Intervention de Marie-Laure Denis

Concernant l'état d'urgence sanitaire et une éventuelle pérennisation, je crois qu'il y avait un projet de loi en fin d'année 2020, mais qu'il n'a pas abouti.

Outre le fait que nous n'avons pas de compétences sanitaires ou scientifiques particulières, il nous est délicat de nous prononcer sur l'éventuelle pérennisation de certains de ces dispositifs en l'absence de texte et sans savoir quel système est prolongeable plutôt qu'un autre. En tout état de cause, nous devrons retenir un dispositif à géométrie variable, fondé sur la nécessité et la proportionnalité au cas par cas. Il ne s'agit pas de copier et coller l'ensemble d'un outil particulier et lié à des circonstances précises.

Le RGPD et la CNIL n'ont pas été un frein dans le domaine de la santé. Nous délivrons des autorisations en matière de recherche en santé si les projets ne sont pas conformes aux méthodologies de référence que nous avons nous-mêmes émises. 85 % des demandes nous ayant été adressées pour de la recherche sur la covid-19 y étaient conformes. Dans les autres cas, nous avons délivré 170 autorisations, la plupart du temps en moins d'une semaine. Nous avions mis en place une adresse mail dédiée, accentué la disponibilité des équipes, dématérialisé des décisions, et commencé à traiter la pré-instruction des dossiers en amont avec des chercheurs. Ainsi, nous avons aidé les acteurs à trouver des solutions respectant les modalités de recueil du consentement des personnes dont les données faisaient l'objet de recherches. Nous nous sommes également attachés aux modalités d'information de celles-ci. Le processus tel qu'il existe n'est pas bloquant. Un article de la loi informatique et libertés permet à certains organismes listés par un arrêté de réaliser sans autorisation de la CNIL des traitements de données de façon temporaire dans le domaine de la santé. En tout état de cause, nous devons nous attacher à déterminer les catégories de données pouvant faire l'objet d'un traitement à des fins de suivi de recherche.

Vous avez évoqué les subtilités entre l'anonymisation et la pseudonymisation. Nous sommes notamment très sensibles à la réutilisation de données pseudonymisées. Les noms, prénoms, numéros de sécurité sociale, adresses et coordonnées de contact doivent à notre sens être exclus. Les fuites de données sont possibles dans le domaine de la santé. Ce sujet rejoint la préoccupation cyber, sur laquelle je reviendrai. Les individus prennent conscience des enjeux en matière de sécurité lorsque leurs propres données sont concernées.

La crise sanitaire et la réaction de la CNIL face à celle-ci ont probablement été déterminantes dans la prise de conscience des pouvoirs publics concernant nos moyens. À la fin de l'année prochaine, nos effectifs atteindront 290 personnes, ce qui correspond à une augmentation d'un tiers en l'espace de trois ou quatre ans. Ceci dit, la CNIL reste petite par rapport à des autorités de protection des données comparables. Notre homologue britannique, l'ICO, et l'autorité de protection des données allemande, certes dans un système fédéral, comptent respectivement trois et quatre fois plus d'agents que nous. De plus, une révolution réglementaire s'annonce. Le paquet numérique européen et tous les textes que vous connaissez, dont le DMA, le DSA ou le digital governance act, nous poussent à nous interroger sur celui qui dirigera concrètement ces dispositions. La CNIL a selon moi un rôle à jouer sur un certain nombre de ces textes, qui concernent largement les données à caractère personnel. Si de nouvelles compétences nous échoient, ce que nous souhaitons, nous devrons proportionner nos moyens en conséquence.

À ma connaissance, les serveurs des systèmes d'information Covid étaient bien français, puisque SI-DEP étaient hébergé à l'APHP. Sur le passe sanitaire, le ministère de la santé a pu envisager de faire appel à un acteur américain pour disposer de solutions permettant des mesures de sécurité. Après discussions, il a choisi de basculer chez un acteur français. De façon générale, notre collège est attentif à ce que les données soient hébergées par des structures exclusivement soumises au droit français et européen, quitte à ce que les opérateurs utilisent des technologies étrangères. Ainsi, nous limitons l'accès des données à des acteurs dont le niveau de garantie n'est pas le même.

