🟧 DĂ©libĂ©ration CNIL n° 2020-108 du 5 novembre 2020 portant avis sur un projet de dĂ©cret modifiant le dĂ©cret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnĂ©s Ă  l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’Ă©tat d’urgence sanitaire

Saisie par le ministre des solidaritĂ©s et de la santĂ© d’une demande d’avis concernant un projet de dĂ©cret relatif aux systèmes d’information mentionnĂ©s Ă  l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’Ă©tat d’urgence sanitaire et complĂ©tant ses dispositions ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes Ă  l’Ă©gard du traitement automatisĂ© des donnĂ©es Ă  caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă  la protection des personnes physiques Ă  l’Ă©gard du traitement des donnĂ©es Ă  caractère personnel et Ă  la libre circulation de ces donnĂ©es, et abrogeant la directive 95/46/CE ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă  l’informatique, aux fichiers et aux libertĂ©s ;
Vu la loi n° 2020-546 du 11 mai 2020 prorogeant l’Ă©tat d’urgence sanitaire et complĂ©tant ses dispositions, notamment son article 11 ;
Vu la loi n° 2020-856 du 9 juillet 2020 organisant la sortie de l’Ă©tat d’urgence sanitaire ;
Vu le dĂ©cret n° 2019-536 du 29 mai 2019 modifiĂ© pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative Ă  l’informatique, aux fichiers et aux libertĂ©s ;
Vu le dĂ©cret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnĂ©s Ă  l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’Ă©tat d’urgence sanitaire et complĂ©tant ses dispositions ;
Vu le dĂ©cret n° 2020-1018 du 7 aoĂ»t 2020 pris en application de l’article 3 de la loi n° 2020-856 du 9 juillet 2020 organisant la sortie de l’Ă©tat d’urgence sanitaire et modifiant le dĂ©cret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnĂ©s Ă  l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’Ă©tat d’urgence sanitaire et complĂ©tant ses dispositions ;
Vu l’arrĂŞtĂ© du 10 juillet 2020 modifiĂ© prescrivant les mesures gĂ©nĂ©rales nĂ©cessaires pour faire face Ă  l’Ă©pidĂ©mie de covid-19 dans les territoires sortis de l’Ă©tat d’urgence sanitaire et dans ceux oĂą il a Ă©tĂ© prorogĂ© ;
Vu l’arrĂŞtĂ© du 9 octobre 2020 modifiant l’arrĂŞtĂ© du 10 juillet 2020 prescrivant les mesures gĂ©nĂ©rales nĂ©cessaires pour faire face Ă  l’Ă©pidĂ©mie de covid-19 dans les territoires sortis de l’Ă©tat d’urgence sanitaire et dans ceux oĂą il a Ă©tĂ© prorogĂ© ;
Vu l’arrĂŞtĂ© du 16 octobre 2020 modifiant l’arrĂŞtĂ© du 10 juillet 2020 prescrivant les mesures gĂ©nĂ©rales nĂ©cessaires pour faire face Ă  l’Ă©pidĂ©mie de covid-19 dans les territoires sortis de l’Ă©tat d’urgence sanitaire et dans ceux oĂą il a Ă©tĂ© prorogĂ© ;
Vu la dĂ©libĂ©ration n° 2020-051 du 8 mai 2020 portant avis sur un projet de dĂ©cret relatif aux systèmes d’information mentionnĂ©s Ă  l’article 6 du projet de loi prorogeant l’Ă©tat d’urgence sanitaire ;
Vu la dĂ©libĂ©ration n° 2020-083 du 23 juillet 2020 portant avis sur un projet de dĂ©cret pris en application de l’article 3 de la loi n° 2020-856 du 9 juillet 2020 organisant la sortie de l’Ă©tat d’urgence sanitaire relatif Ă  la durĂ©e de conservation des donnĂ©es pseudonymisĂ©es collectĂ©es Ă  des fins de surveillance Ă©pidĂ©miologique et de recherche sur le virus de la covid-19 ;
Vu la dĂ©libĂ©ration n° 2020-087 du 10 septembre 2020 portant avis public sur les conditions de mise en Ĺ“uvre des systèmes d’information dĂ©veloppĂ©s aux fins de lutter contre la propagation de l’Ă©pidĂ©mie de covid-19 (mai Ă  aoĂ»t 2020) ;


Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,

Emet l’avis suivant :

La Commission a Ă©tĂ© saisie dans des conditions d’extrĂŞme urgence, le 3 novembre 2020, d’un projet de dĂ©cret modifiant le dĂ©cret n° 2020-551 du 12 mai 2020 fixant les modalitĂ©s dans lesquelles les systèmes d’information prĂ©vus Ă  l’article 11 de la loi n° 2020-446 du 11 mai 2020 prorogeant l’Ă©tat d’urgence sanitaire peuvent ĂŞtre mis en Ĺ“uvre.
Elle souligne que le prĂ©sent avis porte sur un projet de dĂ©cret qui sera pris en application d’un projet de loi modifiant la loi prorogeant l’Ă©tat d’urgence sanitaire encore en cours de discussion au Parlement. Les observations qu’elle formule ne valent donc que sous rĂ©serve de l’adoption du projet de loi autorisant la prorogation de l’Ă©tat d’urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire, et Ă  la condition que celui-ci autorise ce qui figure dans le projet de dĂ©cret.

Le projet de décret prévoit notamment :
– la prolongation de la durĂ©e de mise en Ĺ“uvre des systèmes d’information « Contact Covid » et « SI-DEP » jusqu’Ă  la date mentionnĂ©e Ă  l’article 11 de la loi n° 2020-546 du 11 mai 2020 telle qu’elle sera modifiĂ©e par le projet de loi autorisant la prorogation de l’Ă©tat d’urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire ;
– l’allongement de la durĂ©e de conservation des donnĂ©es pseudonymisĂ©es traitĂ©es Ă  des fins de surveillance Ă©pidĂ©miologique et de recherche sur le virus jusqu’Ă  la date mentionnĂ©e Ă  l’article 11 de la loi n° 2020-546 du 11 mai 2020 telle qu’elle sera modifiĂ©e par le projet de loi autorisant la prorogation de l’Ă©tat d’urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire ;
– l’extension de la remontĂ©e des rĂ©sultats Ă  tous les examens de dĂ©pistage (sĂ©rologique ou virologique) rĂ©alisĂ©s par des professionnels de santĂ© figurant sur une liste prĂ©vue par dĂ©cret et habilitĂ©s Ă  la rĂ©alisation de ces tests.

A titre liminaire, la Commission souhaite, Ă  l’instar des remarques Ă©mises dans son avis du 8 mai 2020 relatif aux systèmes d’information, rappeler :
– le caractère sensible, par nature, de la mise en Ĺ“uvre de tels dispositifs qui permettent notamment le traitement et le partage de donnĂ©es de santĂ©, pouvant ĂŞtre consultĂ©es par un grand nombre d’acteurs et nĂ©cessitant une protection supplĂ©mentaire ;
– que l’atteinte portĂ©e Ă  la vie privĂ©e par ces traitements n’est admissible que si cette politique constitue une rĂ©ponse appropriĂ©e et nĂ©cessaire pour ralentir la propagation de l’Ă©pidĂ©mie. La Commission demande donc que la nĂ©cessitĂ© de ces traitements de donnĂ©es Ă  caractère personnel soit pĂ©riodiquement rĂ©Ă©valuĂ©e au vu de l’Ă©volution de l’Ă©pidĂ©mie et des connaissances scientifiques ;
– que, quel que soit le contexte d’urgence, des garanties suffisantes au regard du respect des principes fondamentaux du droit Ă  la protection des donnĂ©es Ă  caractère personnel doivent ĂŞtre apportĂ©es.

Concernant le traitement « Contact Covid »

  • Sur les finalitĂ©s

La Commission relève que la finalitĂ© du traitement, relative Ă  l’identification des personnes infectĂ©es et Ă  la prescription et la rĂ©alisation des examens de biologie, est Ă©tendue Ă  la prescription et Ă  la rĂ©alisation d’examens de dĂ©pistage sĂ©rologique ou virologique, afin de prendre en compte l’Ă©volution des modalitĂ©s de rĂ©alisation des examens de dĂ©pistage par des professionnels de santĂ© habilitĂ©s.
La Commission considère que cette modification, qui s’inscrit dans celles prĂ©vues par le projet d’article 11 de la loi du 11 mai 2020 actuellement en discussion dans le cadre du projet de loi autorisant la prorogation de l’Ă©tat d’urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire, est conforme aux dispositions de l’article 5-1-b du règlement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD).

