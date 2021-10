« Pass Sanitaire » : Les Délégués à la protection des données de l’AFCDP témoignent

octobre 2021 par AFCDP

Afin de sortir de la crise sanitaire et vaincre l’épidémie, le Gouvernement a décidé cet été la mise en place de nouvelles mesures. Parmi elles, l’instauration du « pass sanitaire » visant à vérifier le statut vaccinal, le résultat d’un test négatif ou le certificat de rétablissement d’une personne et ce, préalablement, à l’accès à un lieu ou évènement soumis au « pass ».

Ce dispositif numérique, en ce qu’il soulève des questionnements relatifs à la protection des données, a suscité de nombreuses interrogations chez les DPD/DPO, professionnels de la protection des données personnelles, quant à sa mise en œuvre au sein des structures qu’ils accompagnent.

Un outil numérique suscitant des questionnements techniques et juridiques chez les DPD/DPO

Il ressort de l’analyse des publications dédiées à ce sujet sur le réseau social privé de l’AFCDP, les nombreuses difficultés et questionnements auxquels font face les professionnels de la protection des données dans la mise en œuvre du « pass sanitaire ». L’une d’entre elles, fondamentale, concerne les lieux dans lesquels ce dispositif numérique doit être mis en œuvre. Nombreux sont, en effet, les DPD/DPO à s’interroger sur les exemptions (activités politiques, syndicales ou culturelles), à se demander si le « pass sanitaire » doit être mis œuvre au sein de leur structure (par exemple au sein des résidences séniors non médicalisées) ou lors d’évènements organisés en interne (lors des séminaires professionnels).

La mise en œuvre des contrôles est, elle aussi, source d’interrogations pour lesquelles les DPD/DPO ont du mal à obtenir une réponse claire. Ces interrogations sont principalement de deux ordres, pratique et juridique. Sur le plan pratique, les DPD/DPO, en charge de la conformité au RGPD de leurs structures échangent et débattent sur l’implémentation d’un processus de contrôle efficace et respectueux du cadre réglementaire. Sur le plan juridique, des sujets tels que le « consentement des personnes habilitées à contrôler » ou la notion de « durée de conservation » semblent problématiques, peu clairs pour les DPD/DPO.

Un outil numérique, impactant l’activité des DPO de toute structure

L’entrée en vigueur de la loi L 2021-1040 du 5 août 2021, relative à la gestion de la crise sanitaire a mis à la charge de certains employeurs, l’obligation de contrôler la validité du « pass sanitaire » des personnes placées sous leur responsabilité (salariés).

L’extension, depuis le 9 août 2021, du « pass sanitaire », à un certain nombre d’activités et secteurs économiques, a eu pour conséquence d’impacter les missions des délégués à la protection des données. Ce constat est corroboré par l’analyse des commentaires des membres de l’AFCDP. En effet, les problématiques liées à la mise en œuvre du « pass sanitaire » semblent impacter les DPD/DPO de structures aux secteurs d’activité très différents (BTP, médico-social, santé, collectivités locales).

Que va-t-il rester de cette expérience post crise ?

L’AFCDP se pose la question de ce qu’il restera des mesures de protection des données personnelles mises en place par les DPD/DPO des différents secteurs pendant la période de pandémie.

« S’il est légitime et rassurant que la mise en place au sein des organisations du “pass sanitaire” soulève autant de questions juridiques, techniques et organisationnelles chez les responsables et chargés de la protection des données personnelles, nous nous posons la question de ce qu’il en restera une fois la crise sanitaire révolue. Y aura-t-il une meilleure mise en œuvre au sein des organisations ? Une meilleure prise de conscience de l’importance de considérer la protection des données personnelles dans tout projet interne ou externe ? Ou est-ce que ces enjeux resteront liés à des “mesures exceptionnelles” ? », soulève Paul-Olivier Gibert, Président de l’AFCDP.

« Cette crise sanitaire aura également révélé que les systèmes d’information de santé ne sont pas épargnés par les attaques informatiques massives. En effet, l’Assistance Publique-Hôpitaux de Paris (AP-HP) a subi une fuite de données concernant 1,4 million de personnes testées contre la COVID-19, ainsi que l’hôpital de DAX qui a eu la totalité de son système d’information mis hors service par un rançongiciel. Enfin, nous avons également constaté que certains acteurs pouvaient participer à notre système de soins sans respecter les règles élémentaires en matière de protection des données (les résultats de tests Covid de plus de 700 000 personnes étaient accessibles en ligne sur le site de Francetest, société transférant les résultats de tests réalisés en pharmacie vers la plateforme gouvernementale SI-DEP). Ainsi en 2021, alors que la Cnil s’attend à un doublement des cas de violations de données personnelles, les DPD/DPO doivent être, plus que jamais, impliqués dans tous les projets afin de renforcer la sécurité globale des traitements de données de santé. » ajoute Nicolas Samarcq, Administrateur de l’AFCDP.