DONNEES PERSONNELLES CONTRE VACCINS

12 février 2021

Début janvier, le Premier ministre israélien Benjamin Netanyahu a annoncé qu’en échange des millions de doses de vaccin Covid-19 que Pfizer lui a fournies, l’État d’Israël lui avait donné accès aux données personnelles des citoyens vaccinés.  Effort de transparence notable, le contrat avec le géant américain a été finalement publié par le gouvernement. Mais, publié a posteriori… : le gouvernement israélien a signé, semble-t-il, sans en informer le public (et donc sans le consentement des citoyens -d’ailleurs comment aurait-il fait? Par référendum ?) …  PREMIER PROBLÈME

SECOND PROBLÈME : l’accord publié est en partie tronqué et fait à l’évidence partie d’un ensemble contractuel plus vaste, qui, lui, reste inaccessible. Aussi, certains se posent-ils des questions sur cet accord.

De minimis … non curat praetor 

L’accord publié mentionne un précédent contrat de fabrication et de fourniture en vertu duquel le ministère de la Santé et Pfizer ont convenu « to cooperate on a reasonable basis to share information and data regarding the distribution, administration and use of the Product, including to track its benefits 

In fine l’objectif affiché est de de mesurer et d’analyser les données épidémiologiques résultant du déploiement du vaccin et de déterminer si l’immunité collective est atteinte.

Dans ce cadre, le ministère de la Santé s’est engagé à partager des « données anonymes globales » et à analyser ces données conjointement avec Pfizer. On notera que, selon les termes de l’accord publié (Annexe B), le ministère de la Santé est tenu de fournir « au minimum » des décomptes hebdomadaires :

– des cas confirmés de COVID-19, 

– des hospitalisations,  (…)

– des vaccins administrés « par âge et autres sous-groupes démographiques »

et les cas de COVID-19 par groupes d’âge « et autres facteurs démographiques».

Notons, tout d’abord, que les données transférées à Pfizer le sont (théoriquement) « uniquement sous une forme anonyme » ce qui ne permettrait pas d’identifier un individu. Et si le ministère de la Santé partageait par inadvertance des informations qui permettraient une telle identification, Pfizer est obligé de les renvoyer et de les détruire immédiatement. Mais, quelle est la méthode pour anonymiser les données ? Quelles garanties ?

Ensuite, des termes aussi vagues que « au minimum » et « et autres facteurs démographiques » provoquent logiquement certaines réactions.

Et ce notamment du fait que le ministère de la Santé israélien publie déjà quotidiennement un « tableau de bord» contenant la plupart des types de données mentionnés dans l’accord (le minimum ?). On pourrait donc supposer que Pfizer s’attendrait à en recevoir d’autres. Lesquelles ? 

Et qu’est-ce que sont ces « autres sous-groupes démographiques » ou « autres facteurs démographiques » (ethnie, religion …) ?

Enfin, bien que l’accord contienne un engagement de Pfizer à ne pas divulguer l’identité ou des données d’identification de patients individuels, sauf erreur, il n’existe aucune garantie quant aux mesures de sécurité prises par Pfizer. Comme mentionné, certaines parties de l’accord restent tronquées et d’autres dispositions concernant le partage de données pourraient exister…

De minimis … curat cives

La lutte contre la COVID-19 est nécessaire. Mais la frontière entre lutte légitime contre la pandémie et respect des libertés fondamentales est de plus en plus floue, voire (très) flexible en fonction des intervenants.

En France, pour lutter contre l’épidémie de COVID-19, le Gouvernement a mis en place les fichiers SI-DEP et Contact Covid, déployé TousAntiCovid, et mis en œuvre le système d’information Vaccin COVID.

Dans ce dernier cas, seront collectées un grand nombre de nos données (identité complète, traçabilité de la vaccination, critères d’éligibilité). Seuls (sic) y auront apparemment accès :
– les professionnels de santé en charge de la consultation pré-vaccinale et de la vaccination elle-même,
– le médecin traitant,
– la Caisse nationale d’assurance maladie (CNAM),
– l’Agence nationale de sécurité du médicament et des produits de santé (ANSM),
– l’Agence nationale de santé publique (ANSP),
– les Agences régionales de santé (ARS)
ainsi que la Direction de la recherche, des études, de l’évaluation et des statistiques (DREES) du ministère chargé de la Santé.

Ces données seront conservées pendant 10 ans avec archivage intermédiaire mais la Direction du numérique du ministère chargé des Affaires sociales (DNUM) conserverait ces données pendant 30 ans…

Plus on multiplie, plus les risques sont grands… Le principe de minimisation, rappelé par le RGPD, est parfois mis à mal. La CNIL le rappelle régulièrement :

« La Commission rappelle que le ministère devra prévoir des mesures techniques et/ou organisationnelles permettant de garantir que la transmission de ces informations, leur extraction et l’accès des acteurs intervenant au titre de l’accompagnement social et sanitaire seront réalisés dans des conditions de confidentialité et de sécurité appropriées. Elle rappelle par ailleurs que seules les personnes habilitées pourront avoir accès aux données, dans la stricte limite de leur besoin d’en connaître pour l’exercice de leurs missions. » (Délibération n° 2021-006 du 19 janvier 2021)

La CNIL souligne également que ses contrôles se poursuivront tout au long de la période d’utilisation de ces fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent…

La transparence et son corollaire, le droit de savoir, doivent être a minima, les règles à adopter.

Benjamin Martin-Tardivat
Avocat à la Cour

BENJAMIN

MARTIN-TARDIVAT

Associé fondateur du Cabinet d’avocats WITETIC, Benjamin Martin-Tardivat accompagne les entreprises et les créateurs depuis plus de 20 ans dans la gestion de leur patrimoine immatériel que ce soit en matière de propriété intellectuelle (stratégies, audits, protections, valorisations, défense, …) ou en matière de compliance (mise en conformité RGPD).

Spécialisé dans la protection des données personnelles, il intervient comme Data Protection Officer (« DPO ») auprès de nombreuses sociétés et associations françaises et étrangères. Il forme étudiants, créateurs d’entreprises et administrations afin de les sensibiliser aux problématiques du droit d’auteur, de la propriété industrielle et de la protection des données dans la société de l’information et l’impact des nouvelles technologies et de l’IA dans ces domaines.

L’Institut

À la fois enjeu de nos sociétés démocratiques et ingrédient stratégique pour les acteurs économiques, les données numériques sont au coeur des grands questionnements autour du monde digital. La gouvernance des données ne peut plus s’en remettre au hasard des initiatives isolées ou aux simples lois du marché : elle doit être, à différents niveaux, régulée, organisée, codifiée. Si le règlement européen RGPD constitue une avancée majeure reconnue bien au-delà des frontières de l’UE, il ne suffira pas.

Initiative de juristes, chercheurs, universitaires, ONG, acteurs de l’écosystème numérique et personnalités publiques, l’Institut des Droits Fondamentaux Numériques est né de cette importance et de l’urgence d’une réelle gouvernance des données, protectrice à la fois des droits des individus (citoyens, consommateurs), et de ceux des entreprises et organisations.

Plus d’articles

Les données : le nouvel or bleu ? #iDFRightsLive mardi 9 mars – 9h-10h30

Les données : le nouvel or bleu ? #iDFRightsLive mardi 9 mars – 9h-10h30

Vie privée, données des entreprises : quelles réglementations en Europe ?
Faut-il créer un marché des données ?
L’ institute for Digital Fundamental Rights, a le plaisir de vous convier à sa toute première conférence en ligne sur la protection des données personnelles en Europe dont la France.

Google, entreprise malfaisante – Le Point

Google, entreprise malfaisante – Le Point

Edito implacable d’Etienne Grenelle. Pour remédier à cette « spoliation » remettant en cause la survie et donc la liberté de la presse, certains se sont levés. À l’initiative notamment de Jean-Marie Cavada, ils ont réussi à faire adopter une directive européenne portant création du « droit voisin », c’est-à-dire du droit du producteur. Cela a pris trois ans de combat à Strasbourg et à Bruxelles, Google n’ayant pas lésiné sur le lobbying.

LA COUR DE JUSTICE DE L’UE : L’Avocat Général rend ses conclusions dans l’affaire opposant la Pologne au Parlement Européen et le Conseil de l’Union européenne sur la compatibilité de l’article17 de la Directive droit d’auteur avec la liberté d’expression et d’information

LA COUR DE JUSTICE DE L’UE : L’Avocat Général rend ses conclusions dans l’affaire opposant la Pologne au Parlement Européen et le Conseil de l’Union européenne sur la compatibilité de l’article17 de la Directive droit d’auteur avec la liberté d’expression et d’information

Colette Bouckaert
Le 15 juillet, l’Avocat Général a rendu ses conclusions dans l’affaire opposant la Pologne au Parlement européen et au Conseil de l’UE devant la Cour de Justice del’UE (Aff C-401/19).

“Droit voisin” en France : la presse se rebiffe face à Google et met le géant en échec  – Marianne

“Droit voisin” en France : la presse se rebiffe face à Google et met le géant en échec – Marianne

Les éditeurs de presse évincés des accords séparés passés par Google ont permis à l’Autorité de la concurrence de condamner l’agrégateur et d’imposer la négociation collective. Un organisme de gestion collectif des droits voisins récemment créé à cette fin devrait être présidé par Jean-Marie Cavada, ex-eurodéputé pas franchement tendre avec les Gafam…

Contactez-nous

Adresse

179, boulevard Haussmann 75008 Paris

Restez informés

Recevez régulièrement les actualités de

Suivez-nous sur les réseaux