Conditions générales d'utilisation et libertés fondamentales : Les cas Whatsapp et Twitter
Entre les nouvelles conditions d’utilisation de l’application de messagerie WhatsApp et le bannissement du futur ex-Président américain de la majorité des réseaux sociaux, les modalités d’utilisation des plateformes numériques sont remises en cause.
Entre les nouvelles conditions d’utilisation de l’application de messagerie WhatsApp et le bannissement du futur ex-Président américain de la majorité des réseaux sociaux, les modalités d’utilisation des plateformes numériques sont remises en cause.
En principe, chaque site Internet qu’il soit marchand ou non, doit se doter de Conditions générales d’utilisation (CGU). Ce document permet de définir et d’encadrer les modalités d’accès et de navigation du site web, de déterminer les droits et obligations de chaque acteur interagissant sur le site ainsi que les sanctions en cas de non-respects des règles prescrites.
Pour rappel, la rédaction de CGU se fait conformément aux dispositions légales en vigueur et ce contrat est opposable aux utilisateurs à condition qu’ils l’acceptent lors de leur visite sur le site. En général, l’acceptation des CGU est effectuée par l’intermédiaire d’une case à cocher, type « En cochant cette case, vous certifiez avoir lu et accepté sans réserve les présentes ».
Les modalités d’exercice des plateformes numériques semblent poser un réel problème et notamment au regard des libertés fondamentales des individus. On en constate deux exemples à travers le cas de Twitter et WhatsApp.
Twitter vs Trump : liberté d’entreprendre vs liberté d’expression ?
Après la suppression ce week-end, d’environ 70 000 comptes propageant les idées du mouvement QAnon (une organisation complotiste pro-Trump), c’est au tour du compte officiel du Président américain de se voir bloqué de façon définitive par Twitter.
Célèbre pour ses tweets chocs, Donald Trump a souvent été rappelé à l’ordre pour ses publications. Cependant en tenant des propos incitant à la violence, qui auraient encouragé l’invasion du Capitole, le 6 janvier dernier, perturbant ainsi la certification de la victoire de Joe Biden, les dirigeants de Twitter ont décidé d’agir. Face à ce nouvel excès, l’oiseau bleu a donc bloqué de façon définitive l’accès du protagoniste à son compte, ce qui a conduit Facebook, Instagram ou encore Snapchat à faire de même en suspendant le compte du président américain.
Cependant, depuis, ces géants d’Internet sont accusés de censure privée. Pour beaucoup et notamment la classe politique française, les GAFAM disposent d’un réel pouvoir leur permettant d’outrepasser leurs droits en contrôlant le débat public et même en restreignant la liberté d’expression, fondement de la démocratie.
En effet, selon le Secrétaire d’État de la transition numérique et des communications électroniques, Cédric O même si l’acte de Twitter paraît justifié, la régulation du débat public ne doit pas dépendre de la seule volonté des plateformes numériques.
« La régulation du débat public par les principaux réseaux sociaux au regard de leurs seules conditions générales d’utilisation alors qu’ils sont devenus de véritables espaces publics et rassemblent des milliards de citoyens, cela semble pour le moins un peu court d’un point de vue démocratique ».
Derrière cette position à l’encontre de Twitter, le secrétaire d’État réaffirme la nécessité d’encadrer l’activité des réseaux sociaux, notamment à travers le Digital Services Act, ce règlement européen qui est actuellement en discussion et que le gouvernement français souhaite transcrire au niveau national dans le cadre du projet de loi « confortant les principes de la République ».
Censure arbitraire ou encadrement de la liberté d’expression de la part des plateformes numériques ?
Pour rappel, les réseaux sociaux tels que Twitter, Facebook ou Google sont considérés comme offrants des services d’hébergement définis à l’article 14 de la directive 2000/31/CE, « directive sur le commerce électronique », ainsi ils mettent à disposition un service consistant à « stocker des informations fournies par un destinataire du service ». En droit interne, l’article 6-I-2 de la LCEN, qui transpose cette directive, définit l’hébergeur comme toute personne physique ou morale qui assure « même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ». Ainsi conformément à ces dispositions, les hébergeurs ne disposent pas d’une obligation générale de surveillance et ne sont donc pas responsables du contenu posté par leurs utilisateurs.
