Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

COVID-19 : L’avis de l’AFCDP sur le projet de décret encadrant les systèmes d’information mis en œuvre pour le suivi des malades

mai 2020 par AFCDP

Dans le cadre du déconfinement enclenché ce lundi 11 mai, le Gouvernement a décidé de mettre en place une politique de dépistage du virus COVID-19, qui passe notamment par deux systèmes d’information, “SI-DEP” et “Contact COVID”, mis en vigueur par un décret paru au journal officiel ce mercredi 13 mai.

L’AFCDP prend acte de l’application du transfert de données à caractère personnel sur ces systèmes d’informations, reconnaît la pertinence de ce dispositif sensible, mais rejoint la CNIL quant à la nécessité de limiter la quantité et les catégories de données recueillies, leur durée de conservation, et quant au contrôle régulier de ses finalités afin qu’elles respectent le cadre strict prévu par la loi.

Un dispositif conforme au RGPD ...

Pour rappel, le Décret n°2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions, autorise l’adaptation et la création de traitements de données à caractère personnel destinées à permettre l’identification des chaînes de contamination du virus COVID-19 et à assurer le suivi et l’accompagnement des personnes. Il définit à ce titre les responsables de traitements, les catégories de données traitées, les accès, les destinataires, ainsi que leur durée de conservation et les modalités d’exercice, par les personnes concernées.

En tant qu’association représentative des DPD (Délégués à la Protection des Données, ou DPO pour Data Protection Officer), l’AFCDP a bien sûr suivi de très près ce projet de loi et les décrets d’application liés.
Ainsi que la CNIL, l’association reconnaît que le dispositif est conforme au Règlement Européen sur la Protection des Données (RGPD) et à la Loi Informatique et Libertés, et que les engagements en terme de limitation de durée (seulement 3 mois), de limitation d’accès aux données selon les fonctions des membres des “brigades sanitaires”, et de droits d’opposition, d’information, d’accès et de rectification des données, rassurent la profession.

… Mais qui soulève encore des interrogations

Cependant, l’AFCDP alerte sur la nature et la liste des données transmises à ces plate-formes. A cet égard il semblerait que les précisions attendues par la Cnil n’aient pas toutes été portées au décret. D’autre part, la pseudonymisation des données pour certains usages, notamment dans le cadre du Health Data Hub (données médicales utilisées à des fins de recherche) n’est pas une anonymisation et rend donc possible une réversibilité avec réidentification.

L’AFCDP rappelle donc la nécessité de garanties plus précises et de contrôles réguliers du respect de la finalité du dispositif, ce qui est d’ailleurs le rôle des DPO dont les missions principales sont d’informer, de conseiller les organisations, de gérer les processus de protection des données, et de réaliser des audits et analyses d’impact.

L’AFCDP, en tant qu’association représentative des DPO, souhaiterait être membre du comité de suivi et de contrôle de ce dispositif, voire même du GIP Health Data Hub. Sachant que le DPO est l’outil prévu par la loi pour assumer la protection des données à caractère personnel, l’association devrait, plus généralement, être systématiquement intégrée dès qu’un sujet concerne les données privées et que la société civile est consultée.


À propos de l’AFCDP - www.afcdp.net
L’AFCDP, créée dès 2004, regroupe plus de 6 ?000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer).
Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.


Voir les articles précédents

    

Voir les articles suivants