Intervention de Marie-Laure Denis

Je suis accompagnée par Hélène Guimiot-Breaud, cheffe du service de la santé, Nassera Bekhat, cheffe du service des affaires économiques, Benjamin Vialle, chef du service des contrôles sur la santé, les ressources humaines et les affaires publiques.

Notre commission s'est prononcée à de nombreuses reprises sur les systèmes d'information, tant dans le cadre de ses missions d'accompagnement des pouvoirs publics que de son pouvoir de contrôle a posteriori.

La gestion de cette crise a rendu nécessaire la création, souvent dans des conditions d'urgence, de nombreux nouveaux outils impliquant le traitement d'importants volumes de données à caractère personnel, et en particulier de données de santé, très sensibles. Leur conception et leur calibrage ont soulevé des questions inédites en matière de protection des données, en raison de leur ampleur. Certains systèmes d'information ont ainsi collecté les données d'une majorité de la population française. Une multitude de professionnels devaient accéder aux données de SI-DEP et du système d'information sur les vaccins, notamment.

Enfin, de nouvelles technologies ont été utilisées dans le cadre de l'application Stop Covid, devenu TousAntiCovid, et de la gestion du passe sanitaire.

Ensuite, cette situation exceptionnelle n'a pas fait obstacle à l'application de la réglementation sur la protection des données. Les principes posés par cette dernière ont démontré la grande robustesse du règlement général sur la protection des données (RGPD). Ils étaient suffisamment souples pour permettre le déploiement de divers outils de gestion de l'épidémie tout en offrant à la CNIL la possibilité de contrôler le respect des droits et des libertés fondamentales des personnes. Le cas échéant, elle a pu demander des corrections de mauvaises pratiques.

Ces deux dernières années ont mis en exergue la nécessaire prise en compte de la protection des données à caractère personnel, facteur déterminant pour contribuer à la confiance des concitoyens. Elle participe à la création de conditions d'acceptabilité sociale des solutions proposées, et garantit ainsi l'efficacité des mesures mises en place.

Pendant cette crise, la CNIL a veillé à la conformité des outils utilisés aux réglementations applicables en matière de droit au respect de la vie privée, et au respect d'autres libertés et droits fondamentaux qu'elle n'a pas pour vocation habituelle de protéger : liberté d'aller et venir, liberté d'entreprendre, égalité de traitement entre les personnes, liberté de consentir à un traitement médical ou de subir un acte médical. À cette fin, elle a fait appel à l'ensemble des pouvoirs lui étant dévolus par la loi, et a mobilisé toutes les ressources à sa disposition. À cet égard, le collège de la CNIL et ses agents ont fait preuve d'un engagement et d'une réactivité remarquables.

Cette crise a démontré toute la pertinence des équilibres organisés par la loi informatique et libertés.

La CNIL a conseillé les pouvoirs publics à de nombreuses occasions, souvent en urgence, sur la conformité des traitements mis en œuvre. À cet égard, je souligne la qualité de nos échanges avec les ministères compétents lors des phases d'élaboration des textes et de la conduite des études d'impact. Notre dialogue efficace a certainement contribué à une réelle prise en compte des principes fondateurs et protecteurs de la réglementation en matière de protection des données.

Depuis 2020, la CNIL a rendu 31 avis sur des projets de textes du gouvernement. La présente audition est la treizième devant le Parlement. Elle contribue à éclairer les débats sur les enjeux fondamentaux liés au respect de la vie privée et des données à caractère personnel.

Dans le même temps, nous avons instruit près de 170 demandes d'autorisations relatives à des projets de recherche en lien avec la crise sanitaire, dans des délais extrêmement courts, grâce à une procédure ad hoc s'appuyant sur la priorité des demandes.

Nous avons fréquemment rappelé au gouvernement la nécessité d'une évaluation régulière des dispositifs mis en œuvre dans le cadre d'une politique sanitaire, qui doit être observée dans sa globalité. Il s'agissait d'une part d'apprécier la proportionnalité des dispositifs au plus fort de la crise pour mettre fin, le cas échéant, à des mesures inutiles ou disproportionnées. D'autre part, nous devons aujourd'hui être à même de déterminer les systèmes les plus utiles pour gérer une crise sanitaire de cette ampleur, et les concevoir de façon à concilier les impératifs de protection de la santé et de la vie privée.

L'article 11 de la loi du 11 mai 2020 demandait un rapport détaillé pour l'application des systèmes d'information SI-DEP et Contact Covid. L'article 1er de la loi du 31 mai 2021 demandait la transmission au Parlement, par le gouvernement, d'un rapport sur l'impact des mesures prises et les indicateurs sanitaires justifiant le maintien de ces systèmes d'information. Plus récemment, l'article 5 de la loi du 30 juillet 2022 prescrivait la transmission d'une évaluation du cadre juridique en vigueur, y compris en matière de traitement de données à caractère personnel.