Néanmoins la jurisprudence et les divers politiques les conduisent à changer de positionnement et à contrôler de plus en plus le contenu qu’ils accueillent. De ce fait, ils disposent d’une obligation minimum de surveillance, qui les oblige à retirer les contenus manifestement illicites qui leur ont été signalés. (CJUE, 3 oct. 2019, Facebook Ireland Limited c/ Eva Glawischnig-Piesczek, aff. C-18/18 )
Au-delà de cette obligation légale, étant des entités privées, les plateformes numériques ont le droit de modérer les publications faites par leurs utilisateurs au regard de leurs conditions d’utilisation. En effet, il s’agit d’entreprises privées ayant des contrats de droit privé, ainsi même si le réseau social Twitter est un fervent défenseur de la liberté d’expression, en cas de non-respect de ses CGU il s’autorise à restreindre la possibilité d’un utilisateur à user de ses services.
« Nous nous réservons le droit de supprimer tout Contenu qui violerait l’Accord d’utilisation, parce qu’il constituerait – par exemple - une violation de droits d’auteur ou de marques de commerce ou tout autre détournement de la propriété intellectuelle, une appropriation illicite de droits de propriété intellectuelle, une usurpation d’identité, une conduite illicite ou un harcèlement. »
En effet, les réseaux sociaux ont permis la création d’une zone libre et « gratuite » d’échanges entre utilisateurs sur Internet, permettant l’exercice de leur liberté d’expression (article 11 de la Déclaration des Droits de l’Homme et du Citoyen et 10 de la Convention européenne des Droits de l’Homme). Généralement c’est sur ce principe même de liberté d’expression que jouent les plateformes numériques pour offrir leurs services aux internautes. Cependant n’étant pas considéré comme un droit absolu, la liberté d’expression peut être restreinte dans certains cas, notamment :
- en cas de provocations aux crimes et délits, de diffamation et d’injure (article 23 et s. de la loi sur la liberté de la presse du 29 juillet 1881) ;
- en cas d’atteintes portées à la vie privée ou à la présomption d’innocence (art. 9 et 9-1 du Code civil).
Il pourrait être donc logique de voir un réseau social user de son pouvoir de modération pour supprimer ou bloquer un contenu contrevenant à une des dispositions légales citées, qui sont pour la plupart reprises dans les CGU de la plateforme numérique.
Outre-Atlantique, les plateformes de la Silicon Valley disposent d’une plus grande liberté dans la modération de leur contenu conformément au texte fédéral section 230 du Communications Decency Act. Alors que l’alinéa c.1 dispose qu « aucun fournisseur ou utilisateur d’un service informatique interactif ne doit être traité comme l’éditeur ou l’auteur d’une information provenant d’un autre fournisseur de contenu informatif ».
Le second alinéa exonère de toute responsabilité, les fournisseurs de « toute mesure prise volontairement et de bonne foi pour restreindre l’accès ou la disponibilité de matériel que le fournisseur ou l’utilisateur considère comme obscène, obscène, lascif, dégoûtant, excessivement violent, harcelant ou autrement répréhensible, que ce matériel soit ou non protégé par la constitution ».
Par conséquent, la suspension du compte du Président sortant par Twitter pourrait de ce point de vue et malgré les contestations, être légitime.
Mais les opérateurs privés sont-ils légitimes à porter ce type de responsabilité ? S’ils retirent ça ne va pas, s’ils ne retirent pas ça ne va pas … voilà un métier bien compliqué qui doit sans aucun doute composer au regard des évolutions de la société dans laquelle il opère… la liberté d’expression est un droit qui s’apprécie à l’aune du pays, de son histoire, de sa culture …
WhatsApp : de nouvelles conditions dangereuses pour les données ?
À partir du 8 février 2021, les utilisateurs de l’application WhatsApp vont devoir accepter les nouvelles CGU et politique de confidentialité afin d’accéder au service de la messagerie.
En effet, certaines données comme par exemple les noms, numéros de téléphone des utilisateurs et de leurs contacts, photos de profil ainsi que le statut indiquant la dernière connexion, l’adresse IP seront partagées avec les autres entités du géant Facebook, notamment Instagram et Messenger. Le groupe précise néanmoins, que disposant d’une messagerie chiffrée de bout en bout, le contenu des messages c’est-à-dire texte, photos et vidéos, seront exclus de ce partage.
Cette pratique n’est pas nouvelle, car depuis 2016 le partage de ces données entre la maison-mère et la filiale était possible cependant WhatsApp donnait le choix aux utilisateurs de s’opposer ou non au partage de ces informations.
