Au sommaire :
Références
NOR : SPRP2237783D
ELI : https://www.legifrance.gouv.fr/eli/decret/2023/2/15/SPRP2237783D/jo/texte
Alias : https://www.legifrance.gouv.fr/eli/decret/2023/2/15/2023-99/jo/texte
Source : JORF n°0040 du 16 février 2023, texte n° 26
Délibération CNIL : JORF n°0040 du 16 février 2023, texte n° 106
Informations
Publics concernés : personnes testées au virus de la covid-19, personnes vaccinées contre la covid-19, professionnels et établissements de santé, agences régionales de santé et organismes d’assurance maladie.
Objet : suppression du traitement de données à caractère personnel « Contact Covid » et modification des caractéristiques du traitement de données « SI-DEP », des traitements mis en œuvre par les agences régionales de santé aux fins de lutter contre la covid-19 et du traitement « Vaccin Covid ».
Entrée en vigueur : le décret entre en vigueur le lendemain de sa publication.
Notice : le décret met fin au traitement de données à caractère personnel « Contact Covid » et modifie les caractéristiques du traitement « SI-DEP » et des traitements mis en œuvre par les agences régionales de santé pour lutter contre l’épidémie de covid-19, compte tenu des dispositions du II de l’article 2 de la loi n° 2022-1089 du 30 juillet 2022 mettant fin aux régimes d’exception créés pour lutter contre l’épidémie liée à la covid-19. Ces dispositions limitent, à compter du 1er février 2023 et jusqu’au 30 juin 2023, la possibilité de mettre en œuvre des systèmes d’informations dédiés à la lutte contre la covid-19 aux seules fins d’identification des personnes infectées par le virus de la covid-19 et de délivrance d’un justificatif d’absence de contamination par la covid-19 ou d’un certificat de rétablissement, sous réserve du consentement des personnes, ainsi que de surveillance épidémiologique aux niveaux national et local et de recherche sur le virus et les moyens de lutter contre sa propagation. En conséquence, le décret abroge les dispositions relatives à « Contact Covid » et modifie les finalités de SI-DEP et des traitements des agences régionales de santé, la liste et les destinataires des données traitées, ainsi que les modalités d’exercice par les personnes concernées de leurs. Il modifie également le traitement de données à caractère personnel « Vaccin Covid » en complétant la liste des données traitées de l’identifiant unique de certificat de vaccination et en prévoyant les destinataires habilités à en recevoir communication.
Références : le décret et les dispositions des décrets qu’il modifie peuvent être consultés, dans leur version résultant de cette modification, sur le site Légifrance (https://www.legifrance.gouv.fr).
En-tête
La Première ministre,
Sur le rapport du ministre de la santé et de la prévention,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le règlement (UE) 2021/953 du Parlement européen et du Conseil du 14 juin 2021 relatif à un cadre pour la délivrance, la vérification et l’acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l’UE) afin de faciliter la libre circulation pendant la pandémie de COVID-19 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu la loi n° 2020-546 du 11 mai 2020 modifiée prorogeant l’état d’urgence sanitaire et complétant ses dispositions, notamment son article 11, dans sa rédaction résultant de la loi n° 2022-1089 du 30 juillet 2022 mettant fin aux régimes d’exception créés pour lutter contre l’épidémie liée à la covid-19 ;
Vu la loi n° 2021-1040 du 5 août 2021 modifiée relative à la gestion de la crise sanitaire ;
Vu le décret n° 2020-551 du 12 mai 2020 modifié relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions ;
Vu le décret n° 2020-1690 du 25 décembre 2020 modifié autorisant la création d’un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19 ;
Vu l’avis du conseil de la caisse nationale de l’assurance maladie en date du 17 janvier 2023 ;
Vu l’avis de la Commission nationale de l’informatique et des libertés en date du 19 janvier 2023 ;
Le Conseil d’Etat (section sociale) entendu,
Décrète :
Article 1
Le décret du 12 mai 2020 susvisé est ainsi modifié :
1° Le chapitre Ier est abrogé ;
2° A l’article 8, le deuxième et le troisième alinéas sont remplacés par trois alinéas ainsi rédigés :
« Ce traitement, mis en œuvre dans le cadre d’une mission d’intérêt public conformément aux dispositions du e du 1 de l’article 6 du même règlement et pour les motifs d’intérêt public mentionnés au i du 2 de son article 9, centralise les résultats d’examens de dépistage virologique ou sérologique de la covid-19 pour les finalités suivantes :
« 1° Faciliter la surveillance épidémiologique aux niveaux national et local, ainsi que la recherche sur le virus et sur les moyens de lutter contre sa propagation ;
« 2° Sous réserve du consentement des personnes concernées au partage à cette fin de leurs données à caractère personnel, générer et envoyer aux personnes concernées un justificatif d’absence de contamination par la covid-19 ou un certificat de rétablissement pouvant être présenté dans les cas mentionnés aux articles 6 et 7 du règlement (UE) 2021/953 du Parlement européen et du Conseil du 14 juin 2021 relatif au certificat COVID numérique de l’Union européenne, ainsi qu’aux articles 12 et 13 de la loi n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire. » ;
3° A l’article 9 :
a) Au 2°, les mots : « nécessaires pour la réalisation des enquêtes sanitaires » sont supprimés ;
