État d’urgence pour les données de santé (II) : sidep et contact covid

Le confinement commencé le 16 mars 2020 a pris fin le 11 mai 2020. La population est cependant loin d’être actuellement équipée en masques adaptés pour protéger le porteur comme les personnes qu’il croise. Les tests sérologiques qui permettent de déterminer si la personne était en contact avec le virus SARS-CoV-2 ne sont ni remboursés par l’assurance maladie, ni même proposés à des prix encadrés. L’application de traçage StopCovid (objet de la première partie de cet article) sera pour sa part disponible en juin, sans certitude d’ici là sur l’accessibilité de son code source. Ses « bouts de code » se résument actuellement au kit de développement du protocole Robert, alors que le projet devait être open source. Ce manque de transparence est probablement à mettre en lien avec l’intervention récente dans le déploiement de l’application StopCovid de plusieurs acteurs privés soucieux du « secret des affaires » : si l’INRIA reste pilote des travaux, on note avec intérêt l’apparition de « Capgemini, Dassault Systèmes et Orange, ainsi que d’autres entreprises, telles que Lunabee studio et Withings, le champion français des objets connectés […] »¹.

En définitive, de toute la « panoplie du déconfinement », les seuls éléments prêts au 11 mai 2020 étaient les fichiers de traçage des cas-contacts destinés à l’intervention de brigades de l’assurance maladie autorisés par la loi du 11 mai 2020. Une anticipation peu habituelle depuis le début de la crise sanitaire !

Ces deux systèmes d’information, sidep (service intégré de dépistage et de prévention) mis en œuvre par le ministère de la santé et contact covid mis en œuvre par l’assurance maladie, étaient techniquement prêts bien avant que les parlementaires n’aient à voter la loi qui en autorisait la création. Définitivement votée par le Parlement le samedi 9 mai, la loi n° 2020-546 du 11 mai 2020² n’a pas pu entrer en vigueur avant l’avis du Conseil constitutionnel du lundi et sa décision³ qui valide le texte avec quelques maigres censures. Les deux fichiers portent une atteinte à la vie privée dont les Sages de la rue Montpensier ont estimé qu’elle était justifiée par le principe à valeur constitutionnelle de protection de la santé, mais cela sous certaines réserves.

Tambour battant, le décret du 12 mai 2020⁴ est ensuite venu préciser les conditions de la mise en œuvre de ces « méga fichiers », après que la CNIL a rendu un avis⁵ dense et construit qu’elle aurait pu sous-titrer « dont acte ». Nous verrons que les réserves du Conseil constitutionnel sont les mêmes points de vigilance mis en exergue par la CNIL. Au regard de l’importance de ces alertes, nous pensons que les deux fichiers ne seront jamais conformes à nos règles de droit. Ils seront toutefois entrés dans la Cité et risquent de s’installer quand nos aînés n’y seront plus.

En période d’état d’urgence sanitaire, beaucoup de Français·es sont disposé·es à accepter de partager davantage leurs données sensibles au nom de la « guerre contre le coronavirus » si cela est efficace. Cependant, les raisons qui ont prévalu à la création du secret médical, à la sécurisation des données de santé, à la protection de la vie privée tendent à s’effacer sous le poids de l’injonction martiale de faire « céder les digues »⁶ pour sauver des vies. Puisque l’on accepte aujourd’hui de baisser la garde pour donner toute priorité à l’objectif de « protection de la santé », l’idée fait son chemin qu’il serait absurde de s’arcbouter en période de « non-urgence sanitaire » sur un cadre juridique aussi contraignant.

Aussi faut-il, pour se faire une opinion, rentrer à l’intérieur de ces immenses constructions dont l’architecture est faite pour s’intégrer vite et, finalement, s’installer presque inaperçue.

Seconde partie : sidep et contact covid, les chevaux de Troie de la bataille covid

Début de piste chez le médecin

Le pistage permis par les deux fichiers commence chez le médecin généraliste : lorsqu’il soupçonne un cas de covid-19, il prescrit un test et renseigne cette action sur son compte Amelipro, le cas échéant sans le consentement de son patient. Il est également invité à y renseigner les coordonnées des personnes avec lesquelles son patient a été en contact dans les quarante-huit heures avant l’apparition des symptômes.