Face à cette annonce un vent de panique a soufflé sur les utilisateurs de l’application, les poussant à télécharger massivement d'autres applications de messagerie afin de préserver la confidentialité de leurs données personnelles. L’application Signal s’est ainsi retrouvée en haut du classement des applications les plus téléchargée en France et dans le reste de l’Union européenne, car elle assure ne partager aucune des données personnelles de ses utilisateurs à l’exception des numéros téléphoniques.
Derrière cette évolution, se cache une réelle volonté économique de monétiser l’application afin que les annonceurs aient la possibilité de contacter leurs clients via la messagerie et même d’y vendre directement leurs produits. En effet, seules les données répondant à un objectif professionnel c’est-à-dire avec des entreprises utilisant l’application tel un moyen de communication avec leurs clients seront soumises à ce partage de données. Néanmoins, chaque utilisateur devra tout de même accepter la nouvelle politique d’utilisation de WhatsApp.
Réel changement pour les citoyens européens ?
Alors que le business des données personnelles des utilisateurs est l’essence même des géants du numérique, le Règlement général sur la protection des données assure la protection de la vie privée des citoyens européens.
Selon le texte européen, le partage de données à caractère personnel est autorisé entre une filiale et sa maison-mère à condition que l’utilisateur en ait été informé mais surtout y consent librement. Alors que l’article 4 du texte européen précise que le consentement doit être « libre, éclairé, spécifique et non univoque », le Comité européen de la protection des données rappelle que « Si le consentement est présenté comme une partie non négociable des conditions générales, l’on considère qu’il n’a pas été donné librement ». En l’espèce, sans acceptation des CGU, pas d’accès à la messagerie pour les utilisateurs.
Ainsi si le consentement n’est pas le fondement juridique utilisé, il semblerait que le groupe Facebook se soit fondé sur l’intérêt légitime pour procéder au partage des données de ses utilisateurs. Pour ce faire il doit trouver un juste équilibre entre ses intérêts au traitement des données et les droits et intérêts des utilisateurs sur les données traitées. C’est ce qui explique qu’une simple demande d’acceptation des CGU est suffisante et qu’en retour WhatsApp ne fournisse pas le service « business » aux personnes n’ayant pas accepté.
Cependant pas sûr, que les autorités de contrôle valident les CGU et on peut s’attendre à une nouvelle opposition entre Facebook et les gendarmes des données personnelles.
En dehors de l’Union européenne et du Royaume-Uni, les utilisateurs WhatsApp seront dans l’obligation d’accepter les CGU et donc le partage de leurs données au sein du groupe Facebook. Ils craignent ainsi la revente de leurs données à des annonceurs publicitaires aux fins de création de profils ciblés.
Il est peut-être là le prix à payer de ces applications « gratuites » … une utilisation en contrepartie de nos données. Si ce n’est certes pas nouveau, l’acculturation constante de la population sur la question du sort des données personnelles commence peut-être à avoir des effets…
Sources :
Conditions générales d’utilisation de Twitter
Conditions générales d’utilisation de WhatsApp
Siècle digital : La suspension de Trump sur les réseaux sociaux soulève une question fondamentale
NextInpact : DSA, plateformes et moteurs : le projet d'amendement du gouvernement
Règlement général sur la protection des données
Directive 2000/31/CE (« directive sur le commerce électronique »)
Loi pour la confiance dans l’économie numérique
CJUE, 3 oct. 2019, Facebook Ireland Limited c/ Eva Glawischnig-Piesczek, aff. C-18/18
La protection des libertés fondamentales face au suivi de la pandémie COVID-19
La CNIL s’est prononcée sur un projet de décret autorisant la création d’un système d’information (SI) « VACCIN-COVID » où seraient traitées des données personnelles afin de gérer et suivre la campagne de vaccination contre la COVID-19.
Voilà déjà quelques jours que la campagne de vaccination anti-COVID-19 a débuté. En France, comme dans de nombreux autres pays européens, le Gouvernement est vivement critiqué pour sa lenteur. On peut néanmoins noter de précieuses informations quant à la protection des données personnelles dans le cadre de cette campagne et à la garantie du respect des droits et libertés fondamentales des patients.
Revenons au 10 décembre 2020 lorsque la CNIL s’est prononcée sur un projet de décret autorisant la création d’un système d’information (SI) « VACCIN-COVID » où seraient traitées des données personnelles afin de gérer et suivre la campagne de vaccination contre la COVID-19.
La CNIL est ainsi venue encadrer ce traitement en adressant au Ministre de la santé des recommandations visant à assurer la conformité du traitement à la règlementation en vigueur.
