Positif au Covid-19 : une donnée de santé pas comme les autres ?

Être positif au virus du Covid-19 est une donnée de santé qui ne nous appartient pas vraiment, et pour cause puisque sa transmission a des tiers a pour vocation de protéger les autres et limiter la pandémie. Rien d’illicite dans les faits, puisque la sauvegarde des intérêts vitaux d’une autre personne évoquée dans l’article 6 du RGPD en est la justification. Oui mais voilà, cette donnée peut-elle être transmise n’importe comment et à n’importe qui ?

Cas contact, apparition des premiers symptômes, vraiment malade, on me redirige rapidement vers le centre de dépistage le plus proche de chez moi.
À mon arrivée au centre, la première chose qui attire mon attention est une affiche indiquant que les EPI (équipements de protection individuels) pour la courageuse infirmière seule sur place pour tout gérer se trouvent à droite de la table, en tournant les yeux je peux voir un carton accessible à n’importe qui, rempli de masques, charlottes et divers équipements de protection. Je me dis qu’il n’y a que des gens civilisées et que personne n’osera y toucher. L’infirmière vêtue d’une tenue à faire pâlir les scénaristes d’une production hollywoodienne catastrophe, enchaînant les tests à un rythme effréné, vient consulter les fiches patients disposées sur une table dans le hall d’entrée, à la vue de tous.
Vérifications de mon identité et des quatre derniers chiffres de mon numéro de téléphone, c’est à mon tour de me faire triturer le nez.

Le lendemain, le verdict tombe, j’accède à mes résultats et j’appelle le cabinet de mon médecin traitant, la secrétaire me dit, « Je sais pourquoi vous appelez Monsieur BLANC-ROLIN, j’ai vu que vous étiez positif au Covid ». OK donc toutes les personnes en salle d’attente sont au courant. L’interne secondant mon médecin me dit de venir chercher mon arrêt de travail au cabinet… « Euh, même si je suis positif ?!? ».

En parallèle, le téléphone de ma compagne sonne, une conseillère de la DRSM, direction régionale du service médical, organisme directement rattaché à la CNAM lui indique qu’elle essaye de me joindre depuis plusieurs heures, mais que le numéro enregistré par le laboratoire n’était pas le bon et que la personne derrière ce numéro « erroné » lui a indiquée qu’elle avait pu accéder à mes résultats d’analyses sensés être protégés par ma date de naissance… Tout va bien… Elle me transmet mon arrêt de travail sur l’adresse de courriel obligatoire, que j’ai créée pour la saisie de mon dossier par le laboratoire. Déformation professionnelle sûrement, je crée systématiquement un alias sur ma messagerie pour chaque nouvel usage. Si cet arrêt maladie « gold » permet d’esquiver les trois jours de carence, il indique précisément le motif de l’arrêt.

Je n’ai pas de raison de cacher ce motif à mon employeur qui était déjà informé de mon état de santé, mais, même si l’hébergeur de ma messagerie est français et que je lui accorde ma confiance, il n’est pas HDS.

Dans la foulée, je reçois une prescription de la CNAM pour des masques par SMS. Désormais mon opérateur téléphonique a lui aussi l’info, ainsi que mon pharmacien et le prestataire d’envois de SMS de la CNAM. Si je pousse un peu plus loin, Google qui analyse le contenu de mes SMS doit bien avoir l’info lui aussi.

Mon adresse de courriel obligatoire a également été transmise à l’AP-HP, dans le cadre de SI-DEP [1]. Pour rappel, mes résultats sont enregistrés dans SI-DEP. J’ai donc reçu un message d’information pour les patients testés en provenance de l’AP-HP qui a transité hors UE, puisque le prestataire nettoyant les courriels de l’AP-HP est basé en Grande Bretagne et qu’il appartient à une grande firme américaine. Pour le coup, eux savent « juste » que je me suis fait dépister. Là encore mon hébergeur de messagerie dispose d’une donnée de santé à mon égard.

Deux jours plus tard, c’est l’ARS de ma région qui m’indique par SMS que je suis un « pestiféré ».

Rebelote, mon opérateur téléphonique, le prestataire d’envois de SMS de l’ARS et Google n’ont plus de doutes sur mon état de santé.

Pour m’inviter à consulter le site du Ministère, l’ARS a également fait le choix d’utiliser le raccourcisseur d’URL Bitly. Bitly est une société américaine, son service est hébergé chez Google et sa panoplie de traceurs est déployée sur mon navigateur dès que je clique.

Alors pourquoi avoir fait appel à ce service ? Pour savoir combien de personnes ont cliqué ? Pour payer moins cher les SMS qui contiennent moins de caractères ? Dans ce cas pourquoi ne pas se tourner vers des services alternatifs français, qui n’utilisent pas de traceurs, comme ceux proposés par Framasoft [2].

Au passage et pour rappel, le Privacy Shield réglementant le transfert de données à caractère personnel vers les États-Unis a été annulé en juillet dernier… [3]

Qui a accès au reste de mes données de santé ? Systèmes d’information de santé troués, mauvaises pratiques en tout genre, PC de généralistes jamais patchés… Il y a sûrement beaucoup d’yeux indiscrets qui peuvent lorgner sur mes données de santé.

[1] https://www.ameli.fr/assure/covid-19/tester-alerter-proteger-comprendre-la-strategie-pour-stopper-lepidemie/contact-covid-et-si-dep-des-outils-au-service-du-depistage

[2] https://alt.framasoft.org/fr/framalink/

[3] /article/3857/privacy-shield-invalide-earn-it-act-laed-act-say-goodbye-aux-hebergeurs-americains.html

/article/3859/invalidation-du-privacy-shield-ca-va-piquer-un-peu.html