En révélant l’état de santé de son patient à un tiers, le médecin est autorisé à violer le secret professionnel (C. pén., art. 226-13) par un nouveau cas de dérogation prévu par l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire :

« I. - Par dérogation à l’article L. 1110-4 du code de la santé publique, aux seules fins de lutter contre la propagation de l’épidémie de covid-19 et pour la durée strictement nécessaire à cet objectif ou, au plus, pour une durée de six mois à compter de la fin de l’état d’urgence sanitaire déclaré par l’article 4 de la loi n° 2020-290 du 23 mars 2020 d’urgence pour faire face à l’épidémie de covid-19, des données à caractère personnel concernant la santé relatives aux personnes atteintes par ce virus et aux personnes ayant été en contact avec elles peuvent être traitées et partagées, le cas échéant sans le consentement des personnes intéressées, dans le cadre d’un système d’information créé par décret en Conseil d’État et mis en œuvre par le ministre chargé de la santé. »

Il s’agit même d’un cas de « dérogation à la dérogation », puisque l’article L. 1110-4 du code de la santé publique déroge déjà au secret professionnel par l’autorisation de partager des informations dans le cadre de l’équipe de soin⁷ (une insécurité juridique en matière répressive qui n’a pas ému le Conseil constitutionnel).

Les médecins vont devoir apprécier en conscience le droit d’outrepasser le refus de leur patient de voir leurs données de santé révélées. De plus, certains cas-contact peuvent être des clients du patient : un avocat malade devrait-il livrer à son médecin le nom de ses clients rencontrés récemment ? Non, à l’évidence. Si le médecin est délié du secret par cette loi du 11 mai 2020, l’avocat, même malade, ne bénéficie d’aucun fait justificatif de l’infraction de violation du secret professionnel.

Par ailleurs, on notera que la situation du malade covid est bien différente de celle d’un patient infecté par le VIH, maladie à déclaration obligatoire. En effet, lorsqu’un cas de sida fait l’objet d’un diagnostic confirmé, le médecin ou le pharmacien-biologiste transmet par le biais du portail e-DO à l’agence régionale de santé et à Santé publique France une déclaration qui préserve le secret médical et l’identité du patient⁸. « Le secret est et reste plus fort que le sida. »⁹

La CNIL a opportunément rappelé que (à l’heure où elle statuait) le gouvernement n’avait pas entendu faire obligation aux médecins, aux patients ou aux cas-contacts de participer aux enquêtes sanitaires et qu’en tout état de cause, cela ne saurait entraîner de conséquences de quelque ordre que ce soit¹⁰. Ce qui n’est pas le cas des laboratoires.

Les laboratoires, chevilles ouvrières de sidep

Une fois le test prescrit par le médecin, les laboratoires (ou tout organisme habilité à réaliser un test au covid-19) ont l’obligation de saisir les données personnelles des personnes dépistées dans la base de données sidep : si le test nasopharyngé du « patient zéro »¹¹ est positif, le contact-tracing est enclenché. L’alerte passe sur le fichier contact covid pour initier l’enquête des brigades de l’assurance maladie auprès des cas-contacts¹² , voire des « contacts à risque de contamination »¹³, statut non encore défini par le décret.

Dans ses observations au Conseil constitutionnel, le gouvernement détaille que contact covid « centralisera les informations médicales utiles relatives aux personnes affectées par la maladie, issues notamment du fichier sidep, ainsi que les informations, recueillies par les médecins eux-mêmes puis dans le cadre de l’enquête sanitaire et sociale conduite auprès des malades permettant l’identification des cas-contacts susceptibles d’être contaminés et nécessaires pour avertir les intéressés et les inciter à aller retirer un masque, à se faire tester et, si besoin, à s’isoler »¹⁴.