  • Sur les catĂ©gories de donnĂ©es collectĂ©es

Le projet d’article 2 du dĂ©cret du 12 mai 2020 envisage de complĂ©ter la liste des catĂ©gories de donnĂ©es collectĂ©es.
La Commission relève qu’une grande partie des catĂ©gories de donnĂ©es visĂ©es par le projet de dĂ©cret est relative Ă  l’historique des quatorze derniers jours concernant les dĂ©placements (nationaux et internationaux), les lieux frĂ©quentĂ©s, les mesures de quarantaine suivies, les contacts avec une personne infectĂ©e ou prĂ©sentant des symptĂ´mes.
En outre, le projet de dĂ©cret prĂ©voit de prĂ©ciser la date et la nature des rassemblements de plus de 10 personnes auxquels la personne a assistĂ© dans les quatorze derniers jours ainsi que la prĂ©cision tenant Ă  l’intervention de l’examen de dĂ©pistage dans le cadre d’une campagne organisĂ©e par une agence rĂ©gionale de santĂ©.
Par ailleurs, la Commission relève que le projet prĂ©voit la collecte du consentement du « patient zĂ©ro » en vue d’une communication de son identitĂ© et de ses coordonnĂ©es Ă  l’organisme compĂ©tent pour l’organisation de l’accompagnement social.
Elle relève enfin :
– qu’une distinction est opĂ©rĂ©e entre les structures d’hĂ©bergement collectif et les autres structures collectives ;
– que la liste des structures ou lieux d’hĂ©bergements collectifs visĂ©s par le dĂ©cret a Ă©tĂ© prĂ©cisĂ©e.

La liste des rassemblements de plus de dix personnes auxquelles les personnes concernĂ©es ont participĂ© dans les quatorze derniers jours n’est cependant pas limitative. A cet Ă©gard, la Commission prend acte de ce qu’aucune zone « commentaires » ou zone « bloc-notes » susceptible de contenir des donnĂ©es non pertinentes, comme elle avait pu l’indiquer dans son avis du 8 mai 2020, ne sera mis en Ĺ“uvre. Elle rappelle que lorsqu’un choix multiple est nĂ©cessaire, il doit ĂŞtre proposĂ© au moyen d’Ă©lĂ©ments d’interface graphique proposant des informations et apprĂ©ciations objectives.
Sous cette rĂ©serve relative Ă  la mise en Ĺ“uvre du dĂ©cret, la Commission considère que ces donnĂ©es sont adĂ©quates et pertinentes au regard des finalitĂ©s pour lesquelles elles sont collectĂ©es en application de l’article 5-1-c du RGPD.

S’agissant des donnĂ©es pseudonymisĂ©es transmises Ă  des fins de suivi Ă©pidĂ©miologie et de recherche

La Commission prend acte des modifications apportĂ©es au projet d’article 3 du dĂ©cret du 12 mai 2020, afin de fixer la liste prĂ©cise des donnĂ©es pseudonymisĂ©es transmises Ă  des fins de surveillance Ă©pidĂ©miologique et de recherche, qui rĂ©pond aux demandes formulĂ©es dans ses avis du 8 mai 2020 et du 23 juillet 2020.
A ce titre, elle relève que toutes les donnĂ©es collectĂ©es dans « Contact Covid » seront transmises Ă  l’exception :
– des donnĂ©es d’identification de la personne infectĂ©e, des personnes cas contacts et des professionnels de santĂ© ou Ă©tablissements assurant l’enregistrement des donnĂ©es ;
– des coordonnĂ©es postales, tĂ©lĂ©phoniques et Ă©lectroniques de la personne infectĂ©e, des personnes cas contacts et des professionnels ou Ă©tablissements assurant l’enregistrement des donnĂ©es ;
– des donnĂ©es relatives Ă  l’identification de l’organisme d’affiliation assurant la prise en charge des frais de santĂ© de la personne infectĂ©e et des personnes cas contacts ;
– des coordonnĂ©es et de la spĂ©cialitĂ© du mĂ©decin ayant rĂ©alisĂ© l’inscription de la personne infectĂ©e ;
– des coordonnĂ©es du mĂ©decin traitant ou du mĂ©decin ayant Ă©tĂ© dĂ©signĂ© par la personne cas contacts ;
– du consentement de la personne infectĂ©e pour la divulgation de son identitĂ© Ă  chaque personne Ă©valuĂ©e comme cas contact.

