icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2021-145 du 23 juin 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Suivi de l'évolution du SARS-CoV-2 de la Principauté » exploité par le Département des Affaires Sociales et de la Santé présenté par le Ministre d'État.

  • No. Journal 8545
  • Date of publication 02/07/2021
  • Quality 100%
  • Page no.

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.488 du 11 mai 2020 interdisant les licenciements abusifs, rendant le télétravail obligatoire sur les postes le permettant et portant d’autres mesures pour faire face à l’épidémie de COVID-19 ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 3.153 du 24 février 2011 rendant exécutoire le Règlement Sanitaire International (2005) adopté par la cinquante-huitième Assemblée Mondiale de la Santé le 23 mai 2005 ;

Vu l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies ;

Vu l’Ordonnance Souveraine n° 5.100 du 15 février 1973 sur l’organisation et le fonctionnement du Centre Scientifique de Monaco, modifiée ;

Vu la Décision Ministérielle du 24 février 2020 relative à la situation des personnes exposées ou potentiellement exposées au virus 2019-nCoV, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies, et son projet de modification ;

Vu la Décision Ministérielle du 23 mars 2020 relative à la déclaration obligatoire de la maladie COVID-19, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies, et son projet de modification ;

Vu la Décision Ministérielle du 14 mai 2020 relative aux actes pouvant être pratiqués par les secouristes de la Croix-Rouge Monégasque, les militaires de la Force Publique et d’autres catégories de personnes dans le cadre de la réalisation des examens de détection du virus SARS-CoV-2 et des tests rapides sérologiques, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies ;

Vu la Décision Ministérielle du 18 mai 2020 relative à la déclaration obligatoire du résultat des tests détectant les anticorps anti-SARS-CoV-2, l’ARN du virus SARS-CoV-2 ou ses antigènes, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies ;

Vu la Décision Ministérielle du 20 mai 2020 relative à la mise en œuvre d’un traitement d’informations nominatives destiné à permettre le suivi de la situation épidémiologique, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies ;

Vu la délibération n° 2020-84 du 18 mai 2020 de la Commission de Contrôle des Informations Nominatives portant avis sur le projet de Décision Ministérielle relative à la mise en œuvre d’un traitement d’informations nominatives destiné à permettre le suivi de la situation épidémiologique, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies ;

Vu la délibération n° 2021-1 du 13 janvier 2021 de la Commission de Contrôle des Informations Nominatives portant avis sur la consultation du Ministre d’État relative au projet de Décision Ministérielle modifiant la Décision Ministérielle du 20 mai 2020 relative à la mise en œuvre d’un traitement d’informations nominatives destiné à permettre le suivi de la situation épidémiologique, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies ;

Vu le projet de Décision Ministérielle relative au passe sanitaire, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du règlement sanitaire international (2005) en vue de lutter contre la propagation internationale des maladies ;

Vu la demande d’avis présentée le 21 juin 2021 par le Ministre d’État, concernant la modification du traitement automatisé d’informations nominatives ayant pour finalité « Permettre la gestion, le suivi et l’étude de la crise sanitaire due au SARS‑CoV-2 en Principauté » ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 23 juin 2021 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Depuis le début de la crise sanitaire liée à la COVID-19, le Ministre d’État prend en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies, des Décisions Ministérielles encadrant le fonctionnement de la Principauté en cette période spécifique.

La Commission a été saisie pour la première fois le 15 mai 2020 d’un projet de Décision Ministérielle relative à la mise en œuvre d’un traitement automatisé d’informations nominatives destiné à permettre le suivi de la situation épidémiologique, et a rendu son avis le 18 mai 2020.

En date du 28 mai 2020, la Commission a été saisie, en application de l’article 7 de la loi n° 1.165, du traitement ayant pour finalité « Suivi de l’évolution du SARS-CoV-2 de la Principauté », concrétisant les dispositions de la Décision Ministérielle susvisée.

Cette Décision Ministérielle a évolué suivant les aléas de la crise sanitaire, et la Commission a été saisie en fin d’année 2020 de l’intégration de la campagne de vaccins. D’autres Décisions Ministérielles ont été également publiées en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017, susvisée.

Toutes ces décisions ont conduit à étendre les fonctionnalités, voire les finalités, du traitement concerné qui, à la date de la présente saisine, est d’une dimension bien plus importante qu’en mai 2020.

En effet il contient aujourd’hui, outre les éléments initialement portés à la connaissance de la Commission, le suivi de la vaccination, la plateforme de prise de rendez-vous pour la vaccination, le suivi à domicile des malades, l’application mobile de consultation des résultats des tests, les éléments d’antécédents médicaux communiqués volontairement par les personnes testées dans ce qui est dénommé « cordage », ainsi que les développements nécessaires à la mise en œuvre du pass sanitaire (QR code, application de lecture desdits QR codes). Le quantum des données de santé ainsi collectées a donc considérablement augmenté.

À cela, viendra s’ajouter la gestion des cas contacts, qui n’est pas insérée dans la présente demande d’avis modificative mais qui est introduite dans les projets de Décisions Ministérielles dont la Commission est concomitamment saisie. S’il est indiqué au dossier que « la gestion des cas contacts n’est pas d’actualité mais pourra faire l’objet d’un traitement ultérieur soumis à la Commission », cette dernière estime vraisemblable eu égard à l’historique des choix de centralisation opérés par le Gouvernement qu’ils seront intégrés dans la même infrastructure technique.

La Commission regrette l’agrégation de toutes ces finalités en un seul traitement. À cet égard, elle rappelle que l’article 10-1 de la loi n° 1.165 dispose que « les informations nominatives doivent être : (…) collectées pour une finalité déterminée, légitime, explicite, et ne pas être traitées ultérieurement de manière incompatible avec cette finalité (…) ».

En outre, cet amoncellement de finalités est d’autant plus surprenant que la portée du traitement qui lui est soumis est bien supérieure à ses contours légalement définis dans la Décision Ministérielle en portant création.

Enfin, si la Commission comprend l’urgence dans laquelle sa saisine concernant la mise en œuvre du « passe » sanitaire en Principauté est, une nouvelle fois, effectuée, les modalités de ses contours n’ayant pas pu être arrêtées plus tôt eu égard aux questions transnationales en jeu, elle regrette que la CCIN ait dû analyser en moins d’une semaine les évolutions intervenues depuis plus d’un an sur le présent traitement.

Aussi, elle demande que le présent traitement soit dans les meilleurs délais scindé en des finalités distinctes et soumis à nouveau pour avis de la Commission, afin de pouvoir apprécier avec plus de temps et de précision ces traitements de santé aux enjeux majeurs de libertés publiques. La Commission détaillera plus avant les éléments du traitement qui nécessitent urgemment des précisions ou modifications.

I. Sur la finalité et les fonctionnalités du traitement

Le responsable de traitement indique vouloir modifier la finalité comme suit : « Permettre la gestion, le suivi et l’étude de la crise sanitaire due au SARS-CoV-2 en Principauté ». Si la Commission considère cette finalité plus adaptée suite aux nombreuses modifications intervenues depuis la saisine initiale en mai 2020, elle relève néanmoins que la finalité portée à la Décision Ministérielle du 20 mai 2020 qui a créé le présent traitement, n’a, elle, pas été modifiée.

Il concerne les nationaux, les résidents, les travailleurs (salariés, agents et fonctionnaires de l’État et de la Commune), les élèves scolarisés à Monaco, le personnel habilité de l’Administration et toute personne autorisée à réaliser l’examen.

À l’instar de sa délibération n° 2020-84, la Commission relève des éléments joints au dossier que sont également concernés les médecins traitants des personnes testées, les biologistes validant les résultats, et les représentants légaux des personnes concernées quand nécessaire. Elle rappelle ainsi que ces personnes doivent être également informées de leurs droits.

Elle relève en outre que sont également concernées par le traitement les personnes soumises à des « campagnes de tests », c’est-à-dire des tests effectués pour des évènements spécifiques ayant lieu en Principauté, tel que notamment le tournoi de tennis ; ces personnes (et les représentants de l’évènement à contacter) n’entrent pas dans le champ d’application de la Décision Ministérielle, qui ne concerne qu’une population déterminée en lien continu avec la Principauté pour effectuer un suivi de l’évolution du SARS-CoV-2 en Principauté. La Commission recueille toutefois les compléments d’information du Gouvernement indiquant que l’extension du périmètre des personnes concernées va être intégrée à la modification de la Décision Ministérielle du 20 mai 2020.

Par ailleurs, il est indiqué que « Le traitement a pour objectif :

-  De permettre le suivi des résultats des tests détectant les anticorps anti-SARS-CoV-2, l’ARN du virus SARS-CoV-2 ou ses antigènes (et le distinguer des autres virus) par le Département des Affaires Sociales et de la Santé ;

-  Création d’une plateforme de récupération des résultats de tests ;

-  De permettre la vaccination et son suivi ;

-  De réaliser des études épidémiologiques anonymisées ;

-  Le suivi des patients atteints par le virus ;

-  La gestion du passe sanitaire ;

-  De demander un passe sanitaire suite à une vaccination ou une rémission avant juillet 2021 ».

De manière plus détaillée, les fonctionnalités par « thématique » sont :

• En ce qui concerne l’application de gestion (back-office) :

   1. Gestion de patient :

-  Recherche d’un patient ;

-  Accès à la consultation du dossier patient ;

-  Création d’un nouveau patient ;

-  Accès à la modification du détail patient ;

-  Impression de l’étiquette patient ;

-  Accès à la gestion des doublons ;

-  Consultation des doublons ;

-  Recherche des tests des dossiers sensibles ;

   2. Suivi des tests : 

-  Gestion des tests ;

-  Consultation des actes ;

-  Gestion des actes ;

-  Impression de l’acte ;

-  Consultation des tests ;

-  Consultation des questionnaires ;

-  Gestion des questionnaires ;

-  Consultation des questionnaires tests ;

-  Gestion des questionnaires tests ;

-  Création du rapport du test et du certificat pour le pass sanitaire ;

-  Consultation de l’historique patient ;

-  Recherche des actes du jour ;

-  Départ du prélèvement ;

   3. Gestion paramètres et importations :

-  Gestion de l’ensemble des paramètres ;

-  Importation des tests génériques ;

-  Consultation des interfaces CSM ;

-  Gestion des interfaces CSM ;

-  Contrôle sur les actions réalisées ;

   4. Statistiques :

-  Accès à l’ensemble des indicateurs ;

   5. Vaccination :

-  Gestion des vaccins ;

-  Consultation des vaccins ;

-  Recherche des vaccinations du jour ;

-  Modification de la vaccination ;

-  Impression de l’attestation de vaccination ;

-  Confirmation du départ ;

-  Création du rapport de vaccination et du certificat pour le pass sanitaire ;

   6. Suivi médical :

-  Consultation des données Tests & vaccins ;

-  Consultation des données suivi médical ;

-  Accès à la modification des données Suivi médical ;

-  Consultation des observations ;

-  Consultation des suivis ;

-  Gestions des suivis ;

-  Accès au menu « Mon activité » ;

•  Portail de récupération des résultats (Front-office) :

-  Connexion ;

-  Récupération du rapport du test ;

-  Récupération de certificat de pass sanitaire ;

-  Récupération du rapport du test d’une campagne.

La Commission relève par ailleurs qu’à l’origine la liste des personnes inscrites dans le présent traitement s’était dressée en concaténant les noms des personnes affiliées aux régimes de la CCSS et des SPME, des élèves et étudiants connus de la DENJS, des nationaux inscrits sur le Sommier de la nationalité, et des personnes ayant le statut de résidents.

Par délibération n° 2021-1, la Commission s’était inquiétée de l’actualisation de ladite liste. À cet égard, le responsable de traitement indique que « la base de données est aujourd’hui actualisée sur présentation du patient et manuellement par le personnel habilité de l’Administration à avoir accès à ladite base ». La Commission constate qu’avec un tel modus operandi, la liste ne peut que s’accroître mais les personnes qui ne sont plus concernées demeureront inscrites, jusqu’à la purge de la base de données qui devra intervenir à la fin de la crise sanitaire.

En outre, elle relève qu’il résulte de l’intégration des différents services en lien avec la gestion de la crise sanitaire une relative imprécision sur l’ensemble d’entre eux, sur leur portée ou leur sécurité.

Ainsi, la Commission s’interroge notamment sur la sécurité du site Internet d’inscription à la vaccination et les différents outils qui y sont implantés, tout comme elle a conscience de manquer d’information sur les différentes applications mobiles en lien. L’aspect « tout-en-un » du traitement dilue également fortement la compréhension des accès aux données des personnes concernées. Or, eu égard à la nature des informations concernées, la Commission estime qu’elle devrait être en mesure d’apprécier finement l’ensemble de ces derniers. Elle acte toutefois les engagements du Gouvernement d’extraire les traitements qui ne sont pas directement dans le périmètre de la Décision Ministérielle pour les soumettre séparément à son avis dans les meilleurs délais. Aussi, il lui a été indiqué que le site permettant de prendre rendez-vous pour une vaccination lui sera soumis distinctement et n’entre pas dans le périmètre du présent traitement. À cet égard, la Commission appelle d’ores et déjà l’attention du responsable de traitement sur la nécessité d’exclure le reCaptcha Google de celui-ci.

Tel est également le cas des questionnaires dits de « cordage », initialement intégrés au présent traitement, et qui seront analysés séparément dans une demande d’avis dédiée. Toutefois, ces questionnaires (facultatifs) établis à des fins de recherche d’efficacité des différentes formes de test de détection du virus (salivaire, etc.) et poursuivant donc une finalité autonome, sont ceux qui contiennent le plus de données de santé sur les personnes concernées, dont les antécédents médicaux précis (diabète, cancer, tabagisme, asthme, etc.). Or, il appert que même les personnels ayant un profil d’habilitation en « consultation basique » disposent d’un accès à ces informations sensibles.

La Commission demande donc qu’avant même une saisine ultérieure relative au traitement en lien avec les questionnaires de « cordage », il soit mis fin à l’accès étendu actuellement en vigueur aux informations qu’ils contiennent et que seuls des personnels de santé aient accès à ces dernières.

Elle rappelle d’ores est déjà qu’elle veillera à la qualité du consentement recueilli (conditions, caractère explicite et compréhensible des mentions, etc.) pour ces questionnaires de cordage qui sont remplis quand les personnes se rendent au centre se faire tester.

Par ailleurs, l’attention de la Commission a été appelée par l’insertion dans les fonctionnalités d’un suivi « suivi médical », qui n’est pas explicité dans le dossier. Elle relève des compléments d’informations recueillis qu’il a été décidé d’effectuer un suivi médical des personnes atteintes de la Covid-19 par une cellule de médecins. Cette cellule recueille des éléments de santé précis pour déterminer la qualité du suivi du patient à effectuer. Dès lors, il lui est nécessaire de connaitre notamment les comorbidités éventuelles des personnes, les symptômes de la COVID qu’elles ont développés, ainsi que l’ensemble des informations listées à cet effet au point III de la présente délibération. Il résulte des échanges entre le Secrétariat de la CCIN et les Services du Gouvernement confirmation que ledit suivi doit être intégré à la Décision Ministérielle du 20 mai 2020 en cours de modification. La Commission rappelle qu’il conviendra de lister les informations que cette cellule de médecins pourra recueillir, et leurs durées de conservation.

Enfin, elle relève que l’objectif du pass sanitaire est de permettre de reprendre une vie plus proche de la normale tout en gardant l’épidémie sous contrôle. Elle rappelle toutefois que l’objectif sanitaire ne doit pas porter atteinte aux droits et libertés fondamentaux de manière disproportionnée aux objectifs recherchés, et ne pas créer de discrimination quotidienne dans l’accès à des lieux identiques.

Aussi, elle considère que le pass sanitaire ne doit pas conduire à exclure les personnes des lieux relevant de la vie quotidienne, tels les restaurants qui sont des lieux que les clients fréquentent de manière habituelle pour passer un bon moment, discuter ou se détendre, afin de minimiser les impacts sur la liberté de réunion des personnes.

La Commission relève également que les choix opérés peuvent conduire monégasques et résidents, et tout travailleur en Principauté, à être exclus du droit de se rendre au restaurant s’ils ne sont pas en mesure de prouver leur qualité, créant de fait deux catégories de justificatifs.

En outre, la Commission relève d’une part que le choix d’exempter des personnes de présenter un pass sanitaire eu égard à leur qualité de travailleur, national, résident, habitant de PACA ou Ligurie ne repose pas sur un choix sanitaire et d’autre part que les hôtels semblent être amenés à vérifier à leur arrivée si les étrangers ont un pass sanitaire valide. Cette mesure, qui maintient les restrictions aux libertés individuelles qui étaient en vigueur, ne semble apporter de plus-value sanitaire que pour des étrangers venant au restaurant à Monaco sans y séjourner.

II. Sur la licéité et la justification du traitement

Le responsable de traitement indique que le traitement est justifié par le consentement de la personne concernée, le respect d’une obligation légale et un motif d’intérêt public.

À cet égard, la Commission relève que le traitement était initialement fondé sur le respect d’une obligation légale trouvant sa source dans le projet de Décision Ministérielle relative à la mise en œuvre d’un traitement d’informations nominatives destiné à permettre le suivi de la situation épidémiologique, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies, en date du 20 mai 2020.

Outre la Décision Ministérielle du 20 mai 2020 qui a vocation à être modifiée pour intégrer au traitement les justificatifs du pass sanitaire, la Commission relève que viennent désormais s’ajouter le projet de Décision Ministérielle relatif au pass sanitaire et le projet de Décision Ministérielle modifiant la Décision Ministérielle du 24 février 2020 relative à la situation des personnes présentant un risque ou des signes d’infection potentielle par le virus 2019-nCoV. Elle en prendre acte.

En ce qui concerne le consentement que la personne concernée doit manifester afin de convertir le certificat monégasque en certificat français dans l’objectif de reconnaissance à l’étranger de sa situation vis-à-vis de la COVID, il est indiqué qu’elle devra cocher (opt-in) la mention suivante : « J’accepte que les données personnelles contenues dans mon certificat soient communiquées à un système d’information français pour permettre sa conversion en un certificat valable dans l’Union Européenne ».

La Commission estime que la personne concernée doit bénéficier d’une information plus détaillée, notamment sur l’objectif de cette communication et le quantum des données transmises.

Elle relève toutefois que certaines de ces précisions sont intégrées à la mention d’information générale présente sur les feuilles de consentement aux vaccins. La Commission appelle toutefois l’attention du Gouvernement sur la nécessité de clarté des mentions et de la disposition des cases de consentement à cocher sur les formulaires, afin qu’il n’y ait aucun doute sur le caractère libre et éclairé des différents consentements délivrés par la personne concernée (à la vaccination, à la communication des informations).

La Commission acte par ailleurs que les données communiquées ne seront conservées par le responsable de traitement français que le temps nécessaire à la conversion du certificat monégasque en un certificat français, ce qui est satisfaisant en matière de protection des données personnelles. Elle s’interroge toutefois sur ce qu’il adviendrait des certificats si la personne concernée décide de retirer son consentement.

Par ailleurs, la Commission constate qu’en bas du questionnaire vaccination, existe une case à cocher indiquant : « j’accepte que mes réponses au questionnaire soient utilisées par le Gouvernement Princier (ou DASA de Monaco) dans le cadre du suivi de la situation épidémiologique due au virus du SARS‑CoV-2 en Principauté de Monaco », qui semble s’analyser en la collecte d’un troisième consentement.

Elle relève toutefois des éléments du dossier que toute personne vaccinée devra nécessairement être inscrite dans le traitement susmentionné. Aussi, accepter la vaccination emporte automatiquement l’acceptation de figurer dans ledit traitement. Dès lors, la Commission estime que les personnes concernées doivent être informées qu’accepter la vaccination conduit à accepter que les réponses au questionnaire soient utilisées dans le suivi de la situation épidémiologique. À défaut de case cochée, il semble que la personne ne puisse pas se faire vacciner.

Enfin, le motif d’intérêt public est justifié par la crise sanitaire et la nécessité d’assurer la prévention et le dépistage des maladies, de mettre en œuvre des plans de gestion de crise et d’accomplir toute autre action nécessaire en matière d’hygiène et de prévention sanitaire.

III. Sur les informations traitées

Les informations nominatives traitées sont :

    •  En ce qui concerne les données dites sensibles :

-   Données relatives à la vaccination : 1) Vaccination : Date de vaccination, Numéro du lot du vaccin, Type de vaccin, Numéro de lot du vaccin, Marque du vaccin, Date de péremption du vaccin, Nom la personne qui a pratiqué la vaccination, Date de la prochaine injection, Lieux de la vaccination, Diluant utilisé, Marque du diluant, Numéro de lot du diluant, Date de péremption du diluant, Nom du médecin ayant effectué l’entretient de pré-vaccination, Zone d’injection, Nom du vaccin, Dose ; 2)  Réponses au questionnaire préalable à la vaccination ; 3) Situations de comorbidités du patient ;

-   Données relatives aux tests : 1) Test : Date du test, Type de test, Marque du test, Numéro de lot du test, Résultat du test, Observation du résultat, Nom du variant, Nom du laboratoire ou de l’Institut (Institut Pasteur) qui réalise l’analyse du variant ; 2) Prélèvement acte : Numéro du prélèvement, Complément de connexion portail, Nom du préleveur du Centre de dépistage National, Nom du prescripteur de l’acte, Priorité du traitement, Identité du biologiste qui valide le résultat, Type de prélèvement (salive, sang,…), Code instrument d’analyse, Code analyse, Date et heure du résultat, Motifs du test : cas contact, symptomatique, préventif et valeur vide, Laboratoire d’analyse du variant, Date d’analyse du variant, Technique de recherche du variant, Variant ;

-   Questionnaires : Parcours de santé du patient (hospitalisation COVID) ;

-   Données relatives au suivi médical : Comorbidité (oui ou non), Médecin traitant, Suivi médical, Nom de la caisse, Nombre de personnes au domicile, Femme enceinte, Date des premiers symptômes, Date théorique de sortie, Catégorisation : autosurveillance (1 appel par jour), surveillance (au moins 2 appelle par jour), surveillance renforcé (déplacement à domicile), Affectation (suivi pour le suivi à domicile, hospitalier), Comorbidité Détails, Observations.

    •  En ce qui concerne les autres données :

-   Identité / situation de famille : 1) Patient : Nom / Nom d’usage, Prénoms, Date de naissance, Ville de naissance, Sexe, Nationalité, Scan de la signature de la personne, Source de l’importation du patient, N° de passeport (facultatif, sur demande du patient), N° de carte d’identité (facultatif, sur demande du patient) ; 2) Personnel habilité de l’Administration (dans le cadre de la procédure d’ouverture des droits à l’application) : Nom et prénom de l’utilisateur concerné, Nom et prénom de l’approbateur de la demande ;

-   Adresses et coordonnées : 1) Patient : adresse postale (adresse postale, ville, pays), numéro de téléphone, numéro de téléphone du responsable légal, code pays du numéro de téléphone, adresse email ; 2) Personnel habilité de l’Administration (dans le cadre de la procédure d’ouverture des droits à l’application): numéro de contact 3) Responsable des campagnes de tests : Téléphone, Adresse email ;

-   Formation diplômes vie professionnelle : 1) Patient : Classe/niveau pour les élèves, Établissement scolaire de l’élève, Numéro d’employeur pour le salarié, Métier pour le salarié, Présence sur site, Situation professionnelle (actif ou retraité), Personnel habilité de l’Administration (dans le cadre de la procédure d’ouverture des droits à l’application): Numéro et nom du Service, Nom du poste, N° de matricule, Rôle dans l’application ;

-   Données d’identification électronique: Identifiant de connexion pour récupérer les résultats des tests réalisés au Centre de Dépistage National - Identifiant technique dans le système source - QR code du pass sanitaire : noms et prénoms de la personne concernée, sa date de naissance et un code permettant la vérification du justificatif ;

-   Informations temporelles horodatage : logs de connexion des personnes habilitées à avoir accès à l’application : ID, données d’horodatage-login, action réalisée.

À titre liminaire, la Commission ne comprend pas en quoi la collecte du numéro de passeport ou de la carte d’identité est une information pertinente avec la finalité du présent traitement, ni comment l’initiative de cette collecte peut provenir de la personne concernée. Elle demande donc à ce que cette information ne soit plus collectée.

