Le gouvernement prive la CNIL des moyens d’évaluer l’efficacité du passe sanitaire

De la proportionnalité
Droit 7 min
Le gouvernement prive la CNIL des moyens d’évaluer l’efficacité du passe sanitaire
Crédits : zoranm/iStock

200 courriers. 42 contrôles. Voilà les chiffres à retenir du quatrième bilan de la CNIL relatif aux traitements mis en œuvre dans le cadre de la crise sanitaire. Une nouvelle fois cependant, la commission est dans l’incapacité de jauger la proportionnalité des traitements « SI-DEP », « CONTACT COVID », « TOUSANTICOVID », « VACCIN COVID » et l’inévitable passe sanitaire.

Un investissement « sans équivalent dans l’histoire de l’institution ». La petite phrase issue de l’avis publié hier traduit l’ampleur du chantier qui occupe l’autorité de contrôle depuis le début de la crise sanitaire.

Cet épisode, qui s’éternise mois après mois, met en branle plusieurs traitements concomitants où à chaque strate, des millions de données à caractère personnel sont transmises et traitées avec dans le lot, des données de santé que le RGPD classe dans la catégorie « sensible ».

Pour rappel, SI-DEP est le traitement qui centralise les tests afin de nourrir le téléservice CONTACT COVID, celui-là même qui veut détecter les cas contacts. Quelque 4 500 laboratoires sont automatiquement connectés à SI-DEP mais il est également possible de transmettre les résultats manuellement.

STOPCOVID, devenu TOUSANTICOVID est l’application de suivi de contacts, volontairement installée par les utilisateurs. Elle alerte donc des cas de proximité avec un autre utilisateur diagnostiqué ou dépisté positif. L’app diffuse désormais en plus des informations sur les campagnes vaccinales.

Depuis novembre 2020, les fonctionnalités « TAC Carnet » et « TAC Signal » permettent également de gérer les fameux QR-Codes présentés dans les gares, les restaurants ou aux portes des salles de concert. Quant au traitement VACCIN COVID, il assure pour sa part la mise en œuvre, le suivi et le pilotage des campagnes vaccinales, dont l’approvisionnement en vaccins et seringues.

Le bilan publié hier s’inscrit dans le cadre de la loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire, modifiée le 14 novembre 2020.

Le gouvernement doit depuis produire tous les trois mois un rapport au Parlement, détaillant l’application des mesures, accompagné d’« indicateurs d'activité », de « performance » et autres « résultats quantifiés ». Une copie à rendre « jusqu'à la disparition des systèmes d'information développés aux fins de lutter contre la propagation de l'épidémie de covid-19 ». Et ces rapports réguliers doivent être complétés par un avis public de la Commission nationale de l'informatique et des libertés.

Ce qu’elle a fait par trois fois déjà, et même quatre fois en comptant l’avis publié hier :

Presque à chaque fois, des traitements ont été ajoutés aux traitements existants, élargissant parfois significativement le périmètre de données. Et comme le Covid-19, ces opérations prévues pour n’être que temporaires se sont incrustées durablement dans le quotidien des Français.

De la nécessité, de la proportionnalité

Dès les premières lignes de son 4ème avis, la CNIL donne le ton : en substance, pour pouvoir produire un avis sérieux, solide et argumenté, encore faut-il qu’elle dispose des données détenues par le gouvernement.

Sans cet or noir, impossible de jauger la nécessité et la proportionnalité des traitements de données à caractère personnel :

« Afin de permettre à la Commission d’apprécier pleinement la nécessité et la proportionnalité de ces dispositifs, déployés dans le cadre de la politique sanitaire actuelle du Gouvernement, il apparaît primordial que, plus de dix-huit mois après le début de la crise sanitaire et comme elle l’a rappelé dans ses trois premiers avis, des éléments concrets d’évaluation de leur efficacité dans la lutte contre l’épidémie de Covid19 soient portés à sa connaissance ».

Et la CNIL de « vivement regretter que malgré ses demandes répétées, notamment dans ses précédents avis, aucun élément ne lui a été transmis à cette fin par le Gouvernement ».

Répétition de l’histoire

Ce n’est en effet pas la première fois que la CNIL réclame ces informations. Pédagogique dans son avis de septembre 2020, elle expliquait que « le caractère dérogatoire des différents traitements mis en œuvre ne peut être justifié que si leur utilité est suffisamment avérée au regard de l’évolution sanitaire du pays ».