Nous avons été très vigilants à la garantie des droits. Vous évoquez le droit d'opposition. Parfois, vous l'avez vous-même exclu, ce qui peut être compréhensible. Lorsque vous vous faites vacciner, votre nom apparaît dans un fichier. Vous n'avez pas le choix, pour des raisons de pharmacovigilance, entre autres. En revanche, la réglementation prévoit un ensemble de droits sur l'information aux données, le droit d'accès ou de rectification. Si certains droits peuvent être restreints en situation de crise sanitaire, ces limitations doivent être inscrites dans un texte pris après avis de la CNIL. Les individus doivent en être informés. Dans le même temps, le consentement du patient infecté doit être recueilli pour que son identité soit communiquée à ses cas contacts, par exemple. Une vigilance particulière s'impose également pour les données couvertes par le secret médical. Dans la mesure du possible, seuls des professionnels de santé devraient y avoir accès, mais la loi a dû élargir cette catégorie d'acteurs. Il est nécessaire de pouvoir aménager des dérogations au secret médical. SI-DEP et Contact Covid en ont fait l'objet.

L'application TousAntiCovid a concentré de nombreux débats et interrogations pendant la crise sanitaire, puisqu'elle était la première application de traçage étatique. Nous avons travaillé en partenariat avec l'INRIA pour nous assurer qu'elle intègre dès sa conception des considérations de vie privée. Ce dispositif était basé sur le volontariat, ne faisait pas de géolocalisation, et traitait un minimum de données, a priori non identifiantes. Il nous a semblé qu'il pouvait être maintenu, mais nous avons demandé dans notre dernier avis que les gens n'activent pas la fonctionnalité de traçage lorsque la circulation du virus est faible. Par ailleurs, l'application présente de nombreuses autres fonctionnalités, dont le stockage de certificats et de passes, ou le recueil d'informations sur la vaccination et le dépistage. Ainsi, dans la balance entre son utilité marginale et la faible atteinte à la protection de la vie privée, il nous a semblé que cette application pouvait être maintenue, mais le moins longtemps possible. D'ailleurs, je crois savoir qu'elle doit disparaître le 31 janvier 2023. Nous y veillerons. Les données collectées par TousAntiCovid ne sont, en outre, pas conservées au-delà d'une quinzaine de jours.

La loi du 31 mai 2021 modifiée et son décret d'application interdisent la conservation des données du passe sanitaire. Elles ne sont utilisées que pendant son contrôle. Des garanties fortes ont été poussées par la CNIL sur ce sujet, et nous avons réalisé des contrôles. Nous avons beaucoup insisté en termes de pédagogie pour que seuls le « oui » ou le « non » apparaissent, et non l'ensemble des données, sauf pour le passe utilisé pour les déplacements hors de France, nécessitant davantage de données.

J'ai rappelé plus tôt le côté multifonctionnel de l'application TousAntiCovid : contact tracing, statistiques sur la crise sanitaire, stockage du passe – encore utilisé pour le passe européen en vigueur jusqu'en juin 2023. Cette application s'éteindra le 31 janvier 2023.

J'imagine que cette audition est en partie liée au fait que vous allez devoir réfléchir à la pérennisation de certains dispositifs. J'ai indiqué plus tôt que la CNIL n'était pas compétente sur le plan sanitaire et médical, et qu'il nous était difficile de nous prononcer. C'est d'ailleurs le collège de la CNIL qui prend des décisions sans pouvoir répondre sur un texte. Notre activité nous demande de concilier la protection de la vie privée avec d'autres impératifs importants, faisant souvent l'objet d'une protection constitutionnelle, tels que le droit à la santé ou la sécurité publique. Nous veillons à ce qu'il y ait des garanties pour les citoyens, que le droit à l'information soit respecté, que les traitements soient nécessaires et proportionnés, que l'on connecte le moins de données possible, et qu'elles soient conservées le moins longtemps possible. Nous vérifions la limitation du nombre d'accédants et le traçage de la donnée en cas de mésusage. Nous sommes capables de décliner les grands principes du droit de la protection des données.

Nous pensons que nous devons prendre en compte les spécificités de chaque crise et les critères spécifiques d'application des différents systèmes, mais aussi définir les termes. Quand allons-nous appliquer, s'ils sont nécessaires, des systèmes d'information dérogatoires au droit commun ? Qu'est-ce qu'une situation sanitaire exceptionnelle ou une crise ? Qui décide de cette activation : le législateur, le gouvernement, une agence, une autorité ? Nous devons définir les organismes concernés par ces dispositifs et la date de péremption des systèmes d'information qui seraient mis en œuvre. Seule la loi permet de déroger au secret médical, bien que les conditions de celui-ci puissent être décidées en Conseil d'État après avis de la CNIL. J'imagine que le législateur a pour rôle de prévoir un cadre global et de déterminer les conditions de mise en œuvre qui doivent varier en fonction des caractéristiques de la crise, notamment.