Le décret autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la COVID-19 est entré en vigueur le 26 décembre 2020.
Le 30 décembre 2020, la CNIL a pris acte des améliorations apportées au décret, à la suite de ses recommandations.
Il est important de noter que la vaccination contre la COVID-19 n’est pas obligatoire en France, à ce jour. En effet, les seuls vaccins obligatoires sont limitativement énumérés aux articles L3111-1 et suivants du Code de la santé publique.
Le fait que le VACCIN COVID ne soit pas obligatoire en l’absence de modifications législatives en ce sens, participe au respect du droit à l’intégrité de la personne, c’est-à-dire notamment le droit de donner son consentement libre et éclairé dans le cadre d’actes médicaux. Ce principe est garanti à tout citoyen, conformément à la Charte des droits fondamentaux (article 3).
Le Gouvernement est d’ailleurs venu mettre en avant l’importance de la traçabilité du recueil du consentement lors de la campagne de vaccination, dans son guide à destination du personnel de santé habilité à administrer le vaccin anti-COVID. :
« Il est indispensable d’assurer la traçabilité du recueil du consentement. L’ensemble de la procédure (consultation pré-vaccinale, consentement, vaccination, suivi) est inscrit dans le dossier médical du patient et retracé dans le système d’information de suivi de la vaccination (VACCIN-COVID). »
A titre d’exemple, en Espagne, la vaccination reste certes volontaire mais le Ministre de la Santé a indiqué que le Gouvernement allait tenir un registre des personnes refusant de se faire vacciner contre la COVID-19, fichier amené à être partagé avec d’autres pays européens.
1) Sur les finalités poursuivies (article 1 du décret)
Le SI « VACCIN-COVID » vise à :
- organiser la vaccination des personnes,
- organiser le suivi et l'approvisionnement en vaccins et consommables,
- organiser la production d'informations à destination des personnes vaccinées,
- organiser la mise à disposition de données relatives à la vaccination à des fins de calcul d'indicateurs et de recherche,
- organiser un suivi de pharmacovigilance ainsi que la prise en charge financière des actes liés à la vaccination.
Le projet de décret prévoyait également comme finalité de traitement, l’identification et l'orientation vers un parcours de soins adapté. Or, la CNIL a demandé au Gouvernement de préciser cette notion, ce qui fut chose faite. Le Gouvernement a ainsi indiqué qu’il s’agissait d’orienter les personnes souffrant d'effets indésirables dus à la vaccination.
La CNIL a alors constaté que les finalités du traitement étaient clairement déterminées, explicites et légitimes, et ce conformément à l’article 5 du RGPD.
L’utilisation par les autorités publiques du SI « VACCIN-COVID », comme de l’application #TousAntiCovid, est donc strictement encadrée par la législation européenne.
2) Sur les destinataires des données (article 3 du décret)
La CNIL rappelle que chaque responsable de traitement doit définir un profil fonctionnel de destinataire, strictement limité à sa mission, afin de garantir que seules les personnes habilitées et soumises au secret professionnel peuvent accéder aux données de « VACCIN-COVID ».
S’agissant du partage de ces données entre différents systèmes d’information détenus par des autorités publiques, la CNIL a indiqué que les responsables de traitement de chaque SI devaient être clairement indiqués :
« Le ministère devrait mentionner la liste des traitements et des systèmes d'information dans lesquels les données du SI « VACCIN-COVID » seront appelées à figurer, les catégories de données transmises pour chacun de ces traitements ou systèmes, ainsi que les organismes responsables de ces traitements. Dans l'hypothèse où il n'entendrait pas compléter le décret sur ce point, la Commission invite le ministère à diffuser ces informations, par exemple en les rendant publiques sur son site web. »
La CNIL précise que le Gouvernement ayant signalé souhaiter recourir à des sous-traitants, la même logique de transparence vis-à-vis des personnes concernées trouve à s’appliquer : la CNIL invite le Gouvernement à mentionner expressément le recours à des sous-traitants dans le décret ou sur son site web, ainsi que la liste des sous-traitants.
Cette volonté de la CNIL est dans la droite ligne de ce qui est imposée aussi aux personnes morales : le responsable de traitement doit conclure un contrat de protection des données avec ses sous-traitants. Ces derniers sont soumis aux obligations de l’article 28 du RGPD. Cette règle permet notamment au responsable de traitement de contrôler la conformité de ses sous-traitants en les auditant et d’ainsi garantir la bonne protection des données des personnes concernées quand les données sont confiées à un tiers.
