Le décret n° 2020-551 du 12 mai 2020 fixe les règles applicables aux traitements de données de santé dans le cadre de la lutte contre l’épidémie de coronavirus.
Historique du décret
La loi n°2020-546 du 11 mai 2020 autorise le ministre de la santé à créer un système d’information “aux seules fins de lutter contre l’épidémie de covid-19" et ce, “pour la durée strictement nécessaire à cet objectif ou, au plus, pour une durée de six mois à compter de la fin de l'état d'urgence sanitaire”.
Le système d’information envisagé devait ainsi permettre le partage des données de santé des personnes contaminées et de leur entourage à un nombre limité de structures habilitées, telles que les agences régionales de santé, les caisses d’assurance maladie ou encore les professionnels de santé et ce, sans leur consentement.
Saisi par 60 députés et sénateurs sur le point de savoir si un tel système ne portait pas une atteinte disproportionnée au droit au respect de la vie privée, le Conseil Constitutionnel a jugé le dispositif conforme à la constitution à une exception près.
Pour la première fois dans sa jurisprudence, le Conseil constitutionnel établit le principe selon lequel lorsque sont en « cause des données à caractère personnel de nature médicale, une particulière vigilance doit être observée dans la conduite de ces opérations et la détermination de leurs modalités. ».
Pour cette raison, le Conseil a considéré que, les organismes qui assurent l’accompagnement social des intéressés ne relevant pas de la lutte contre l’épidémie, ils n'avaient donc pas à recevoir communication des données de santé des personnes concernées et, a fortiori, des personnes de leur entourage.
Le décret d’application de la loi du 11 mai 2020 devait donc prendre en compte l’inconstitutionnalité relevée par le Conseil Constitutionnel.
Contact-tracing: les dispositifs créés par le décret
Le décret prévoit la mise en place d’un dispositif de “contact tracing” fondé sur deux traitements de données à caractère personnel : Contact-Covid et SI-DEP.
Destinés à être mis en place pendant une durée de six mois à compter de la fin de l’état d’urgence sanitaire, ces traitements ne reposent pas sur le consentement des personnes concernées mais sur la mission d’intérêt public dont sont investis les organismes chargés de les mettre en place (article 6.1.e du RGPD) d'une part et, d'autre part sur les motifs d’intérêt public pour lesquels ils ont été créés (article 9.2.i du RGPD).
Ils devront ainsi permettre d’atteindre les finalités suivantes :
- l'identification des personnes contaminées par l’épidémie,
- l'identification des personnes ayant pu être en contact avec les personnes infectées,
- l'orientation de ces personnes vers des mesures de soins appropriées (isolation, prise en charge…),
- la surveillance de l’épidémie à l’échelle nationale,
- la recherche tant sur le virus que sur les moyens de lutter contre sa propagation.
Contact-covid: l’identification des chaînes de contamination
Contact-covid consiste en l’adaptation, par la caisse nationale d’assurance maladie, du système d’information « amelipro” qui sera mis à la disposition tant des professionnels de santé que des agences régionales de santé.
Le dispositif permettra d’identifier les cas de contact avec la maladie, de permettre la prise en charge de tests de dépistage par les personnes qui ont été en contact avec des personnes contaminées, de proposer un accompagnement social aux personnes qui en ont besoin et d’identifier rapidement les chaînes de contamination.
Pour ce faire, le traitement rassemblera les données d’enquêtes sanitaires à différents niveaux :
- lors du diagnostic, les médecins collecteront les données des personnes infectées et des personnes avec lesquelles elles ont été en contact,
- les données seront ensuite transmises aux plateformes d’assurance maladie de chaque département qui prendront attache avec les personnes susceptibles d’avoir été en contact avec un patient infecté afin de les informer des démarches à accomplir,
- sur la base de ces données, les agences régionales de santé pourront repérer et traiter les chaînes de contamination les plus complexes.
