Question de Mme LIENEMANN Marie-Noëlle (Paris - CRCE-R) publiée le 22/07/2021

Mme Marie-Noëlle Lienemann attire l'attention de M. le ministre de l'Europe et des affaires étrangères sur les menaces de violations de données à caractère personnel susceptibles de porter atteinte aux droits et libertés fondamentales des individus sur le territoire français.

L'application Tous Anti Covid, au centre de la stratégie gouvernementale de lutte contre la Covid-19, combine géolocalisation des utilisateurs et certificat de test et de vaccination en ligne. Elle est présente sur les smartphones d'un grand nombre de Français et tend à se généraliser suite aux annonces récentes sur l'orientation des politiques sanitaires et vaccinales.

L'année 2020 a été marquée par de nombreuses attaques informatiques de collectivités et d'organismes de santé, notamment par des rançongiciels, ainsi que par une hausse de 24 % des notifications de violations de données à caractère personnel à la commission nationale de l'informatique et des libertés (CNIL). La protection des données à caractère personnel des Français manque d'efficacité alors même qu'une traçabilité et un contrôle des activités individuelles sur le sol français s'élargit avec le pass sanitaire.

Le protocole d'amendement à la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, adopté le 13 juillet 2021 par le Sénat, met en avant des principes liés à la protection de ces données, notamment le fait que le responsable du fichier doit garantir la sécurité des informations qu'il détient. D'autre part, la convention modernisée détaille dans l'article 6 une liste de données sensibles élargie, notamment génétiques et biométriques. Les données personnelles du pass sanitaire n'entrent pas dans ces catégories de données sensibles, malgré leur caractère médical, et ne bénéficieraient donc pas d'une protection renforcée.

L'article 7 de la convention, modifié par l'article 9 du protocole, prévoit une nouvelle obligation à la charge des responsables des traitements de données : l'obligation de notifier, sans délai excessif, à la CNIL, les violations des données susceptibles de porter gravement atteinte aux droits et libertés fondamentales des personnes concernées.

La CNIL obtient une nouvelle charge administrative de contrôle du respect de la convention 108 par la France, mais n'a pas bénéficié d'une hausse significative de son budget puisque celui-ci était de 20 millions d'euros en 2020 et de 21 millions en 2021. Le Président de la République annonçait pourtant le 18 février 2021 un investissement d'un milliard d'euros, dont 720 millions de fonds publics pour renforcer la filière de la cybersécurité.

Elle lui demande de lui indiquer précisément quelle est la stratégie du Gouvernement pour respecter le principe de sécurité des données à caractère personnelles liées à l'application Tous Anti Covid.
Elle lui demande aussi de préciser la durée de conservation des données à caractère personnelle liées à l'application Tous Anti Covid afin respecter l'article 8 et 9 alinéa b) de la convention au titre de la transparence et des droits des personnes concernées.
Elle lui demande de préciser dans quelle mesure l'autorité publique a la capacité de notifier la CNIL chaque violation de données liée à l'application Tous Anti Covid.
Elle lui demande également de lui indiquer si une hausse significative du budget de la CNIL est enfin prévue afin de soutenir cette autorité dans ses missions.

- page 4498

Transmise au Ministère de la santé et de la prévention


La question est caduque

Page mise à jour le