b) Au 3°, les mots : « et, le cas échéant, le code postal du lieu dans lequel la personne envisage de séjourner pendant les sept jours suivant la réalisation du dépistage » sont supprimés ;
c) Le 4° est abrogé ;
d) L’avant-dernier alinéa est supprimé ;
e) Au dernier alinéa :
– les mots : « pour satisfaire aux obligations mentionnées au II de l’article 1er de la loi susmentionnée du 31 mai 2021 et aux » sont remplacés par les mots : « dans les cas mentionnés aux articles 6 et 7 du règlement (UE) 2021/953 du Parlement européen et du Conseil du 14 juin 2021 relatif au certificat COVID numérique de l’Union européenne, ainsi qu’aux » ;
– les mots : « mobile susmentionnée » sont remplacés par les mots : « mobile mentionnée à l’article 1er du décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé “TousAntiCovid” » ;
4° A l’article 10 :
a) Au premier alinéa du I, les mots : « , au médecin traitant et au médecin ayant prescrit l’examen » sont supprimés ;
b) Au II :
– les 1° à 3° sont abrogés ;
– au 4°, les mots : « au 4° de l’article 9 et, parmi celles mentionnées au 6° du même article, pour celles » sont remplacés par les mots : « au 6° de l’article 9 et » ;
– le 6° est abrogé ;
c) Au 1° du III :
– les mots : « , pour les données nécessaires à ses missions de surveillance épidémiologique » sont supprimés ;
– l’alinéa est complété par les mots : « , pour les données nécessaires à leurs missions de surveillance épidémiologique » ;
5° L’article 13 est remplacé par les dispositions suivantes :
« Art. 13. – En application de l’article 23 du règlement (UE) du 27 avril 2016 susvisé, le droit d’opposition prévu à l’article 21 de ce règlement ne s’applique pas pour la finalité prévue au 1° de l’article 8 du présent décret. Par dérogation, les personnes concernées peuvent s’opposer à la transmission de leurs données aux destinataires mentionnés au 3° du III de l’article 10 du présent décret.
« Les droits d’accès, de rectification, d’effacement et de limitation des données, ainsi que le cas échéant le droit d’opposition, s’exercent auprès de la direction générale de la santé, dans les conditions prévues aux articles 15, 16, 17, 18 et 21 du même règlement. » ;
6° A l’article 14 :
a) Au premier alinéa, le mot : « finalités : » est remplacé par les mots : « finalité la surveillance épidémiologique au niveau régional. » ;
b) Les 1° à 3° sont abrogés ;
c) Au dernier alinéa, les mots : « ces finalités » sont remplacés par les mots : « cette finalité » ;
7° A l’article 14-1 :
a) Le premier alinéa est complété par les mots : « les données mentionnées au III de l’article 10. » ;
b) Les deux derniers alinéas sont supprimés ;
8° A l’article 14-2 :
a) La dernière phrase du premier alinéa est supprimée ;
b) Les 1° à 3° sont abrogés ;
9° A l’article 14-3 :
a) Les mots : « au 1° de » sont remplacés par le mot : « à » ;
b) Les mots : « pour une durée de trois mois à compter de leur collecte et celles mentionnées au 2° du même article peuvent être conservées » sont supprimés ;
10° A l’article 14-4 :
a) Le deuxième alinéa est remplacé par les dispositions suivantes :
« En application de l’article 23 de ce même règlement, le droit d’opposition prévu à l’article 21 de ce même règlement ne s’applique pas aux traitements mentionnés à l’article 14 du présent décret. »
b) Au dernier alinéa, les mots : « à la limitation s’exercent auprès de cette même agence » sont remplacés par les mots : « d’effacement des données, ainsi que le droit à la limitation du traitement, s’exercent auprès de l’agence régionale de santé ».
Article 2
Le décret du 25 décembre 2020 susvisé est ainsi modifié :
1° Au II de l’article 1er :
a) Au 3°, les mots : « pour satisfaire aux obligations mentionnées au II de l’article 1er de la loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire et aux » sont remplacés par les mots : « dans les cas mentionnés à l’article 5 du règlement (UE) 2021/953 du Parlement européen et du Conseil du 14 juin 2021 relatif au certificat COVID numérique de l’Union européenne, ainsi qu’aux » ;
b) Au 4°, les mots : « , et l’adaptation des mesures médicales d’isolement prophylactiques pour les personnes vaccinées identifiées comme cas contact ou personnes co-exposées en application des dispositions de l’article 1er du décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions » sont supprimés ;
2° Le I de l’article 2 est complété par un alinéa ainsi rédigé :
« 9° L’identifiant unique de certificat de vaccination associé au justificatif mentionné au 3° du II de l’article 1er. » ;
3° Au I de l’article 3 :
a) Au 5°, les mots « , ainsi que pour les données mentionnées au 1°, le statut vaccinal, le nom du vaccin et les dates de la ou des injections mentionnées au 5° du I de l’article 2, en vue de leur enregistrement dans le traitement de données mentionné à l’article 1er du décret du 12 mai 2020 susmentionné » sont supprimés ;
b) Il est ajouté un alinéa ainsi rédigé :
« 10° Les autorités nationales ou organismes officiels désignés des Etats membres de l’Union européenne, dans le cadre de l’échange bilatéral de listes de révocation de certificats mentionné à l’article 4 du même règlement (UE) du 14 juin 2021, pour la seule donnée mentionnée au 9° du I de l’article 2. »
Article 3
Le ministre de la santé et de la prévention est chargé de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Date et signature(s)
Fait le 15 février 2023.
Élisabeth Borne
Par la Première ministre :
Le ministre de la santé et de la prévention,
François Braun