Début janvier, le Premier ministre israélien Benjamin Netanyahu a annoncé qu’en échange des millions de doses de vaccin Covid-19 que Pfizer lui a fournies, l’État d’Israël lui avait donné accès aux données personnelles des citoyens vaccinés.
Effort de transparence notable, le contrat avec le géant américain a été finalement publié par le gouvernement. Mais, publié a posteriori… : le gouvernement israélien a signé, semble-t-il, sans en informer le public (et donc sans le consentement des citoyens -d’ailleurs comment aurait-il fait? Par référendum ?) …  PREMIER PROBLÈME

SECOND PROBLÈME : l’accord publié est en partie tronqué et fait à l’évidence partie d’un ensemble contractuel plus vaste, qui, lui, reste inaccessible. Aussi, certains se posent-ils des questions sur cet accord.

De minimis … non curat praetor 

L’accord publié mentionne un précédent contrat de fabrication et de fourniture en vertu duquel le ministère de la Santé et Pfizer ont convenu « to cooperate on a reasonable basis to share information and data regarding the distribution, administration and use of the Product, including to track its benefits 

In fine l’objectif affiché est de de mesurer et d’analyser les données épidémiologiques résultant du déploiement du vaccin et de déterminer si l’immunité collective est atteinte.

Dans ce cadre, le ministère de la Santé s’est engagé à partager des « données anonymes globales » et à analyser ces données conjointement avec Pfizer. On notera que, selon les termes de l’accord publié (Annexe B), le ministère de la Santé est tenu de fournir « au minimum » des décomptes hebdomadaires :

– des cas confirmés de COVID-19, 

– des hospitalisations,  (…)

– des vaccins administrés « par âge et autres sous-groupes démographiques »

et les cas de COVID-19 par groupes d’âge « et autres facteurs démographiques».

Notons, tout d’abord, que les données transférées à Pfizer le sont (théoriquement) « uniquement sous une forme anonyme » ce qui ne permettrait pas d’identifier un individu. Et si le ministère de la Santé partageait par inadvertance des informations qui permettraient une telle identification, Pfizer est obligé de les renvoyer et de les détruire immédiatement. Mais, quelle est la méthode pour anonymiser les données ? Quelles garanties ?

Ensuite, des termes aussi vagues que « au minimum » et « et autres facteurs démographiques » provoquent logiquement certaines réactions.

Et ce notamment du fait que le ministère de la Santé israélien publie déjà quotidiennement un « tableau de bord» contenant la plupart des types de données mentionnés dans l’accord (le minimum ?). On pourrait donc supposer que Pfizer s’attendrait à en recevoir d’autres. Lesquelles ?

Enfin, bien que l’accord contienne un engagement de Pfizer à ne pas divulguer l’identité ou des données d’identification de patients individuels, sauf erreur, il n’existe aucune garantie quant aux mesures de sécurité prises par Pfizer.
Comme mentionné, certaines parties de l’accord restent tronquées et d’autres dispositions concernant le partage de données pourraient exister…

De minimis … curat cives

La lutte contre la COVID-19 est nécessaire. Mais la frontière entre lutte légitime contre la pandémie et respect des libertés fondamentales est de plus en plus floue, voire (très) flexible en fonction des intervenants.

En France, pour lutter contre l’épidémie de COVID-19, le Gouvernement a mis en place les fichiers SI-DEP et Contact Covid, déployé TousAntiCovid, et mis en œuvre le système d’information Vaccin COVID.

Dans ce dernier cas, seront collectées un grand nombre de nos données (identité complète, traçabilité de la vaccination, critères d’éligibilité). Seuls (sic) y auront apparemment accès :
– les professionnels de santé en charge de la consultation pré-vaccinale et de la vaccination elle-même,
– le médecin traitant,
– la Caisse nationale d’assurance maladie (CNAM),
– l’Agence nationale de sécurité du médicament et des produits de santé (ANSM),
– l’Agence nationale de santé publique (ANSP),
– les Agences régionales de santé (ARS)
ainsi que la Direction de la recherche, des études, de l’évaluation et des statistiques (DREES) du ministère chargé de la Santé.

Ces données seront conservées pendant 10 ans avec archivage intermédiaire mais la Direction du numérique du ministère chargé des Affaires sociales (DNUM) conserverait ces données pendant 30 ans…

Plus on multiplie, plus les risques sont grands… Le principe de minimisation, rappelé par le RGPD, est parfois mis à mal. La CNIL le rappelle régulièrement :

« La Commission rappelle que le ministère devra prévoir des mesures techniques et/ou organisationnelles permettant de garantir que la transmission de ces informations, leur extraction et l’accès des acteurs intervenant au titre de l’accompagnement social et sanitaire seront réalisés dans des conditions de confidentialité et de sécurité appropriées. Elle rappelle par ailleurs que seules les personnes habilitées pourront avoir accès aux données, dans la stricte limite de leur besoin d’en connaître pour l’exercice de leurs missions. » (Délibération n° 2021-006 du 19 janvier 2021)

La CNIL souligne également que ses contrôles se poursuivront tout au long de la période d’utilisation de ces fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent…

La transparence et son corollaire, le droit de savoir, doivent être a minima, les règles à adopter.

Benjamin Martin-Tardivat
Avocat à la Cour