Dans le cadre de ces enquêtes, les données recueillies seront nombreuses, tant en ce qui concerne la personne contaminée que les personnes susceptibles d’avoir été en contact avec elle. Ainsi, pourront notamment être collectées les :
- données d’identification (état civil, nom, prénom, NIR, coordonnées…),
- données relatives à la vie professionnelle (profession et lieu d’exercice de la profession),
- données relatives aux déplacements des personnes durant les 14 derniers jours (fréquentation d’un centre médico-social, d’un établissement pénitentiaire, déplacement dans une région autre que celle du domicile…),
- données de santé (symptômes, date d’apparition, test de dépistage, analyses…),
- données relatives à l’entourage du patient infecté (identité et coordonnées de l’entourage, situation de cohabitation…) ;
SI-DEP: la base de données des tests de dépistage
SI-DEP sera déployé dans l’ensemble des laboratoires et structures autorisées. Ce traitement permettra de centraliser les résultats des tests de dépistage du COVID-19.
Ce fichier sera croisé avec “Contact Covid” afin de s’assurer que l’ensemble des personnes testées positives ont bien été recensées et prises en charge à ce titre.
Il permettra également aux autorités sanitaires de disposer, en temps réel, d’un certain nombre d’informations anonymes pour assurer le suivi de l’épidémie et de mieux comprendre le virus.
Dans le cadre de ce traitement, seront collectés :
- les données d’identification de la personne dépistée,
- les informations sur la situation du patient pour la réalisation d’enquêtes sanitaires,
- les coordonnées du patient et de son médecin,
- les caractéristiques du prélèvement,
- les résultats des analyses.
Droits et garanties des personnes concernées par les deux dispositifs
Le décret prévoit un certain nombre de garanties pour les personnes concernées par les traitements :
- Droit à l’information. Les patients seront informés des modalités du traitement ainsi que de leurs droits préalablement à la collecte de leurs données à caractère personnel ou à la réalisation du test de dépistage.
Pour ce qui est des personnes qui auraient été en contact avec les patients infectés, elles seront informées du traitement de leurs données lors de la première prise de contact dans le cadre de l’enquête sanitaire.
- Durées de conservation limitées. Les données ne pourront être conservées que pour une durée maximale de trois mois à compter de leur collecte.
De même, les traces des opérations réalisées sur ces données (accès, modifications…) devront être conservées pour une durée maximale de six mois à compter de la fin de l’état d’urgence sanitaire pour des raisons de sécurité.
- Pseudonymisation des données. Lorsqu’elles sont utilisées à des fins de recherche ou de suivi de l’épidémie, les données seront pseudonymisées.
- Droit d’opposition limité. Conformément à l’article 23 du RGPD, les personnes concernées ne pourront exercer leurs droits que dans des conditions limitées.
Ainsi, elles ne pourront exercer leur droit d’opposition qu’à l’égard de la transmission de leurs données à la Plateforme de Données de l’Etat ou à la Caisse nationale de l’assurance maladie et non aux autres structures habilitées.
Les observations générales de la CNIL
- La mise en œuvre d’un dispositif de suivi automatique des contacts des utilisateurs par la mise à disposition d’une application mobile par les autorités publiques est un processus sensible. Une telle collecte doit être envisagée avec prudence.
- L’utilité de l’application et la nécessité du traitement projeté sont suffisamment démontrées en amont de la mise en œuvre du traitement.
- La proportionnalité du dispositif projeté est respectée grâce aux nombreuses garanties prévues ;
Les principales recommandations de la CNIL, formulées dans son avis du 24 avril ont été suivies : définition précise des finalités du traitement projeté, responsabilité du traitement confiée au ministère en charge de la politique sanitaire, mise en œuvre de certaines mesures techniques de sécurité, pas de conséquences juridiques défavorables pour les non-utilisateurs.
Les recommandations de la CNIL
Sur la durée de l’application
La CNIL recommande que l’impact effectif du dispositif sur la stratégie sanitaire globale soit étudié et documenté de manière régulière pendant toute la période d’utilisation de celui-ci, afin de s’assurer de son utilité au cours du temps.
Sur les données collectées
Concernant la liste limitative des données qui pourront être collectées, la CNIL recommande que la collecte des dates de dernière interrogation du serveur y soient inscrites.
La CNIL prend acte de l’engagement du ministère des Solidarités et de la Santé de modifier le projet de décret afin de mentionner dans la liste la collecte des périodes d'exposition des utilisateurs à des personnes contaminées ainsi que les codes pays.