La proportionnalité des données en question

Le gouvernement précise également « qu’aucune donnée médicale autre que permettant le diagnostic d’infection au virus Sars-CoV-2 ne peut faire l’objet des partages d’information »¹⁵. Cette affirmation a conduit en partie le Conseil constitutionnel à constater une certaine proportionnalité dans le traitement des données, or cela est faux. En effet, le décret du 12 mai 2020 dispose que, pour le patient zéro, comme pour ses cas-contacts, le fichier contact covid comprend notamment : « d) la spécialité du médecin à l’origine de l’inscription dans le traitement de données » ; « g) les données relatives à la situation de la personne au moment du dépistage (hospitalisé, à domicile ou déjà à l’isolement) » ; « k) le cas échéant, la fréquentation, dans les quatorze derniers jours, des catégories d’établissements suivantes : établissement d’hébergement pour personnes âgées dépendantes, établissement médico-social, milieu scolaire, crèches, établissement de santé, établissement pénitentiaire ainsi que les coordonnées de l’établissement » ; « l) le cas échéant, la participation, dans les quatorze derniers jours, à un rassemblement de plus de dix personnes (localisation et date) »¹⁶. 

Indépendamment de la question de l’utilité de ces données, comment soutenir que l’information d’un oncologue qui signale le patient zéro et indique que ce dernier a fréquenté assidûment un centre de lutte contre le cancer et une église évangéliste dans les semaines passées ne constitue pas des données sensibles autres que le statut virologique ?

Beaucoup de données, beaucoup d’intervenants

Tous les acteurs qui seraient amenés à intervenir dans la « chaîne de pistage » pourront accéder à ces données sensibles. Les médecins, les laboratoires, les pharmacies, mais aussi un grand nombre d’acteurs dont : les services de santé des armées, les communautés professionnelles territoriales de santé, les établissements de santé, les maisons de santé, les centres de santé, les structures créées pour lutter contre le covid-19, l’assurance maladie et ses sous-traitants.

Les juristes savent que « nécessité fait loi », mais le Conseil constitutionnel semble ici contribuer à la création d’un nouveau principe moins contraignant proche de « c’est pour la bonne cause ».

Le Conseil constitutionnel relève en effet que « le champ des personnes susceptibles d’avoir accès à ces données à caractère personnel, sans le consentement de l’intéressé, est particulièrement étendu, cette extension est rendue nécessaire par la masse des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l’épidémie ».

Seul l’accès par les travailleurs sociaux aux fichiers sans le consentement des intéressés a été déclaré inconstitutionnel car ne relevant pas directement de la lutte contre l’épidémie ; dans ce cas, « rien ne justifie que la communication des données à caractère personnel traitées dans le système d’information ne soit pas subordonnée au recueil du consentement des intéressés »¹⁷.

Anges gardiens et sécurité éthérée

Tous les acteurs mobilisés dans les brigades sanitaires, appelés par le ministre de la santé les « brigades d’anges gardiens », seront au service du pistage des personnes testées positives au covid-19 et de leurs contacts. De manière à satisfaire à l’article 9, paragraphe 2, g) du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), les responsables des deux traitements, sidep et contact covid, devraient « respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ». À cette fin, une matrice d’habilitation définissant les droits d’accès en lecture et en écriture selon les profils des personnels habilités est « un élément central de la sécurité du traitement »¹⁸. Or le ministère de la santé, en sa qualité de responsable de traitement de sidep, a d’ores et déjà indiqué à la CNIL (qui en fait état dans son avis¹⁹) « qu’en raison des contraintes opérationnelles rencontrées », il n’entend pas paramétrer les dispositifs de façon à limiter les accès aux seuls besoins des utilisateurs.

Cette posture est tout à fait contraire aux « mesures techniques ou organisationnelles appropriées » pour le secteur de la santé du RGPD (art. 5.1, f), pour lequel « il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite » (RGPD, art. 32.2). Dès lors, sidep et contact covid ne sauraient être conformes au RGPD.