Ainsi, l’encadrement des contrats avec les prestataires par le RGPD participe au respect de la vie privée et de la protection des données personnelles, et ce conformément à la Charte des droits fondamentaux (article 7 et 8) et à la Convention européenne de sauvegarde des droits de l’Homme dite CESDH (article 8).
3) Sur les données pseudonymisées (article 3 du décret)
Ces données pourront être transmises aux organismes suivants :
- pour suivre la couverture vaccinale et organiser la vaccination : à l’agence nationale de la santé publique et aux agences régionales de santé ;
- à des fins statistiques : à la direction de la recherche, des évaluations, des études et des statistiques ;
- dans le cadre de l’urgence sanitaire et pour améliorer les connaissances sur le virus : à la plateforme de données de santé – Health Data Hub et à la CNAM.
La CNIL relève que la liste des données pseudonymisées n’est pas détaillée dans le projet de décret.
Or, conformément au principe de minimisation énoncé à l’article 5 du RGPD, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire (au regard des finalités) peuvent être transmises à des destinataires.
La CNIL invite donc le Gouvernement à préciser la liste des données pouvant être transmises.
Au vu des enjeux pour les droits et libertés fondamentales des personnes concernées par la pseudonymisation de leurs données, le Gouvernement s’est engagé à transmettre à la CNIL une analyse d’impact relative à la pseudonymisation.
L’établissement clair et précis des catégories de destinataires de données, conformément aux exigences de l’article 13 du RGPD, garantissent l’information éclairée des personnes concernées et l’absence d’ingérence d’autorités non habilitées de prime abord.
Et ce, contrairement à ce que l’on note actuellement à Singapour où les autorités policières peuvent désormais accéder aux données collectées par l’application « Trace Together » dans le cadre d’enquête criminelles. Pourtant, l’application avait été développée prima facie uniquement pour lutter contre la pandémie COVID-19. Nous reviendrons sur ce point en fin d’article.
4) Sur le transfert de données hors de l’Union
Aucune donnée ne sera transmise hors de l’Union européenne, garantissant ainsi la pleine protection des données, accordée par la législation européenne, sans risque d’ingérence par des autorités étrangères.
Il est néanmoins souhaitable de connaître l’hébergeur du SI « VACCCIN-COVID », afin de ne pas être face à une filiale d’une entreprise américaine, comme ce fut le cas pour la Plateforme de données de santé (hébergée par Microsoft).
5) Sur les droits garantis (article 5 du décret)
Les personnes concernées disposeront d’un droit d’accès, de limitation et de rectification, conformément aux exigences du RGPD.
Un droit d’opposition et un droit à l’effacement pourront également être exercés dans l’hypothèse où la vaccination n’a pas encore eu lieu. Ces droits ne pourront plus être exercés après le consentement à l’acte vaccinal car cela vise à garantir l’objectif d’intérêt public qu’est la pharmacovigilance.
Néanmoins, une personne concernée pourra tout de même exercer son droit d’opposition dans le cadre des données pseudonymisées transmises à la Plateforme de données de santé ou à la CNAM, même après avoir consenti à l’acte vaccinal, car ces traitements répondent à la gestion de l’urgence sanitaire (finalité vouée à disparaître à la fin de la période légale d’état d’urgence sanitaire) ainsi qu’à des besoins de recherches.
La CNIL insiste sur la nécessité d’informer clairement les personnes de leurs droits. Ce droit à l’information est un droit fondamental garanti non seulement par le RGPD mais également par la Charte des droits fondamentaux (article 11).
6) Des durées limitées (avis de la CNIL)
Là encore, le RGPD vient encadrer l’utilisation des données de santé par les autorités publiques. En effet, conformément au §39 du RGPD, le responsable de traitement doit définir des durées de conservation, limitées au strict minimum. Autrement dit, on ne peut pas conserver indéfiniment des données personnelles.
Ainsi, les données seront conservées pendant une durée de 10 ans à compter de leur collecte, sauf en cas de détection de risques nouveaux. Dans ce deuxième cas, les données seront conservées pendant une durée de 30 ans.
Ces durées sont justifiées par l’objectif de santé publique poursuivie par la collecte.
7) Sur l’information des personnes concernées (article 4 du décret)
Après avoir été invité par la CNIL a précisé la manière dont il entendait informer les personnes concernées, le Gouvernement a indiqué que les personnes répondant aux critères d’éligibilité au VACCIN-COVID, recevront un bon de vaccination comportant une mention d’information conforme aux exigences du RGPD. Chaque professionnel de santé recevra également une note d’information individuelle à ce sujet.