Sur les destinataires et les accédants aux données
- La CNIL recommande que le projet de décret soit complété afin de préciser si les sous-traitants seront « accédants » ou « destinataires » des données à caractère personnel dont ils auront besoin de connaître.
- La CNIL recommande que les conventions précisant les relations de sous-traitance inscrivent les obligations de chaque partie notamment en matière d'exercice des droits des personnes concernées et des mesures de sécurité.
Sur l’usage de l’application
- La CNIL recommande de conseiller aux utilisateurs de l'application de supprimer leurs données du serveur central préalablement à une éventuelle désinstallation de l'application.
- La CNIL recommande que les données collectées sur l’application puissent être supprimées au bout d'une période d'inactivité, pour garantir que des données devenues inutiles ne soient pas conservées.
Sur l'information des personnes
- La CNIL recommande que l'intégralité des informations soit mise à disposition de l'utilisateur au sein même de l'application. Une information conforme aux dispositions du RGPD doit être aisément accessible tant lors de l'installation de l'application que tout au long de son usage.
- La CNIL recommande de livrer une information compréhensible par le plus grand nombre. L’information devrait également être mise à disposition dans des modalités permettant aux personnes en situation de handicap d’en prendre connaissance.
- La CNIL recommande que soient intégrés dans l'information fournie aux utilisateurs des développements spécifiques pour les mineurs et leurs parents.
· Sur les droits des personnes
La CNIL recommande que le droit à l'effacement et le droit d'opposition soient pleinement applicables et prend acte de l’engagement du ministre des solidarités et de la santé à modifier le projet de décret pour faire respecter ces points.
· Sur les mesures de sécurité
- Sur la mise en place d'un comité regroupant plusieurs entités auxquelles seraient confiés des fragments des clés de chiffrement, la CNIL recommande d’inclure des organismes de natures différentes et présentant un haut niveau d'indépendance. Elle recommande d’évaluer le niveau de garantie offert par une telle mesure dans l’AIPD, et à mettre en place des garanties supplémentaires le cas échéant.
- La CNIL recommande que le décret soit modifié afin de rendre public l’intégralité du code source et respecter en conséquence l’engagement du ministère.
- Sur le recours à un « captcha » lors de l’initialisation de l’application, la CNIL recommande que des développements ultérieurs de l’application permettent rapidement l’utilisation d’une technologie alternative.
- La CNIL recommande que seul le minimum de données strictement nécessaire à la vérification du bon fonctionnement du système soit journalisé, et notamment que ces journaux soient exempts d'identifiants ou de clés cryptographiques relatives aux utilisateurs.
- La CNIL recommande que la journalisation des actions réalisées par les administrateurs soit conservée pendant une durée de six mois dans des conditions permettant de garantir son intégrité, et que des mécanismes d'analyse automatiques soient mis en place afin de détecter toute opération anormale.
Cela étant, le barreau de Paris, qui a notamment organisé le 20 mai 2020 un webinar, sous la direction du bâtonnier et de la vice-bâtonnière sur le thème « Sentinelles des libertés : Quelles libertés dans un monde numérique ? », inscrit son action dans la défense des libertés publiques.
Le Conseil de l’Ordre a relevé les risques réels de fuite de données médicales et professionnelles, mais également des risques d’atteinte aux droits fondamentaux et aux coûts sociaux d’un tel dispositif, outre le faux sentiment de sécurité que cette application procurerait.
Plus encore, et quels que soient les choix d’architecture, il convient de souligner la question « d’accoutumance » au traçage, relevée par la CNIL dans son avis, et de dénoncer un risque de banalisation des technologies de surveillance comme la reconnaissance faciale et son acceptation.
Par conséquent, le Conseil de l’Ordre du barreau de Paris, en sa séance du 26 mai 2020 :
- alerte sur les risques d’atteinte aux droits et libertés fondamentaux pour tout utilisateur de l’application « StopCovid », partage à ce titre les inquiétudes de la CNCDH dans son avis du 28 avril 2020, réitérées le 26 mai ;
- invite les confrères à ne pas installer cette application et à limiter l’usage de la fonction Bluetooth aux seules applications professionnelles présentant des niveaux de sécurité satisfaisante ;
- appelle, enfin, les confrères à la plus grande vigilance sur l’utilisation de cette application sur leurs smartphones personnels