Dans ce contexte, l'application TousAntiCovid et le passe sanitaire ont fait l'objet de rapports d'évaluation ad hoc, transmis à la CNIL. Après analyse du rapport et sur la base de ses propres investigations, celle-ci a constaté que l'outil était particulièrement respectueux de la vie privée. Le traçage des contacts automatiques au moyen des téléphones était réalisé par la puissance publique, et générait légitimement des craintes parmi nos concitoyens. Il pouvait présenter des risques pour les libertés publiques. Le gouvernement a associé la CNIL à sa conception, et a tenu compte de ses conseils. Notre collège a considéré que l'application pouvait être maintenue en vigueur, compte tenu des garanties intégrées : volontariat, strict respect du principe de minimisation des données, absence de géolocalisation.

Cependant, l'évaluation a montré que l'application n'a eu qu'une utilité marginale dans le contact tracing. Nous devons en tirer des leçons pour l'avenir, en déterminant notamment le moment auquel un outil de ce type, à supposer qu'il soit nécessaire, est le plus utile. L'est-il au début de la circulation d'un virus particulièrement dangereux pour identifier un pic de contaminations et en tirer des conséquences ? Doit-il être utilisé lors de périodes particulièrement actives pour compléter les enquêtes réalisées manuellement, lorsqu'elles sont déjà fortement mobilisées ? Nous ne savons pas encore répondre à ces questions.

Il ressort des avis du Conseil d'État de juillet et décembre 2021 que les passes sanitaires et vaccinaux avaient pour objectifs principaux de réduire la probabilité de développer et de transmettre la covid-19 pour les personnes exerçant des activités à risque, et de limiter les formes graves de la maladie afin d'alléger la pression sur les systèmes hospitaliers. Faute d'outils pour distinguer la part de réduction des risques de transmission attribuable au passe sanitaire, et en l'absence de situations de référence comparables, l'évaluation révèle que le passe sanitaire a principalement participé à l'augmentation de la couverture vaccinale. Selon le rapport, c'est ce qui a contribué à réduire la propagation du virus et les formes graves, limitant ainsi la pression exercée sur les hôpitaux.

Si le bilan semble révéler leur utilité, je souligne que ces passes sanitaires, puis vaccinaux, sont particulièrement attentatoires aux libertés publiques. Ils ne doivent être réservés qu'à des situations extrêmes, pour un temps limité. Le Parlement doit marquer qu'il n'y a pas d'effet cliquet de ce point de vue.

Enfin, l'évaluation des systèmes d'information SI-DEP et Contact Covid ou ceux des agences régionales de santé (ARS), et de Vaccin Covid n'a fait état que d'éléments factuels et chiffrés portant sur la mise en place de chacun de ces systèmes d'information et de traitement dans leur mise en œuvre individuelle.

La création de SI-DEP semble avoir été légitime, même si la CNIL n'est historiquement pas favorable à la centralisation des fichiers servant à l'administration des soins de santé. Cette doctrine a pour justification la protection des données de santé des Français, particulièrement sensibles. En effet, une telle centralisation, intrusive, peut présenter des risques de mésusage et de divulgation, notamment accidentelle, et n'est pas sans conséquence.

Nous devons tout de même resituer cette discussion dans un contexte de progression de la numérisation de la société. Par ailleurs, une centralisation a pu être justifiée au vu des caractéristiques d'une crise sanitaire d'une telle violence, nécessitant une forte réactivité pour traiter et transmettre un très grand nombre de données. Le collège de la CNIL a considéré que dans ces circonstances particulières, l'architecture centralisée des systèmes d'information était admissible.

Je reste en revanche sur ma faim concernant les évaluations de Contact Covid et des systèmes d'information des ARS, principalement utilisés pour les enquêtes sanitaires. Je ne nie pas le principe de ces traitements, mais ils présentent des risques particuliers en termes de protection de la vie privée. Ils ont conduit à collecter et brasser une quantité colossale de données. Leur utilisation continue, avec une telle intensité et une telle densité, était-elle indispensable ? Elle était sans nul doute légitime, mais si nous sommes de nouveau confrontés à cette situation, nous devrons nous interroger sur une possibilité de calibrage plus fin. Le traitement pourrait varier selon le contexte. Lors de périodes de circulation intense du virus, un tel traitement impose toutefois de disposer de moyens suffisants pour collecter et exploiter efficacement les données. Il faut pouvoir mobiliser un grand nombre d'enquêteurs à former, et mener des enquêtes dans des délais contraints pour conserver la pertinence de la notification. Il n'est pas certain que tel ait été le cas, notamment au plus fort de la crise.

Sans pouvoir porter un jugement définitif, une analyse de la complémentarité des dispositifs mis en œuvre me semble nécessaire, à plus forte raison avant d'envisager une éventuelle refonte du cadre juridique applicable en période de crise. Il ne s'agit nullement de remettre en cause la légitimité de l'action sanitaire mise en place dans l'urgence, mais d'apprendre de cette période.