De plus, la CNIL rappelle dans son avis que les mesures de traçabilité sont la pierre angulaire de la sécurité des traitements de données. Cela nécessite une authentification forte des professionnels qui accéderont aux fichiers pour certifier « qui fait quoi à quel moment ». Cependant, la Commission ne peut que constater que contact covid sera accessible avec de simples identifiants et mots de passe²⁰, ce qui est l’inverse de l’authentification forte. Mot de passe à usage unique, certificat numérique (comme la carte de professionnel de santé), ces types d’authentification forte sont le standard en matière de données de santé au terme de la politique générale de sécurité du système d’information santé (PGSSI-S) rendue opposable depuis 2016²¹ par l’article L. 1110-4-1 du code de la santé publique.

Un standard sur lequel s’appuie aussi le Système national des données de santé (actuelle plateforme des données de santé ou Health Data Hub) : « L’accès à des données à fort risque doit nécessiter une identification locale ou nationale pour toute personne physique ou morale, conformément aux exigences du palier 2 du référentiel d’identification de la PGSSI-S, et une authentification forte, conformément aux exigences du palier 2 du référentiel d’authentification de la PGSSI-S »²². Or les données de sidep ont vocation à être remontées via l’assurance maladie de manière hebdomadaire sur cette plateforme !

Une centralisation des données qui questionne notre autonomie numérique

À propos de l’application StopCovid (dont la loi du 11 mai 2020 dispose qu’elle est un projet complètement distinct de sidep et contact covid²³), la CNIL écrivait dans son avis du 24 avril 2020 : « […] la conception de l’application StopCovid témoigne du souci de protéger la vie privée des personnes, notamment en évitant que soit centralisée dans un serveur une liste des personnes qui se déclarent malades »²⁴. A contrario, l’architecture de sidep et de contact covid repose sur une centralisation forte des données sensibles des Français. Cette centralisation assure la possibilité de transmettre les mêmes données alimentées par les « laboratoires testeurs de covid » du portail sidep vers les destinataires : le patient et ses médecins pour la prise en charge médicale, vers l’assurance maladie et l’agence régionale de santé pour diligenter les enquêtes sanitaires, vers Santé publique France et le ministère de la santé pour le suivi épidémiologique.

Enfin, comme indiqué précédemment, l’assurance maladie a pour mission de transmettre de manière pseudonymisée les données vers la plateforme des données de santé, ce qui ne manque pas de susciter les craintes²⁵ compte tenu de la polémique concernant le « possible transfert de nos données de santé aux États-Unis », comme le titrait Mediapart dans une récente enquête²⁶.

Pour rappel, la plateforme des données de santé²⁷ vise à permettre aux chercheurs d’accéder aux ensembles de données de santé du Système national des données de santé (SNDS) afin d’entraîner des modèles d’intelligence artificielle. Le SNDS a vocation à rassembler les données de l’assurance maladie, les données des hôpitaux, les causes médicales de décès, les données relatives au handicap, des données en provenance des organismes d’assurance maladie complémentaire²⁸. Il contient à présent aussi les données pseudonymisées des patients malades du covid-19.

Dès le 23 mars 2020, un arrêté a prévu « les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 »²⁹. Il a été complété un mois plus tard par un autre arrêté³⁰ permettant la mise à disposition d’un grand nombre de données sensibles sur la plateforme des données de santé³¹ « pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le covid-19 ».

La CNIL s’est prononcée sur ce projet d’arrêté³² et son avis a été, à juste titre, sévère. La Commission a pris « acte du choix du ministère de créer ce traitement par la voie d’un arrêté pris dans le cadre de l’état d’urgence sanitaire. Elle rappelle toutefois que la constitution de cette base […] ne saurait être encadrée par cet arrêté que pour la période d’état d’urgence sanitaire déclaré à l’article 4 de la loi du 23 mars 2020. Au-delà, ce traitement ne disposerait plus de base légale ».

Le décret du 12 mai 2020 disposant d’une transmission de données de sidep vers la plateforme des données de santé uniquement pour des finalités limitées à l’urgence sanitaire, ce partage de données devrait s’arrêter le 10 juillet 2020… à moins de la publication opportune pendant la période d’urgence sanitaire d’un décret manquant à l’appel depuis quelques années.

