Suivi des malades Covid – chacun dans son rôle

Suivi des malades Covid – chacun dans son rôle

L’Etat met en œuvre des solutions numériques de luttes contre la pandémie.

La CNIL propose ses recommandations.

l’AFCDP, association représentative des DPO (Délégués à la Protection des Données) dont DPO COSIPE est adhérente reste très vigilante et a publié un communiqué de presse le 15 mai à ce sujet.

DPO-COSIPE veille pour vous  !

Nous avons apprécié l’argumentation de cet article.

Un dispositif conforme au RGPDMais qui soulève encore des interrogations

Qui colle bien à notre vision pragmatique du sujet RGPD.

Communiqué de presse – 15 mai 2020

COVID-19 : l’avis de l’AFCDP sur le projet de décret encadrant les systèmes d’information mis en œuvre pour le suivi des malades.

Dans le cadre du déconfinement enclenché ce lundi 11 mai, le Gouvernement a décidé de mettre en place une politique de dépistage du virus COVID-19, qui passe notamment par deux systèmes d’information, “SI-DEP” et “Contact COVID”, mis en vigueur par un décret paru au journal officiel ce mercredi 13 mai. L’AFCDP prend acte de l’application du transfert de données à caractère personnel sur ces systèmes d’informations, reconnaît la pertinence de ce dispositif sensible, mais rejoint la CNIL quant à la nécessité de limiter la quantité et les catégories de données recueillies, leur durée de conservation, et quant au contrôle régulier de ses finalités afin qu’elles respectent le cadre strict prévu par la loi.

Partenaires de DPO Cosipé

Un dispositif conforme au RGPD

Pour rappel, le Décret n°2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions, autorise l’adaptation et la création de traitements de données à caractère personnel destinées à permettre l’identification des chaînes de contamination du virus COVID-19 et à assurer le suivi et l’accompagnement des personnes. Il définit à ce titre les responsables de traitements, les catégories de données traitées, les accès, les destinataires, ainsi que leur durée de conservation et les modalités d’exercice, par les personnes concernées.

En tant qu’association représentative des DPD (Délégués à la Protection des Données, ou DPO pour Data Protection Officer), l’AFCDP a bien sûr suivi de très près ce projet de loi et les décrets d’application liés. Ainsi que la CNIL, l’association reconnaît que le dispositif est conforme au Règlement Européen sur la Protection des Données (RGPD) et à la Loi Informatique et Libertés, et que les engagements en terme de limitation de durée (seulement 3 mois), de limitation d’accès aux données selon les fonctions des membres des “brigades sanitaires”, et de droits d’opposition, d’information, d’accès et de rectification des données, rassurent la profession.

Si vous souhaitez lire ce communiqué de presse dans son intégralité rendez-vous à l’adresse suivante https://afcdp.net/media/documents/CP-AFCDP-SI-COVID-19-vf.pdf

Mais qui soulève encore des interrogations

Cependant, l’AFCDP alerte sur la nature et la liste des données transmises à ces plateformes. A cet égard il semblerait que les précisions attendues par la Cnil n’aient pas toutes été portées au décret. D’autre part, la pseudonymisation des données pour certains usages, notamment dans le cadre du Health Data Hub (données médicales utilisées à des fins de recherche) n’est pas une anonymisation et rend donc possible une réversibilité avec réidentification.

L’AFCDP rappelle donc la nécessité de garanties plus précises et de contrôles réguliers du respect de la finalité du dispositif, ce qui est d’ailleurs le rôle des DPO dont les missions principales sont d’informer, de conseiller les organisations, de gérer les processus de protection des données, et de réaliser des audits et analyses d’impact.

L’AFCDP, en tant qu’association représentative des DPO, souhaiterait être membre du comité de suivi et de contrôle de ce dispositif, voire même du GIP Health Data Hub. Sachant que le DPO est l’outil prévu par la loi pour assumer la protection des données à caractère personnel, l’association devrait, plus généralement, être systématiquement intégrée dès qu’un sujet concerne les données privées et que la société civile est consultée.

Jean-Marc Tournier pour DPO Cosipe.