédits dessin: Cabinet Thierry Vallat)