Prorogation ou non, il conviendrait que le gouvernement réponde des choix faits en matière d’hébergement de la plateforme des donnés de santé (et par extension de sidep) puisque c’est Microsoft Azur qui en a la charge. Si rien n’interdit le choix d’un opérateur américain, l’article 48 du RGPD prohibe le transfert de données de citoyens européens vers des pays extérieurs. C’est pourquoi, la CNIL s’est émue³³ que « le contrat [d’hébergement des données passé avec Microsoft] mentionne l’existence de transferts de données en dehors de l’Union européenne dans le cadre du fonctionnement courant de la plateforme, notamment pour les opérations de maintenance ou de résolution d’incident ».

La législation américaine étant beaucoup plus permissive quant à la protection des données numériques personnelles, le choix de cet hébergeur est pour le moins critiquable. En effet, le Cloud Act³⁴ permet à la justice américaine d’ordonner la saisie des données hébergées par un opérateur américain, que le serveur se situe sur le sol des États-Unis ou ailleurs³⁵. Dès lors, on peut s’interroger sur l’efficacité du chiffrement qui empêcherait l’hébergeur d’accéder aux données dont il a la charge.

Conclusion

Les fichiers sidep et contact covid sont déployés aujourd’hui de manière non satisfaisante du point de vue de la sécurité informatique et du droit des personnes concernées. La CNIL demande à disposer d’une rapide analyse d’impact relative à la protection des données (AIPD) de la part des responsables de traitement. Cet outil permet de construire en principe un traitement conforme au RGPD, respectueux de la vie privée, en déterminant si le traitement est susceptible d’engendrer un risque élevé. L’analyse devra être fine !

La question importante est celle d’une pérennisation de ces fichiers géants au-delà de la période d’urgence sanitaire. Seront-ils les chevaux de Troie que l’on peut soupçonner ? Dans l’attente, il semble important que nous réfléchissions collectivement aux procédés technologiques jugés acceptables en période d’urgence sanitaire, comme hors de ces temps de crise. Pour faire cette balance, la transparence doit être absolue sur le fonctionnement de l’outil, sur l’implication des intermédiaires, sur l’information quant à l’utilisation de nos données de santé³⁶. On mesure aussi toute l’importance de l’éducation au numérique de la population, pour être en mesure de comprendre les enjeux techniques et leurs conséquences sur notre vie privée.

Deux tendances se dessinent pour l’avenir. D’une part, un « effet cliquet » évoqué par la CNCDH³⁷ qui craint une accoutumance à « l’usage de ce même type de technologies pour d’autres fins : suivi médical hors covid-19, contrôle de certaines catégories de personnes (étrangers, manifestants, personnes sous le coup de mesures individuelles de contrôle administratif et de surveillance, etc.) ». À l’opposé, un mouvement de défiance d’une partie de la population qui associerait la prise en charge médicale à un fichage dont il ne percevrait pas les bénéfices, que l’on qualifiera audacieusement d’« effet SAFARI » en référence à l’article de Pierre Boucher dans Le Monde³⁸, il y a quarante-six ans.

Notes

1. E. Marzolf, Recours aux Gafam, centralisation : les choix techniques sur StopCovid ont attisé les tensions au sein de l’État, 30 avr. 2020.

2. L. n° 2020-546, 11 mai 2020, prorogeant l’état d’urgence sanitaire et complétant ses dispositions, JO 12 mai.

3. Cons. const. 11 mai 2020, n° 2020-800 DC, JO du 13 mai, AJDA 2020. 975 ; AJCT 2020. 217, tribune J.-P. Vial ; ibid. 220, obs. F. Benech .

4. Décr. n° 2020-551, 12 mai 2020, relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions, JO 13 mai.

5. CNIL 8 mai 2020, délib. n° 2020-051, portant avis sur un projet de décret relatif aux systèmes d’information mentionnés à l’article 6 du projet de loi prorogeant l’état d’urgence sanitaire, JO 13 mai.

6. B. Py, Secret médical, consentement du patient : « Toutes les digues ont cédé », Le Point, 13 mai 2020.

7. C. Zorn, Données de santé et secret partagé, PUN, coll. « Santé, qualité de vie et handicap », 2010.

8. Dr B. Boyer, Le médecin doit-il déclarer la sérologie de son patient aux autorités de santé publique ?, Bulletin du CNOM n° 64, nov. 2019, p. 21.

9. B. Py, Secret professionnel, que n’avons-nous pas retenu de l’expérience du sida ?, Dalloz actualité, Le droit en débats, 26 mai 2020.

10. CNIL 8 mai 2020, délib. n° 2020-051, préc.

11. Décr. n° 2020-551, art. 1^er, II, 1°.

12. Décr. n° 2020-551, art. 1^er, II, 2°.

13. Décr. n° 2020-551, art. 1^er, II, 3°.

14. Cons. const. 11 mai 2020, n° 2020-800 DC, obs. du gouvernement, p. 10.

15. Cons. const. 11 mai 2020, n° 2020-800 DC, obs. du gouvernement, p. 10.

16. Décr. n° 2020-551, art. 2, II, 1° et 2°.

17. Cons. const. 11 mai 2020, n° 2020-800 DC, pt 70.

18. CNIL 8 mai 2020, délib. n° 2020-051, préc.

19. CNIL 8 mai 2020, délib. n° 2020-051, préc.

20. Sidep a recours à une authentification forte seulement pour certaines catégories de personnes habilitées.

21. L. n° 2016-41, 26 janv. 2016, de modernisation de notre système de santé, art. 96, JO 27 janv.

22. Arr. du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé, JO 24 mars.

23. L. n° 2020-546, 11 mai 2020, art. 11, II, in fine : « Sont exclus de ces finalités le développement ou le déploiement d’une application informatique à destination du public et disponible sur équipement mobile permettant d’informer les personnes du fait qu’elles ont été à proximité de personnes diagnostiquées positives au covid-19. »

24. CNIL, 24 avr. 2020, délib. n° 2020-046, portant avis sur un projet d’application mobile dénommée StopCovid.

25. V. Collectif Interhop, Le gouvernement contraint les hôpitaux à abandonner vos données chez Microsoft.

26. J. Hourdeaux, La CNIL s’inquiète d’un possible transfert de nos données de santé aux États-Unis, Mediapart.fr, 8 mai 2020.

27. L’arrêté du 29 nov. 2019 porte approbation d’un avenant à la convention constitutive du groupement d’intérêt public Institut national des données de santé portant création du groupement d’intérêt public plateforme des données de santé, JO 30 nov.

28. J. Bossi Malafosse, Les nouvelles règles d’accès aux bases médico-administratives, Dalloz IP/IT 2016. 205http://DIPIT/CHRON/2016/0188.

29. Arr. du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire, JO 24 mars.

30. Arr. du 21 avr. 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire, JO 22 avr. 

31. V. CSP, art. L. 1460-1 s.

32. CNIL 20 avr. 2020, délib. n° 2020-044, portant avis sur un projet d’arrêté complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire.

33. CNIL 20 avr. 2020, délib. n° 2020-044, préc.

34. Clarifying Lawful Overseas Use of Data Act ou Cloud Act (H.R. 4943) est une loi fédérale des États-Unis adoptée en 2018 sur la surveillance des données personnelles.

35. R. Gauvain, Rapport parlementaire Rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale, 26 juin 2019.

36. Sur la compréhension et l’information des personnes, v. J. Toubon, Lettre adressée ce jour aux Présidents du Sénat et de l’Assemblée nationale ainsi qu’aux présidents des commissions des lois des deux assemblées, Défenseur des droits, 2 mai 2020.

37. CNCDH, avis sur le suivi numérique des personnes, 28 avr. 2020.

38. P. Boucher, SAFARI ou la chasse aux Français, Le Monde, 21 mars 1974.