La protection des données de santé, un casse-tête pour les autorités et les particuliers

Depuis l’annonce de StopCoviD, l’application de traçage, plusieurs débats ont été initiés, menés et continueront de naître au fur et à mesure.

La question essentielle pour ne pas dire l’inquiétude au centre de taux surmenage n’est rien d’autre que la gestion des données de santé. Les données de santé sont des données personnelles qui permettent d’avoir certaines informations sur une personne en particulier.

Cet article va aussi vous intéresser : La protection des données personnelles à l’épreuve de la pandémie du coronavirus

Il peut s’agir de son état de santé mais encore plus. C’est-à-dire, des informations nominatives tels que des noms, des prénoms et mêmes des statuts matrimoniaux sans oublier la localisation géographique. Pour dire que parlant de données personnelles de santé, la nature délicate de la chose pousse certaines personnes en particulier les défenseurs des droits humains et les spécialistes de la sécurité informatique à réagir.

L’idée de l’application et l’objectif derrière ne sont pas mauvais en soi. Cependant, plusieurs réalités sont à prendre en compte. Comme le fait que tous les intervenants dans ce programme, pourraient avoir accès à l’ensemble des données qui seront collectées et gérées. Et les acteurs de cette chaîne de pistage à ce jour sont assez nombreux. On parle notamment de médecins, de pharmacies, de laboratoires, les services de santé de l’armée, d’établissement de santé, des assurances maladie, des communautés professionnelles territoriales dédiées à la santé et l’ensemble des structures qui ont été créé depuis les débuts de la pandémie pour lutter contre la maladie. Beaucoup trop d’intervenants pour toutes ces données. De quoi à rendre difficile une quelconque transparence dans la gestion de celles-ci.

Dans de telles conditions, appliquer certaines règles seraientt impossible. Même si d’un autre côté le conseil constitutionnel essaie d’élargir le champ d’application des principes existants en essayant d’inclure certaines ideaux de nécessité publique. L’institution juridique suprême notait à cet effet : « le champ des personnes susceptibles d’avoir accès à ces données à caractère personnel, sans le consentement de l’intéressé, est particulièrement étendu, cette extension est rendue nécessaire par la masse des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l’épidémie ». Dans le contexte actuel, il serait anticonstitutionnel si et si seulement des travailleurs sociaux prenais connaissance des fichiers appartenant à des individus sans leur consentement, car : « rien ne justifie que la communication des données à caractère personnel traitées dans le système d’information ne soit pas subordonnée au recueil du consentement des intéressés ».

Notons par ailleurs que le ministère de la Santé a mobilisé un groupe d’agents dénommé « brigades d’anges gardiens », leur objectif étant étant d’assurer le pistage des personnes détectées positives au coronavirus ainsi que les personnes avec lesquelles on pilote en contact. Pour assurer la sécurité des informations qui serait connecté sur les personnes impliquées dans ce pistage, les structures acteures devraient mettre en œuvre un moyen pour respecter la norme en vigueur à ce sujet, notamment le règlement européen 2016/679 du 27 avril 2016, où l’existence est faite aux intervenants : « respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée. À cette fin, une matrice d’habilitation définissant les droits d’accès en lecture et en écriture selon les profils des personnels habilités est un élément central de la sécurité du traitement ».

Cependant, le ministère de la Santé avait signifié à la Commission Nationale de l’Informatique et des libertés qu’il ne comptait pas reconfigurer les dispositifs de pistage pour limiter les accès pour le seul besoin des utilisateurs en raison « des contraintes opérationnelles rencontrées ». Une posture qui pour les juristes est totalement contraire aux règles du règlement général de la protection des données dans le cadre des « mesures techniques ou organisationnelles appropriées » (art. 5.1). En effet, vous en article 32. 2 la RGPD dispose que : « il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite ».

En outre, un autre point est mis en évidence concernant la gestion des données après sa collecte. C’est la centralisation des informations collectées. Pour les spécialistes, procéder ainsi expose grandement les personnes impliquées dans cette dynamique de pistage. Car cela permet très facilement les abus de la part de l’autorité en charge de cette collecte et de cette gestion. Dans le cas de l’application de traçage français, l’idée a été émise de crypter les informations quand bien même qu’elles seront stockées sur un serveur unique et centralisé. Une idée qui n’est certes pas parfaite, mais qui a le mérite d’être validée par la Commission Nationale de l’Informatique et des libertés, que le 24 avril 2020 écrivait ceci : « […] la conception de l’application StopCovid témoigne du souci de protéger la vie privée des personnes, notamment en évitant que soit centralisée dans un serveur une liste des personnes qui se déclarent malades ».

En dépit de toutes ces tentatives, il n’empêche que le problème demeure. Les informations des particuliers relatives à la santé n’ont pas encore trouvé un cadre technique et juridique pour assurer la protection des personnes qui sont liées.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage