Décision de sanction en date du 20 décembre 2023 du Président de la Commission de Contrôle des Informations Nominatives à l'encontre de S.E. M. le Ministre d'État - Avertissement suite à la non-conformité à la Loi n° 1.165 de traitements mis en œuvre dans le cadre de la gestion de la crise sanitaire Covid-19.
Rappel des faits :
L’émergence du virus SARS-CoV2 a conduit à une pandémie dont les conséquences en Principauté ont dû être gérées par le Gouvernement Princier.
Cette gestion a été opérée par le développement, à compter du mois de mai 2020, de solutions informatiques internes à l’Administration.
Au fur et à mesure de l’aggravation de la crise sanitaire et des réponses qui y ont été apportées par le Gouvernement, la « Base de données Covid-19 », limitée initialement à une campagne de dépistage TROD ouverte aux monégasques, résidents et travailleurs de la Principauté, s’est étoffée dans son ambition et dans la collecte de données de santé.
Ainsi, entre 2020 et 2022, neuf délibérations et cinq courriers ont été adressés au Ministre d’État par la Commission, l’alertant sur divers points cruciaux en matière de protection des données personnelles. Dès l’adoption de sa première délibération en la matière, datée du 18 mai 2020 et portant sur le projet de Décision Ministérielle instituant une « Base de données Covid-19 », la Commission alertait notamment sur la nécessaire restriction des accès aux données de santé par les personnels de l’Administration ne relevant pas de professions médicales, et le nécessaire chiffrement desdites données. Ses demandes et inquiétudes se sont renforcées tout au long de la crise, sans que des réponses satisfaisantes ne lui aient été apportées.
La Commission, soucieuse de ne pas entraver la gestion de cette crise sanitaire, a décidé, par délibération n° 2022-29 du 16 février 2022, une fois le pic de l’urgence sanitaire passé, de procéder à une mission d’investigation de la « Base de données Covid-19 ».
Elle soulignait que, « Pleinement consciente de l’impact que généreraient, sur les droits et libertés des personnes concernées, des atteintes à la sécurité ou à la confidentialité des données contenues dans cette base, et relevant que le traitement y afférent permet également de mener des enquêtes nécessitant la collecte de données de santé des plus sensibles (questionnaire « cordage »), la Commission considère qu’il est de son devoir de procéder à une investigation aux fins de vérifier la qualité et l’effectivité des mesures mises en œuvre pour assurer la protection des informations nominatives exploitées par le Gouvernement ».
Les investigations se sont déroulées du 9 au 24 mars 2022, de manière transparente et coopérative. Eu égard aux éléments constatés, un Rapport a été notifié au Ministre d’État le 22 novembre 2022 en application de l’article 19 de la Loi n° 1.165 relative à la protection des informations nominatives, modifiée.
Le Ministre d’État a répondu audit Rapport par courrier du 22 décembre 2022, actant certains engagements et précisant la nécessité d’une réponse complémentaire.
Un second courrier en lien avec l’investigation a été reçu par le Président de la CCIN le 11 juillet 2023, l’informant des dernières modifications apportées à la « Base de données Covid‑19 » qui a été mise en sommeil suite à la fermeture des centres dédiés à la gestion de la crise sanitaire, intervenue en mars 2023.
Les régularisations annoncées dans le courrier du 22 décembre 2022 des traitements en lien avec la Covid-19, notamment par le biais de formalités légales nouvelles ou modificatives, n’ont en conséquence pas eu lieu.
Constatant l’extrême sensibilité des données de santé dont il est question, l’échelle à la taille de la Principauté du nombre de personnes concernées et le maintien dans le temps de situations non conformes à la législation applicable, et en tenant compte de la coopération des représentants du responsable de traitement lors et à l’issue des opérations de contrôle, le Président de la CCIN, en accord avec la Commission, décide de l’adoption de la présente sanction.
Motifs de la sanction : manquements aux articles 7, 10-1, 14 et 17 de la Loi n° 1.165 du 23 décembre 1993, modifiée.
• Sur les manquements à l’article 7 de la Loi n° 1.165 (absence de formalités préalables : cas contacts et dossier patient)
Le Gouvernement a exploité plusieurs traitements qui n’ont pas été soumis à formalité préalable auprès de la CCIN (gestion des cas contacts, gestion du suivi médical, gestion de l’étude cordages). Certains de ces traitements présentent des problématiques juridiques à grands enjeux en matière de respect des droits et libertés fondamentaux des personnes (respect des dispositions légales sur le dossier médical, recueil des consentements, proportionnalité des données collectées, etc.).
Le Gouvernement a effectué une gestion des cas contacts en l’absence de consécration textuelle, celle-ci n’intervenant qu’à compter du 1er juillet 2021, lorsqu’une Décision Ministérielle l’a introduite au sein du traitement de suivi de la situation épidémiologique en Principauté. En outre, cette exploitation a eu lieu en contradiction avec les affirmations écrites réitérées du Gouvernement à la CCIN, lui indiquant ne pas procéder à la collecte de données permettant notamment de connaître des éléments relatifs à la vie privée d’une personne porteuse du virus de la Covid-19.
En ce qui concerne les traitements qui étaient légalement mis en œuvre par le Gouvernement pour lutter contre l’épidémie, ces derniers étaient exploités en outrepassant le cadre de l’avis fixé par la Commission, les collectes de données étant en pratique plus importantes qu’annoncé.
• Sur les manquements à l’article 10-1 de la Loi n° 1.165 (exactitude et mise à jour des données : absence de mise à jour de la « Base de données Covid-19 », durées de conservation excessives : aucune politique de suppression des données des personnes non vaccinées ayant perdu leur statut d’éligibilité)
À compter de sa création, la « Base de données Covid-19 » n’a plus été actualisée autrement que par l’ajout circonstanciel de personnes devant y figurer, uniquement lorsque ces dernières se faisaient tester ou vacciner. Aucune suppression des personnes ayant perdu leur éligibilité à y figurer n’a été effectuée. Ponctuellement, il pouvait y avoir inscription de personnes qui n’étaient pas prévues par le cadre réglementaire.
Le regroupement de plusieurs objectifs différents au sein d’une même solution logicielle a démontré un problème d’intelligibilité des finalités des traitements contenus dans l’applicatif, conduisant à des difficultés dans les restrictions d’accès aux données.
La durée de conservation des cas contacts était très largement supérieure à celle prévue dans la Décision Ministérielle relative à la « Base de données Covid-19 », telle que modifiée au 1er juillet 2021.
Les données des cas contacts ont depuis été anonymisées.
• Sur les manquements à l’article 14 de la Loi n° 1.165 (information des personnes concernées)
Même si la qualité de l’information des personnes concernées a été améliorée au fur et à mesure que la crise sanitaire se prolongeait, cette information était à l’origine lacunaire, ne permettant pas aux personnes concernées de se déterminer de manière suffisamment éclairée.
Plusieurs catégories de personnes concernées n’étaient pas informées, dont notamment des différents types de personnels intervenant dans le processus de dépistage, de vaccination, ou d’administration de la base de données.
• Sur les manquements à l’article 17 de la Loi n° 1.165 (défaut de sécurisation des données : traçabilité non conforme au niveau attendu, modalités d’alertes, modalités de conservation des questionnaires vaccination, accès potentiel à la donnée via les sauvegardes)
La sécurité logique et physique n’était pas en adéquation avec la sensibilité des informations contenues dans la « Base de données Covid-19 ». Ont notamment été relevés le choix de l’absence de chiffrement de cette base par le Gouvernement, des modalités de supervision des accès et le renforcement de la traçabilité annoncés comme réalisés, mais non mis en œuvre, la présence de dossiers de personnes vaccinées, et leurs antécédents médicaux, stockés de manière accessible à des tiers, ainsi que la transmission de données sensibles par des canaux non sécurisés.
Il est toutefois relevé que la traçabilité renforcée est effective depuis la fermeture des centres de dépistage/vaccination et la mise en sommeil de la « Base de données Covid-19 », et que les canaux de transmission ont été mis à l’état de l’art.
Décision :
Au regard des éléments ci-dessus développés, un avertissement est justifié.
La présente sanction sera rendue publique puis déréférencée à l’expiration d’un délai de deux ans à compter de sa publication.
Elle sera publiée au Journal de Monaco et sur le site Internet de la CCIN.
Les mesures de publicité de la présente sanction peuvent faire l’objet d’un recours devant le Président du Tribunal de Première Instance, dans les formes et conditions prévues à l’article 19 alinéa 7 de la Loi n° 1.165, susmentionnée.
Le Président de la Commission
de Contrôle des Informations Nominatives.