Dès le début de la crise, j'ai annoncé que la CNIL contrôlerait en continu les fichiers liés à sa gestion pour répondre au caractère exceptionnel de la situation, et au vu de la sensibilité des données traitées. Ce contrôle a mobilisé énormément de ressources, mais a contribué à la confiance de nos concitoyens à l'égard des services publics. Ces vérifications ont principalement porté sur l'information des personnes, la sécurisation des données et leur durée de conservation. Ainsi, depuis 2020, la commission a procédé à 52 contrôles. De nouvelles vérifications seront diligentées au terme de l'alimentation de Contact Covid, prévue le 31 janvier 2023.

Plus globalement, les investigations ne s'achèveront qu'au terme de l'utilisation des fichiers. Nous nous attacherons notamment à vérifier que les différents systèmes d'information ne sont plus alimentés et que les données sont bien supprimées à l'issue de leur durée de conservation.

Cette démarche de contrôle continu des outils de gestion de l'épidémie est sans équivalent dans l'histoire de notre institution. Elle a permis de s'assurer de la mise en conformité des systèmes d'information en temps réel. Il en résulte un bilan globalement positif en matière de conformité RGPD. Comme l'a souligné le collège de la CNIL dans les cinq avis vous ayant été adressés, aucun dysfonctionnement structurel majeur des systèmes d'information créés pour lutter contre la crise sanitaire n'a été relevé.

Lorsque la CNIL a identifié des difficultés, notamment à la suite de violations de données, des modifications techniques ont été opérées, et les textes ont été ajustés. Etaient notamment concernés l'information des personnes, l'encadrement du recours à des prestataires privés ou l'amélioration des mesures de sécurité.

Cette crise a constitué un puissant accélérateur de la diffusion numérique dans le domaine de la santé. La place des plates-formes en ligne de prise de rendez-vous et l'essor considérable de la téléconsultation l'illustrent. Elle a également éclairé sous un jour nouveau les questions de souveraineté numérique, et les risques en matière de sécurité des systèmes d'information, tels que l'augmentation des cyberattaques ou la faiblesse de la culture numérique chez certains acteurs.

La CNIL n'est pas compétente pour dire si les dispositifs existants suffisaient pour lutter contre une pandémie. Pour autant, les nombreux textes adoptés pendant la crise ont témoigné de l'insuffisance ou de l'incomplétude du cadre juridique antérieur à cette période. Ils ont répondu à la nécessité, dans certains cas précis, de déroger au secret médical, et ont mis en exergue les besoins de transparence quant au fonctionnement de dispositifs nouveaux.

Par ailleurs, une évaluation globale de ces dispositifs semble s'imposer afin de s'assurer de leur complémentarité, à plus forte raison avant d'envisager toute éventuelle pérennisation.

À la lumière de ces trois dernières années, il convient de procéder à un état des lieux objectif de l'existant, et d'engager une réflexion sur le cadre juridique actuel et les évolutions nécessaires. Une telle évaluation s'impose avant la fin de ce mois, en application de l'article 5 de la loi du 30 juillet 2022, bien que celle-ci précise qu'elle ne concerne que les pandémies, et non les épidémies d'autres catastrophes sanitaires.

En outre, une réflexion sur l'opportunité de maintenir certains dispositifs en dehors des périodes de crise doit aussi être engagée. Ce débat permettra de cranter dans la loi un certain nombre de garanties assurant un équilibre entre l'objectif de protection de la santé publique et le respect des libertés fondamentales des personnes, l'accès au soin et la protection des données à caractère personnel. Il conviendra de prendre en compte les spécificités de chaque crise afin que les atteintes portées aux droits et libertés des personnes concernées constituent des mesures nécessaires et proportionnées. Par voie de conséquence, il s'agit de déterminer les critères spécifiques de création ou d'activation des systèmes d'information.

Cette vigilance plaide pour l'élaboration d'un dispositif à géométrie variable. En tout état de cause, seules des situations d'une ampleur ou d'une gravité particulières devraient autoriser la mise en œuvre de traitements spécifiques, a fortiori s'ils sont dérogatoires au droit commun et attentatoires aux droits et libertés.

Pour ces raisons, je demande que la CNIL soit saisie de tout projet de loi relatif à la protection des données à caractère personnel et à leur traitement, quand bien même la mise en œuvre des traitements en cause devrait être précisée par voie réglementaire.

Enfin, cette crise a confirmé qu'il était possible de mettre en œuvre des traitements de données de manière efficace, rapide et respectueuse de la vie privée. Loin de constituer des freins à la gestion de la crise sanitaire, le RGPD et la loi Informatique et libertés ont garanti la mise en œuvre effective de dispositifs respectueux des droits et libertés des personnes. Ils ont ainsi participé à une transparence de l'action de l'État, qui a contribué, je l'espère, à limiter la défiance de nos concitoyens à l'égard des systèmes d'information.