Lors de ma requête à la CNIL (Commission nationale de l’informatique et des libertés) concernant le site web CovidListe.com, suite à mon article « « CovidListe », une nouvelle arnaque « parce que c’est notre projet » ?« , celle-ci m’a indiqué que CovidListe « qui a pour but de mettre en relation des personnes voulant se faire vacciner avec un établissement de vaccination, ne traite pas de données de santé ». Par extension, elle considère donc, et au mépris du droit européen, que le fait qu’un individu ne soit pas vacciné n’est pas une donnée de santé. Cette méprise grave pourrait ouvrir la voie à de nombreuses dérives dangereuses.

Capture d'écran du site web de la CNIL

Je suis ici face à un dilemme. Je souhaite publier la réponse de la CNIL, dans un soucis de transparence et d’honnêteté intellectuelle, mais la réponse de la CNIL pourrait être interprétée d’une façon très dangereuse. Il pourrait légitimer des pratiques irrespectueuses des droits humains. Ainsi, je publie tout de même ici cette réponse tout en le critiquant vivement et déconseille fortement de l’utiliser comme source de droit, tant il est contradictoire avec les autres textes en vigueur. A noter que lors de sa réponse à ma plainte, la CNIL n’a cité aucune source de droit pour justifier son analyse.

« Si vous transmettez des informations, ne serait-ce que le fait que vous vous êtes renseigné sur tel lait infantile, par exemple… c’est une information de santé puisqu’on peut déduire du fait que vous êtes enceinte » Cédric O, Secrétaire d’État chargé de la Transition numérique et des Communications électroniques, 2021, Cash Investigation « Nos données personnelles valent de l’or ! » (57:32).

C’est en plein scandale IQVIA, suite à la diffusion de l’émission Cash Investigation « Nos données personnelles valent de l’or ! » montrant la récolte abusive de données personnelles de santé des clients par les pharmacies dotées du logiciel IQVIA, que la CNIL m’a répondu sur ma plainte au sujet de CovidListe. Ce site permet de s’inscrire dans une base de données géante de personnes non vaccinées pour recevoir des notifications par SMS ou courriel lorsque des doses surnuméraires de vaccin Covid19 sont disponibles. Comme je l’ai montré dans mon précédent article « « CovidListe », une nouvelle arnaque « parce que c’est notre projet » ?« , un certain nombre de garanties de transparence ou de respect de la vie privée n’étaient pas présentes pour pouvoir conseiller l’inscription sur ce site. La principale, à mes yeux, était le refus par les administrateur·rice·s de ce site de considérer leur base de données comme une base de données de santé. Pourtant, bon nombres d’experts du droit du numérique (voir ici et ) m’ont confirmé la nature de ses données comme étant bien des données de santé. Lors de l’émission Cash Investigation « Nos données personnelles valent de l’or ! », Cédric O, Secrétaire d’État chargé de la Transition numérique et des Communications électroniques, donne lui aussi une définition large des données de santé. Pour lui, la simple consultation d’une page sur le lait infantile permettrait de déduire du fait qu’une personnes est enceinte et donc que cette donnée est une donnée de santé. La CNIL, sur son site, donne également une définition large des données de santé en reprenant le droit européen et notamment le considérant 35 du RGPD.

« Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l’inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro. »

Considérant 35 du règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Dans cette source de droit, on peut noter plusieurs éléments sur les données de santé. Premièrement, une donnée de santé peut être n’importe quelle donnée qui « révèlent des informations sur l’état de santé physique ou mentale ». Ainsi, on peut considérer que même les informations implicites ou déduites peuvent qualifier les données comme de santé. Deuxièmement, « Cela comprend des informations sur la personne physique collectées lors de l’inscription de cette personne physique en vue de bénéficier de services de soins de santé ». Donc, comme un rendez-vous de vaccination entre dans le champ d’un rendez-vous pour un soin de santé, il s’agit bien de données de santé. Pour finir, « toute information concernant, par exemple, […] un risque de maladie » est également considéré comme une donnée de santé. Comme la vaccination permet de réduire le risque de développer la maladie du Covid19, alors elle entre bien dans le champ des données de santé.