  • Sur les personnes pouvant consulter, enregistrer ou ĂŞtre destinataires des donnĂ©es

De manière gĂ©nĂ©rale, la Commission rappelle que des instructions claires et uniformes – reprenant les consignes des autoritĂ©s sanitaires – devront ĂŞtre donnĂ©es Ă  l’ensemble des intervenants et leurs sous-traitants quant Ă  la dĂ©finition des diffĂ©rentes notions utilisĂ©es dans le projet de dĂ©cret qui justifient la collecte de donnĂ©es. La formation et la sensibilisation rĂ©gulières des personnels qui sont amenĂ©s Ă  intervenir sont en effet essentielles.
Le projet d’article 3 du dĂ©cret du 12 mai 2020 ajoute certaines catĂ©gories de personnes qui pourront accĂ©der au système d’information ou ĂŞtre destinataires des donnĂ©es contenues dans l’application « Contact Covid ». La Commission rappelle que les catĂ©gories ajoutĂ©es devront strictement correspondre Ă  celles qui seront autorisĂ©es par la loi en cours de discussion.

S’agissant du recours Ă  des sous-traitants et Ă  des intĂ©rimaires par les organismes de protection sociale pour l’enregistrement et la consultation de l’ensemble des donnĂ©es collectĂ©es

Le projet d’article 3 du dĂ©cret du 12 mai 2020 prĂ©voit de permettre aux organismes nationaux et locaux d’assurance maladie, de la caisse nationale militaire de sĂ©curitĂ© sociale et des autres organismes de protection sociale d’avoir recours Ă  des sous-traitants et des intĂ©rimaires.
La Commission relève que cet ajout a pour objectif de rĂ©pondre Ă  l’Ă©volution de la situation sanitaire et Ă  l’augmentation de la charge de travail des Ă©quipes en charge de l’identification des personnes infectĂ©es ou prĂ©sentant un risque d’infection.
Elle prend acte de ce que le ministère s’est engagĂ© Ă  Ă©tablir une liste exhaustive des sous-traitants auxquels il sera fait appel.
La Commission réitère par ailleurs ses recommandations émises dans son avis du 8 mai 2020 et rappelle la nécessité pour ces organismes de mettre en place des mesures protectrices complémentaires telles que :
– l’information et la sensibilisation des personnels aux règles d’usage du système d’information et Ă  leurs obligations en matière de protection des donnĂ©es Ă  caractère personnel, de respect du secret professionnel et des risques de sanctions pĂ©nales encourues en cas de dĂ©tournement de finalitĂ© du traitement ;
– la nĂ©cessitĂ© de dĂ©finir une politique d’habilitation de leurs agents très stricte afin que seuls ceux qui ont en besoin d’en connaĂ®tre accèdent Ă  « Contact Covid ». Les habilitations dĂ©livrĂ©es doivent ĂŞtre limitĂ©es dans le temps et rĂ©gulièrement revues, notamment pour intĂ©grer les Ă©ventuels dĂ©parts d’agents ou changements d’affectation ;
– l’obtention prĂ©alablement Ă  l’habilitation d’un engagement formalisĂ© de respecter ces principes, qui devra comprendre une information claire et complète sur les dispositifs de traçage des accès mis en place, permettant un contrĂ´le rĂ©gulier de l’utilisation des donnĂ©es contenues dans le traitement.

La Commission rappelle que le recours Ă  des sous-traitants devra respecter les dispositions de l’article 28 du RGPD et que des conventions devront ĂŞtre conclues avant toute mise en Ĺ“uvre du traitement. Elle relève que ces conventions prĂ©voiront notamment la possibilitĂ© de rĂ©aliser des audits pour s’assurer de la conformitĂ© du traitement mis en Ĺ“uvre, et que de tels audits devront ĂŞtre rĂ©alisĂ©s afin de vĂ©rifier l’application effective des obligations prĂ©vues dans les conventions.
Eu Ă©gard Ă  la sensibilitĂ© particulière des donnĂ©es de santĂ© et prenant en considĂ©ration l’arrĂŞt C-311/18 rendu par la Cour de justice de l’Union europĂ©enne le 16 juillet 2020 et l’ordonnance n° 444937 du Conseil d’Etat du 13 octobre 2020, la Commission demande Ă  ce que le responsable de traitement ait recours, pour le traitement des donnĂ©es, Ă  des sous-traitants relevant exclusivement des juridictions de l’Union europĂ©enne et qu’aucun transfert de donnĂ©es ne soit effectuĂ© en dehors de l’Union europĂ©enne.

S’agissant de l’accès par les professionnels de santĂ© et personnels des Ă©tablissements de santĂ© et des Ă©tablissements sociaux et mĂ©dico-sociaux aux donnĂ©es des personnes prises en charge par l’Ă©tablissement pour la consultation de l’ensemble des donnĂ©es collectĂ©es

Le ministère a indiquĂ© que cette modification a pour objectif de rĂ©pondre Ă  des difficultĂ©s techniques dans l’utilisation du tĂ©lĂ©service « Contact Covid » qui ne permettraient pas Ă  l’ensemble des professionnels de santĂ©, membres de l’Ă©quipe de soins au sens de l’article L. 1110-12 du code de la santĂ© publique, d’accĂ©der au système d’information pour un mĂŞme patient. Afin de pallier cette difficultĂ©, la rĂ©daction actuelle du projet de dĂ©cret autorise l’ensemble des professionnels de santĂ© et des personnels habilitĂ©s d’un Ă©tablissement de santĂ©, d’un Ă©tablissement social ou d’un Ă©tablissement mĂ©dico-social Ă  accĂ©der aux donnĂ©es de l’ensemble des personnes qui y sont prises en charge, qu’ils soient membres de l’Ă©quipe de soins ou non.
A cet Ă©gard, la Commission demande qu’une politique de gestion des habilitations adĂ©quate soit mise en Ĺ“uvre afin que l’accès du personnel habilitĂ© et des professionnels de santĂ© des Ă©tablissements concernĂ©s soit strictement encadrĂ© et limitĂ© au regard des missions qui leurs sont confiĂ©es. Elle invite par ailleurs le ministère Ă  prĂ©voir des mesures techniques et/ou organisationnelles permettant de garantir que ces accès seront rĂ©alisĂ©s dans des conditions de sĂ©curitĂ© appropriĂ©es.

S’agissant des autres catĂ©gories de personnes autorisĂ©es Ă  enregistrer et Ă  consulter tout ou partie des donnĂ©es collectĂ©es

Le projet de dĂ©cret prĂ©voit d’autoriser l’accès aux donnĂ©es de « Contact Covid » :
– aux professionnels de santĂ© et personnels spĂ©cialement habilitĂ©s des services de santĂ© des Ă©tablissements d’enseignement scolaire ou des Ă©tablissements d’enseignement supĂ©rieur dont l’accès sera limitĂ© afin « d’assurer les seules finalitĂ©s mentionnĂ©es aux 1° Ă  3° du III de l’article 1er ». Les finalitĂ©s auxquelles il est fait rĂ©fĂ©rence sont l’identification de la personne infectĂ©e, l’identification des personnes prĂ©sentant un risque d’infection, l’orientation de ces personnes en fonction de leur situation vers des mesures d’isolement et leur suivi mĂ©dical ;
– aux professionnels de santĂ© et aux Ă©tudiants inscrits dans une formation donnant accès aux professions de santĂ© rĂ©gies par la quatrième partie du code de la santĂ© publique dont l’accès sera limitĂ© afin « d’assurer les seules finalitĂ©s mentionnĂ©es aux 1° Ă  3° du III de l’article 1er » ;
– aux professionnels de santĂ© habilitĂ©s Ă  rĂ©aliser des examens de dĂ©pistage virologique ou sĂ©rologique et aux professionnels placĂ©s sous leur responsabilitĂ© dont l’accès est limitĂ© aux donnĂ©es « nĂ©cessaires Ă  la rĂ©alisation du ou des tests pris en charge par l’assurance maladie ». Il s’agit notamment des pharmaciens, Ă©tant prĂ©cisĂ© que le projet de loi, dans sa rĂ©daction actuelle, renvoie Ă  un dĂ©cret le soin de fixer la liste des professionnels de santĂ© habilitĂ©s.