Par ailleurs, la Commission relève que la Décision Ministérielle prévoit toujours que « Les informations nominatives pouvant ainsi être versées dans le traitement mentionné à l’article premier pour chacune de ces personnes sont le nom, le prénom, la date de naissance, le sexe, l’adresse de résidence, le numéro de téléphone, l’adresse de messagerie électronique, la profession et le lieu d’exercice de la profession ou de scolarisation, ainsi que, le cas échéant, ceux de ses représentants légaux ». Elle prévoit en son article 3, sans détailler les éléments qu’ils contiennent, que peuvent être recueillis divers consentements permettant la réalisation de tests et/ou de vaccins. À cet égard, la Commission constate que la réalisation de tests et/ou de vaccins emporte inscription de ce statut dans la base de données et comprend que les règles de pharmacovigilance en lien avec la vaccination entrainent la nécessaire collecte d’un questionnaire de santé plus précis. Toutefois, comme évoqué supra, cela n’explique en rien l’objectif de la collecte des questionnaires et des données relatives au suivi médical, collecte qui n’est soutenue par aucun texte.

Sur ce point elle prend acte des précisions qui lui ont été apportées selon lesquelles le suivi médical devrait désormais être prévu dans la Décision Ministérielle du 20 mai 2020, modifiée, relative la mise en œuvre du présent traitement.

La Commission constate également la présence d’information relatives à la connexion au portail (site Internet). Si ce dernier est bien en lien avec le présent traitement, il n’est pas prévu par le périmètre de la Décision Ministérielle et la demande d’avis ne contient pas suffisamment d’éléments pour se prononcer sur sa sécurité, les outils et cookies qui y sont déployés.

Enfin, la Commission avait demandé à ce que soit désactivée la rubrique observations afin d’éviter tout risque de saisie de données ne devant pas figurer dans le présent traitement, ou que les choix soient sélectionnables et limités par l’incorporation d’un menu déroulant. Elle prend acte de la réponse du Gouvernement : « Cette rubrique est indispensable et limitée à toutes informations pratiques relatives au dossier ».

IV. Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

La Commission relève que l’information des personnes concernées est désormais adaptée en fonction de l’acte médical envisagé et du lieu de sa réalisation. À cet égard, ont été joints au dossier les différents formulaires exploités dans le cadre du présent traitement, et qui portent des mentions d’information conformes aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée.

Elle relève ainsi qu’est indiqué au dossier qu’« une information des personnes se faisant tester est prévue conformément à l’article 14 de la loi n° 1.165, modifiée. Cette information se fait par affichage dans le Centre de Dépistage National et les laboratoires et a été précisée dans le cadre de la présente Annexe (point V) pour prendre en compte les recommandations de la Commission. Ces mentions d’informations préalables seront également disponibles :

    •  Sur le site www.covid19.mc ;

    •  Sur les formulaires de recueil du consentement des patients préalablement à l’acte médical ;

    •  Dans les CGU de la plateforme de récupération des résultats des tests, accessible aux patients qui se sont fait testés au Centre de Dépistage National ».

  • Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par voie postale, ou sur place auprès du Département des Affaires Sociales et de la Santé.

La Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les destinataires et les personnes ayant accès au traitement

  •   Sur les destinataires

Le responsable de traitement indique que les informations peuvent être communiquées :

    •  Pour les informations spécifiques aux tests :

-   Autorités sanitaires des pays de résidence de la personne en cas de test positif, conformément au Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies (mis en application par Ordonnance Souveraine n° 6.387 du 9 mai 2017) ;

-   Centre Scientifique de Monaco (sous-traitant) : pour l’identito-vigilance ;

-   préleveur du test au Centre de Dépistage National (pour l’identito-vigilance) ;

    •  Pour les informations spécifiques à la vaccination :

-   Centre National de vaccination sous la forme d’une fiche de traçabilité ;

-   Pour les personnes mineures et les majeurs sous tutelle : le ou les représentant(s) légal/légaux ;

    •  Pour les informations relatives aux données d’identification des personnes positives à la COVID-19 :

-   personnes dont l’intervention est strictement nécessaire pour permettre la mise en œuvre de toute mesure sanitaire pour éviter la propagation de la COVID-19 ;

-   autorités sanitaires de l’État de résidence de l’intéressé, conformément au Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies (mis en application par Ordonnance Souveraine n° 6.387 du 9 mai 2017) ;

-   médecin traitant à la demande de la personne concernée ;

    •  Pour les données d’identification des personnes prises en charge par le Centre de dépistage national pour réaliser un test détectant l’ARN du virus SARS-CoV-2 : personnes dont l’intervention est strictement nécessaire pour réaliser ce test ;

    •  Pour les données d’identification des personnes vaccinées contre la COVID-19 : personnes dont l’intervention est strictement nécessaire à des fins de pharmacovigilance ou pour assurer la traçabilité de la vaccination dont a pu bénéficier une personne ou bien encore pour apprécier l’efficacité de ce vaccin au regard du résultat de tout test pratiqué sur cette personne ;

    •  Pour les informations détenues dans les certificats pour le pass sanitaire : conformément aux dispositions de l’article 5 de la Décision Ministérielle relative au pass sanitaire, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies.

La Commission relève toutefois des éléments du dossier qu’en ce qui concerne la vaccination, les informations peuvent être communiquées au Centre Régional de pharmacovigilance, et que pour les personnes infectées, les analyses peuvent être communiquées à des laboratoires ou instituts français qui peuvent étudier le variant du COVID-19 dont elles sont atteintes. Elle en prend acte.

*  Sur les accès au traitement

Le responsable de traitement indique que les personnes habilitées à avoir accès au traitement sont :

-   Le DASS (superviseur -> encadrement) : en création, consultation et modification ;

-   La DASA et le Centre de dépistage national/Centre de vaccination (DASA) (Superviseur Contrôleur Opérateur : Consultation/ Gestion des centres (dont des médecins-conseils et pharmaciens-conseils) : Consultation Création, Modification ;

-   Le CHPG et l’OMT (recherche et consultation des dossiers patient) : uniquement en consultation ;

-   La DSN (Administrateur fonctionnel : Assistance à maîtrise d’ouvrage dans la conduite du projet et élaboration de statistiques) : Tout accès (Accès en inscription, mises à jour à des fins d’assistance à maîtrise d’ouvrage sur la procédure ; Accès en consultation ou exploitation à des fins de statistiques lors de l’établissement des tableaux de bord, rapports...) ;

-   La DSI Support applicatif, DBA et administrateurs systèmes : Pour la disponibilité, la confidentialité, l’intégrité du traitement, dont les actions liées au développement et à la maintenance des applicatifs) Accès support applicatif (2 personnes), Accès de type DBA (2 personnes), Accès administrateurs systèmes (3 personnes).

En outre, la Commission rappelle les accès au traitement indiquées dans la délibération 2020-84 du 18 mai 2020 :

-   Personnels terrains et superviseurs avec des niveaux de droits différents selon le rôle ;

-   Personnel administratif de la Direction des Réseaux et Systèmes d’Information ou tiers intervenant pour son compte : tout accès dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement, sécurité du site et du système d’information de l’État ;

-   Personnel de la Direction de l’Administration Numérique (DAN) ayant un rôle d’assistance à maîtrise d’ouvrage sur la procédure et un rôle de statisticien lors de l’établissement des tableaux de bord, rapports, ... pour la Direction métier ;

-   Personnels de l’Institut Monégasque de la Statistique et des Études Économiques conformément aux dispositions de l’Ordonnance Souveraine n° 3.095 du 24 janvier 2011 portant création de l’Institut Monégasque de la Statistique et des Études Économiques et du Conseil Scientifique de la Statistique et des Études Économiques, modifiée ;

-   Du Département des Affaires Sociales et de la Santé, plus exactement de la DASA (2 personnes), dont un médecin ;

-   Des centres de dépistage (2 centres - 8 personnes) : vérification de la présence d’une personne se présentant pour un test, ou création de la fiche, puis saisie des résultats ;

-   De la DSN (1 personnes) : assistance à maîtrise d’ouvrage dans la conduite du projet et élaboration de statistiques ;

-   DSI pour la disponibilité, la confidentialité, l’intégrité du traitement, dont les actions liées au développement et à la maintenance des applicatifs ;

-   L’IMSEE : accès à des données agrégées anonymes.

La Commission rappelle que les personnels de la DSI et de la DSN peuvent être amenés à avoir accès à de la donnée de santé. Elle rappelle l’extrême « sensibilité » des données et regrette l’absence de chiffrement de ces dernières, qui devrait en tout état de cause être mis en œuvre. À défaut, il convient a minima de mettre en place une procédure d’alerte afin que les directions métiers et hiérarchiques (DSI/DSN) soient immédiatement informées des accès auxdites données par ces personnels et de leurs motifs (support utilisateur, maintenance, …), afin que puisse s’appliquer un contrôle permettant de déterminer que les accès effectués sont ceux strictement nécessaires à l’accomplissement de leurs missions.

VI.  Sur les interconnexions avec d’autres traitements

Le responsable de traitement indique que le présent traitement fait l’objet d’une interconnexion avec le traitement ayant pour finalité « Gestion des habilitations et des accès au système d’information », légalement mis en œuvre au sens de la loi n° 1.165, modifiée, aux fins de se connecter au traitement objet de la présente délibération, et d’un rapprochement avec la messagerie professionnelle de l’État, légalement mise en œuvre, aux fins d’échanges.

Le traitement est également interconnecté avec le site covid19.mc qui doit lui être soumis dans les meilleurs délais.