En ce sens, « les protections constitutionnelle et conventionnelle du droit au respect de la vie privée et à la protection des données à caractère personnel (…) imposent que les atteintes portées à ces droits par les autorités publiques soient non seulement justifiées par un motif d’intérêt général, comme cela est le cas en l’espèce, mais soient également nécessaires et proportionnées à la réalisation de cet objectif ».

Elle réclamait à la sortie de l’été 2020 des « indicateurs de performance des systèmes d’information déployés », elle suggérait la rédaction d’une « grille d’analyse devrait être établie au regard d’indicateurs d’efficacité sanitaire » et demandait une documentation sur « l’impact effectif du dispositif sur la stratégie sanitaire globale »…

À date, cependant, « l’évaluation formelle de l’effectivité de l’application n’avait pas encore débuté et (...) le calendrier du travail d’évaluation n’avait pas encore été établi par le ministère ». En clair, impossible d’effectuer un test de proportionnalité sur les atteintes à la vie privée, alors que ces atteintes exceptionnelles se doivent d’être justifiées comme le rappelle le Conseil constitutionnel dans toutes ses décisions sur le sujet.

Ce sont ces critiques sur le déficit informationnel qui entrainèrent une modification de l’article 11 de la loi du 11 mai 2020 par la loi du 14 novembre 2020, afin que soit précisé que le rapport trimestriel du Gouvernement adressé au Parlement comprenne à l’avenir « des indicateurs d'activité, de performance et de résultats quantifiés adaptés aux priorités retenues » :

traitement covid-19 rapport cnil

Avant la réforme du 14 novembre 2020

traitement covid-19 rapport cnil

Après la réforme du 14 novembre 2020

Malgré cette réforme, son avis de mai 2021 montra que le constat n’avait pas beaucoup bougé. « Il apparaît primordial que, plus d’un an après le début de la crise sanitaire et comme elle l’a rappelé dans ses deux premiers avis, des éléments concrets d’évaluation de leur utilité et de leur efficacité dans la lutte contre l’épidémie de COVID-19 soient portés à sa connaissance ».

Impatience

18 mois après le début de la crise sanitaire, la situation n’a pas changé. La CNIL se doit de mesurer la proportionnalité de ces traitements sans pouvoir juger la proportionnalité des traitements. Kafkaïen.

Dans son avis publié hier, elle se contente de rappeler que si « le contexte sanitaire peut justifier des mesures exceptionnelles, nécessaires pour lutter contre le rebond de l’épidémie et éviter un nouveau confinement », il y a une impérieuse « nécessité de procéder à l’évaluation des dispositifs numériques mis en œuvre pour lutter contre la Covid-19 afin de supprimer ceux dont l’utilité ne serait plus avérée ».

Ces lamentations ne sont toutefois corroborées par aucune mesure de rétorsion à l’encontre du gouvernement.

Des contrôles qui perdureront

Sur la période, les services de la Commission ont effectué plusieurs contrôles en ligne, sur audition, sur pièces et sur place sur l’ensemble des traitements précités.

Sur le TOUSANTICOVID Carnet, par exemple, elle considère que cette fonctionnalité « permet d’offrir des garanties en termes de protection des données et de sécurité », notamment parce que l’accès aux certificats de dépistage et de vaccination ainsi que leur enregistrement « s’effectuent de manière sécurisée ». Elle se satisfait par ailleurs de la conservation des preuves dans le smartphone, sans « aucun flux de donnée vers un serveur ».

Le document révèle néanmoins « l’absence, dans certains lieux, de toute mention d’information relative aux traitements mis en œuvre dans le cadre des vérifications des passes sanitaires dans les zones de contrôle ».

En outre, des organismes ont été contactés par la Commission pour ne pas avoir tenu de registre d’habilitation des personnes autorisées à contrôler les passes sanitaires, alors que la mesure est obligatoire en vertu d’un décret du 1er juin 2021.

En attendant, la Commission indique qu’elle poursuivra ses contrôles tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre.

La toute récente loi du 10 novembre 2021 sur la vigilance sanitaire a prolongé jusqu'au 31 juillet 2022 le régime de sortie de l'état d'urgence sanitaire et la possibilité de recourir au passe sanitaire. 

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !