Intervention de Annie Le Houerou

Madame la présidente, madame la ministre, chers collègues, la pandémie mondiale de la covid-19 a vu émerger la prolifération de virus d’un autre type : les virus informatiques. Les établissements de santé, les laboratoires de diagnostic ou de recherche sont régulièrement victimes de piratages. Les données de santé sont très prisées ; récupérées, elles sont revendues à prix d’or.

À titre d’exemple, la société Moderna a été touchée par une cyberattaque en juillet dernier ; AstraZeneca en a été victime en novembre. Plus récemment, en janvier, l’Agence européenne du médicament confirme qu’une version falsifiée des fichiers volés chez Pfizer a bien été partagée sur le dark web.

La CNIL a publié en janvier un avis sur plusieurs mesures mises en place par le Gouvernement dans le cadre de la crise sanitaire. Cet avis a mis en évidence plusieurs manquements dans la gestion des données personnelles, notamment sur leur durée de conservation et leur sécurité dans le logiciel de contact tracing. Pour la CNIL, bien que prévu par une circulaire, ce processus de tracing entraîne une dispersion des données dans les messageries. De plus, ces informations, en partie stockées sur des serveurs, sont conservées trop longtemps, faisant fi du règlement général sur la protection des données personnelles.

S’agissant de l’application StopCovid, devenue TousAntiCovid en octobre 2020, la CNIL avait estimé que le dispositif était conforme au RGPD. En revanche, elle estimait que l’application ne pouvait être déployée que si son utilité pour la gestion de la crise était suffisamment avérée et si certaines garanties étaient apportées. Son utilisation devait être temporaire et les données devaient être conservées pendant une durée limitée. Insidieusement, TousAntiCovid tend vers les mêmes travers, sans vigilance particulière sur la durée et sur les conditions de stockage des informations personnelles.

Les appels à la vigilance sont nombreux. En janvier 2021, Christian Babusiaux, l’ancien président de l’Institut des données de santé, appelait le Gouvernement à rompre au plus vite le contrat conclu avec Microsoft pour la construction d’un grand entrepôt d’hébergement des données de santé. Les doutes sur les garanties offertes par le droit américain font craindre pour la sécurité des données de santé des Français, avec un risque d’exploitation abusive de ces dernières. Si le Gouvernement s’est engagé à retirer l’hébergement de ces données à Microsoft d’ici à deux ans, ce délai est trop long au regard des risques d’exploitation des données à d’autres fins que celles pour lesquelles elles ont été communiquées.

Enfin, en décembre, le Gouvernement avait présenté un projet de loi instituant un régime pérenne de gestion des urgences sanitaires. L’article 1er de ce texte prévoyait de subordonner le déplacement des personnes et l’exercice de certaines activités à la présentation d’un test de dépistage ou au suivi d’un traitement préventif, y compris la vaccination - en d’autres termes, la mise en place d’un passeport sanitaire.