Ici en s’inscrivant sur CovidListe, les utilisateur·rice·s déclarent implicitement ne pas être vacciné puisqu’il faut s’inscrire personnellement pour recevoir une dose de vaccin contre le Covid19. Depuis la dernière mise à jour des Conditions générales d’utilisation (CGU) du site, cette information est même devenue explicite car les CGU précisent à de nombreuses reprises (dans le titre, dans le 2.3) que les utilisateur·rice·s qui s’inscrivent sont bien des « volontaires non vaccinés« . Ainsi, en acceptant les CGU de CovidListe, les utilisateur·rice·s indiquent explicitement être non vaccinés.

"Le site web visé par votre réclamation, qui a pour but de mettre en relation des personnes voulant se faire vacciner avec un établissement de vaccination, ne traite pas de données de santé. Dès lors les dispositions du Code de la santé publique que vous indiquez n’ont pas vocation à s’appliquer."
Capture d’écran du courriel de la CNIL

La CNIL en m’indiquant que ce site « ne traite pas de données de santé » va à l’encontre des définitions du droit européen et même de sa propre définition. Lors de sa délibération n° 2020-126 du 10 décembre 2020, elle avait même déclaré que « les données traitées dans le cadre du SI « Vaccin Covid » sont protégées par le secret médical, tel que prévu à l’article L. 1110-4 du code de la santé publique ». Dans la Fiche 2 « Quel cadre appliquer à la prise de rendez-vous ? » du Guide pratique sur la protection des données co-publié par la CNIL et le Conseil National des médecins, il est clairement indiqué que « la simple connaissance d’une consultation d’un spécialiste peut donner une indication sur l’état de santé (ex. consulter un cardiologue régulièrement). » (page 13). Le European Data Protection Supervisor (sorte de CNIL européenne) indique également que les « données administratives et financières relatives à la santé (planification des rendez-vous médicaux, factures des prestations de services de santé, certificats médicaux aux fins de gestion des congés de maladie, etc.) » correspondent à la définition de données de santé.

La CNIL, en qualifiant le fichier de CovidListe, un fichier de personnes non vaccinées, comme n’étant pas des données de santé, ouvre la porte à de nombreuses dérives dangereuses. Pour mieux comprendre, voici quelques exemples de cas d’utilisation qui pourraient être licites selon cette logique de la CNIL :

  • La constitution par un employeur d’un fichier des employés non vaccinés.
  • Un fichier des clients non vaccinés, par exemple pour un hôtelier qui demanderait cette information lors de la réservation.
  • Les entreprises d’assurance ou de transport pourraient également savoir si vous n’êtes pas vacciné, par exemple.
  • Certaines entreprises pourraient obtenir un fichier des personnes non vaccinées pour effectuer un ciblage publicitaire.

Ce qui pose le plus problème, selon moi, est la revente et le partage des données. Lorsque se sont des données de santé, la revente est purement interdite par l’article L1111-8 du Code de santé publique et le partage est régit avec précision par l’article L1110-4 du même code qui, en résumé, n’autorise le partage qu’entre professionnels de santé pour des raisons « strictement nécessaires ». En inscrivant la base de données des volontaires non vaccinés de CovidListe comme n’étant pas des données de santé, la CNIL autoriserait par extension la revente ou le partage de toute base de données de personnes non vaccinées.

J’espère que l’analyse faite par la CNIL sur CovidListe sera modifiée tant il est contradictoire et dangereuse. Si vous lisez ce paragraphe, cela signifie que je n’ai pas reçu de modifications ou précisions de la part de la CNIL. Sinon, je changerais l’article en conséquence.