Enfin pour rappel, le listing initial des personnes à tester et à suivre avait été établi en agglomérant les informations issues des traitements légalement mis en œuvre suivants :

-   Gestion des conditions de séjour des résidents de la Principauté (État) ;

-   Gestion des dossiers scolaires des élèves inscrits dans les établissements publics de la Principauté (État) ;

-   Fichier des nationaux et de leur famille (Commune de Monaco) ;

-   Gestion de l’immatriculation des salariés (CCSS) ;

-   Immatriculation au Service des Prestations Médicales de l’État (État).

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

La Commission rappelle que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

Elle réitère toutefois ses observations sur les habilitations et les accès par les personnels aux seules informations nécessaires à l’accomplissement de leurs missions.

De plus, les communications électroniques doivent être sécurisées en tenant compte de la nature des informations transmises.

Enfin, le responsable de traitement indique que les ports non utilisés ont été désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur ont été protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé. La Commission en prend acte.

VIII. Sur la durée de conservation

La Commission relève qu’au 1er janvier 2022, si la date n’est pas modifiée par une nouvelle Décision Ministérielle, les informations relatives aux :

-   personnes n’ayant pas été testées ou vaccinées seront anonymisées ;

-   personnes testées mais non vaccinées seront anonymisées ;

-   personnes vaccinées seront conservées, qu’il s’agisse de la fiche de traçabilité du vaccin inoculé ou des tests effectués.

Concernant cette dernière catégorie de personnes, la Commission s’interroge sur la pertinence de conserver l’historique des tests qu’elles ont réalisés. Si elle peut comprendre l’intérêt de garder pendant une certaine durée postérieure à la vaccination d’une personne le fait de savoir si elle a ou non effectué de nouveaux tests et les résultats de ces derniers, afin de vérifier si le ou les vaccins inoculés sont efficaces contre la Covid-19, elle estime que les informations relatives aux tests devraient être anonymisées avant la durée de 20 ans.

Les informations en lien avec le suivi médical sont conservées un an.

Enfin, les informations en lien avec les campagnes de tests sont supprimées un an après que le test ait été effectué. S’agissant d’informations en lien avec des évènements ponctuels dont la majorité des personnes concernées n’ont pas de lien avec la Principauté, la Commission estime que ce délai devrait être ramené à trois mois. En outre, cette durée conduit à ce que toutes les campagnes de tests effectuées en 2021 aient une durée de conservation théorique supérieure à la date actuellement fixée de fin de la période de crise sanitaire.

Après en avoir délibéré, la Commission :

Relève qu’il y a désormais une différence entre la finalité fixée par la Décision Ministérielle du 20 mai 2020 et prévue dans le présent traitement pris en son application.

Considère que les médecins traitants, les biologistes validant les résultats, les représentants légaux des personnes testées, les personnes testées lors des « campagnes de tests » à l’occasion de manifestations et les représentants des évènements donnant lieu à ces « campagnes de tests » sont également concernés par le traitement et doivent être informés de leurs droits.

Prend acte que :

-   le site covid19.mc permettant notamment la prise de rendez-vous de vaccination et le traitement en lien avec les questionnaires dits de « cordages » lui seront soumis pour avis dans les meilleurs délais ;

-   le « suivi médical » et les « campagnes de tests » seront intégrés à la modification en cours de la Décision Ministérielle du 20 mai 2020 ;

-   le responsable de traitement indique que les ports non utilisés ont été désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur ont été protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Rappelle que :

-   la prise de rendez-vous de vaccination sur le site covid19.mc ne devra pas utiliser la solution de reCaptcha Google ;

-   toutes les personnes concernées doivent être informées de manière conforme aux dispositions de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, et bénéficier de tout élément leur permettant de consentir librement au test ;

-   les communications électroniques doivent être sécurisées en tenant compte de la nature des informations transmises.

Demande que :

-   le numéro de passeport ou de carte d’identité ne soit pas collecté ;

-   les accès aux informations présentes sur le questionnaire de cordage soient d’ores et déjà restreints aux seuls personnels de santé en lien avec la recherche d’efficacité des tests ;

-   en l’absence de chiffrement des données, soit mise en place une procédure d’alerte afin que les Directions métiers et hiérarchiques (DSI/DSN) soient immédiatement informées des accès aux données par ces personnels, et de leurs motifs, afin que puisse s’appliquer un contrôle permettant de déterminer que les accès effectués sont ceux strictement nécessaires à l’accomplissement de leurs missions.

Considère :

-   que les restrictions d’accès aux restaurants par le pass sanitaire ou la présentation de documents justificatifs complémentaires portent une atteinte disproportionnée aux droits et libertés des personnes concernées ;

-   qu’aucun élément ne vient justifier que l’ensemble des tests pratiqués sur une personne concernée soit conservé 20 ans dès lors qu’elle s’est faite vacciner.

Fixe la durée de conservation des résultats des tests effectués lors des « campagnes de tests » à 3 mois après que le test ait été effectué.

À la condition de la prise en compte des éléments qui précèdent,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Ministre d’État de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Permettre la gestion, le suivi et l’étude de la crise sanitaire due au SARS-CoV-2 en Principauté ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14