Là encore, le droit fondamental d’information est garanti.
Parallèle avec la politique de Singapour
De l’autre coté de la planète, à Singapour, l’application « Trace Together » (l’équivalent de notre « Tous anti Covid ») fait parler d’elle. En effet, si notre SI « VACCIN-COVID » ou notre application « Tous anti Covid » ne sont utilisés qu’à des fins de pharmacovigilance et/ou de gestion de l’urgence sanitaire, à Singapour la police peut désormais détourner les données collectées par l’application « Trace Together » afin de les utiliser dans le cadre d’enquêtes criminelles.
L’impact de ce détournement est colossal : aujourd’hui, 78 % de la population singapourienne a téléchargé l’application « Trace Together ».
Le succès du téléchargement de cette application est en partie due au fait que le Gouvernement singapourien avait indiqué que ce téléchargement serait probablement obligatoire pour quiconque souhaiterait se rendre dans un lieu public à compter de début 2021.
Singapour peut désormais mettre en place une surveillance de masse de sa population, via une application qui était de prime abord destinée à lutter contre la pandémie de Covid-19.
Si en France et en Union européenne, nous pouvons nous réjouir du nombre de garde fous législatifs et réglementaires qui protègent notre droit à l’information, nos données personnelles et plus généralement, notre vie privée. Il nous faut néanmoins rester attentifs puisque le Gouvernement a déposé le 21 décembre 2020 un projet de loi instituant un régime pérenne de gestion des urgences sanitaires.
Dans ce projet, le Gouvernement prévoit notamment la possibilité « de conditionner l’accès à certains lieux et l’exercice de certaines activités à la réalisation d’un dépistage ou à la prise d’un traitement préventif ou curatif d’un dépistage ou (de) la prise d’un traitement préventif ou curatif ». Si cette disposition venait à entrée en vigueur, la liberté fondamentale de circulation (article 2 de la CESDH), la liberté de réunion (article 11 CESDH) et le droit à l’intégrité de la personne (article 3 Charte des droits fondamentaux) pourraient s’en trouver amoindris.
En tout état de cause, les députés seront consultés, le Conseil constitutionnel sera consulté et ainsi, si ce projet venait à voir le jour, nous pourrions compter sur nos institutions pour venir encadrer et recadrer ces dispositions. Affaire à suivre !
Mise à jour du 22 janvier 2021 :
Pour rappel, dans la lutte contre la COVID-19, le Gouvernement a déployé 4 outils de traitement : les fichiers SI-DEP et Contact COVID, l’application TousAntiCovid et le SI VACCIN-COVID.
Le 21 janvier 2021, la CNIL a rendu un deuxième avis sur les conditions de mise en oeuvre de ces 4 traitements. Elle note notamment :
Contact COVID :
Traitement par la CNAM : des mauvaises pratiques résiduelles subsistent concernant les conditions d’authentification et la traçabilité des données. De plus, les données ne sont pas hébergées chez un tiers habilité à cette fin. Or les données de santé doivent obligatoirement être hébergées chez un tiers certifié.
Traitement par les ARS : la CNIL a invité une ARS à se conformer dans un délai d’un mois concernant les mesures de sécurité et durées de conservation. Des courriers de sensibilisation vont être adressés aux ARS sur le sujet.
TOUSANTICOVID : la CNIL constate la conformité de l’application en matière de protection des données mais urge le Gouvernement à développer des initiatives et des indicateurs permettant d’évaluer pleinement l’effectivité sanitaire du dispositif.
SI VACCIN-COVID : la CNIL procédera à des contrôles tout au long du mois de janvier 2021 et son prochain avis public fera état des résultats.
La CNIL a également alerté sur d’autres contrôles effectués dans la lutte contre la COVID-19 : les cahiers de rappel, présents dans certains établissements recevant du public. La CNIL a notamment constaté que certains établissements avaient utilisés ces cahiers de rappel à des fins de prospections commerciales, en violation du RGPD. La CNIL a donc issu un rappel à l’ordre à ces établissements.
La CNIL souhaite également rassurer les personnes concernées par les traitements liés à la pandémie en indiquant qu’elle procédera à des contrôles à l’issue de la mise en œuvre de tous ces traitements, pour s’assurer de la suppression effective des données.
Sources :
Guide de la vaccination pour les médecins, infirmiers et pharmaciens
Code de la santé publique, Chapitre Ier : vaccinations
Charte des droits fondamentaux