Nous sommes assez sobres sur le plan budgétaire. Nous pourrions d'ailleurs investir davantage. Nous comptons une trentaine de contrôleurs répartis en binômes d'un juriste et un spécialiste des systèmes d'information ou informaticien pour contrôler toutes les entreprises et administrations de France. Nous réalisons des contrôles sur place, mais aussi en ligne. Lors d'un contrôle dans un domaine déterminé, nous pouvons espérer que les résultats, souvent rendus publics, impactent l'ensemble du secteur. Nous travaillons avec les têtes de réseaux pour qu'elles diffusent elles-mêmes les bonnes pratiques auprès de leurs administrés. La CNIL n'est pas qu'un gendarme de la protection des données, elle fait aussi de l'accompagnement. Nous recevons 14 000 plaintes clients, près du double de ce que nous recevions avant la mise en œuvre du RGPD. La prise de conscience de nos concitoyens n'a pas faibli en la matière.

L'année dernière, nous avons compté 135 mises en demeure. La formation restreinte de la CNIL a prononcé 18 sanctions, notamment prononcées à l'égard des GAFAM sur le sujet des cookies. C'est 3 fois plus qu'avant le RGPD, et les montants sont bien plus importants.

Le différentiel entre le nombre de plaintes et celui des sanctions illustre notre accompagnement envers les organismes ayant fait l'objet de ces plaintes. Nous aurions évidemment besoin de plus de contrôleurs.

Il nous arrive de nous autosaisir sur des contrôles. Rien ne nous empêche de prendre des positions publiques sur tel ou tel point. Vous nous y aidez en nous invitant dans ces commissions. Nous ne nous sentons pas limités de ce point de vue.

Tous les systèmes d'information sauf celui sur les vaccins ont une date d'extinction prévue entre le 31 janvier et le 30 juin 2023. Le passe sanitaire est déjà éteint. Il sera du rôle de la CNIL et de son service des contrôles de s'assurer qu'ils ne sont plus alimentés par des données, et qu'aucune d'entre elle n'a été conservée hors finalités de recherche, si cela était prévu et de façon pseudonymisée.

Vous posiez la question légitime de la sécurité. La CNIL en est un acteur majeur. À ce stade, le RGPD est un allié de la cybersécurité. C'est le seul texte imposant des obligations de moyens. Tous les responsables de traitement en France doivent embarquer un certain nombre de mesures. En 2021, au cœur de la crise, nous avons observé un pic de notifications des violations de données. 18 % d'entre elles concernaient la santé, contre 8 % l'année précédente. Parmi celles-ci, 66 % correspondaient à du piratage (rançongiciels et hameçonnage). Nous en comptions 40 points de moins en 2019. Ainsi, le secteur de la santé est particulièrement ciblé. L'attaque du CHU de Bordeaux ou les données compromises et envoyées dans la nature pour le non-paiement de la rançon de l'hôpital de Corbeil-Essonnes ne sont que les faces émergées de l'iceberg. En 2021, la hausse des cyberattaques, la fatigue des personnels et les nouveaux process mis en œuvre dans l'urgence ont pu contribuer à cette surchauffe en matière de risques de sécurité. Ceux-ci sont un peu retombés.

D'ailleurs, l'agence nationale de la sécurité des systèmes d'information (ANSSI) a fait des rançongiciels et du hameçonnage le thème annuel du cyber-mois. La CNIL, en parallèle des actions pédagogiques qu'elle mène sur la cybersécurité, accompagne le ministère de la santé sur les thèmes cyber. Ce sujet nous préoccupe, parce que nous devons faire progresser le niveau de sécurité de l'écosystème. Nous espérons y contribuer par nos actions d'accompagnement et de contrôle.

Enfin, concernant l'effet cliquet, l'accoutumance et le solutionnisme technologique, il ne faudrait pas que les systèmes dérogatoires mis en œuvre pendant la crise sanitaire soient banalisés.