D’une manière gĂ©nĂ©rale, la Commission rappelle que les mentions prĂ©sentes Ă  l’article 3 du dĂ©cret du 12 mai 2020, non modifiĂ©es par le prĂ©sent projet, selon lesquelles les personnes consultent ou enregistrent les donnĂ©es, « pour assurer les seules finalitĂ©s mentionnĂ©es aux 1° Ă  3° du III de l’article 1er », « dans la limite de leurs besoins d’en connaĂ®tre » ou « nĂ©cessaires Ă  la rĂ©alisation du ou des tests pris en charge par l’assurance maladie » constituent des garanties essentielles qui doivent notamment se traduire par des limitations d’accès paramĂ©trĂ©es dans le système d’information et par des règles d’usage.
Concernant « les professionnels de santé et étudiants inscrits à une formation donnant accès aux professions de santé », la Commission comprend que tout étudiant se destinant à une profession de santé régie par la quatrième partie du code de la santé publique et tout professionnel exerçant une telle profession sera autorisé à enregistrer et à consulter les données de « Contact Covid ».
Elle considère, nĂ©anmoins, que l’accès de ces Ă©tudiants aux donnĂ©es devra ĂŞtre strictement encadrĂ© et que les missions qui leurs seront confiĂ©es devront ĂŞtre dĂ©terminĂ©es au regard de leur niveau de formation.

S’agissant des personnes destinataires des donnĂ©es dans le cadre de l’accompagnement social

La Commission, dans son avis du 8 mai 2020, relevait un manque de visibilitĂ© sur ce volet de l’action publique et le manque de prĂ©cision du terme « accompagnement social », susceptible de recouvrir de nombreux organismes.
A cet Ă©gard, elle relève que le projet d’article 3-VII du dĂ©cret du 12 mai 2020 autorise la transmission des donnĂ©es d’identitĂ© et des coordonnĂ©es tĂ©lĂ©phoniques des « patients zĂ©ro » et des « cas contacts », sous rĂ©serve de leur consentement, aux cellules des prĂ©fectures dĂ©diĂ©es Ă  l’accompagnement social des personnes dans le cadre de la gestion de l’Ă©pidĂ©mie de covid-19.
Elle prend donc acte que seules les cellules de prĂ©fecture dĂ©diĂ©es Ă  l’accompagnement social des personnes seront destinataires de ces donnĂ©es et que les donnĂ©es des personnes ne seront transmises que dans l’hypothèse oĂą elles auront donnĂ© leur consentement exprès Ă  cette transmission.

S’agissant des modalitĂ©s d’authentification des utilisateurs habilitĂ©s

La Commission rappelle qu’elle avait pointĂ© dans son avis du 8 mai 2020 la nĂ©cessitĂ© de mettre en Ĺ“uvre des mesures d’authentification fortes comportant plusieurs facteurs d’authentification. Elle rĂ©affirme ce principe qui dĂ©coule des prĂ©conisations de la PGSSI-S et des recommandations de la Commission concernant l’accès Ă  des donnĂ©es de santĂ©, et appelle le ministère Ă  la vigilance sur ce point.

Concernant le traitement « SI-DEP »

  • Sur la finalitĂ© du traitement

La Commission relève que la finalitĂ© du traitement a Ă©tĂ© modifiĂ©e afin de prĂ©ciser que la centralisation des rĂ©sultats concerne les examens de dĂ©pistage virologique ou sĂ©rologique, afin de prendre en compte l’Ă©volution des modalitĂ©s de rĂ©alisation des examens de dĂ©pistage par des professionnels de santĂ© habilitĂ©s.
La Commission considère que cette modification, qui s’inscrit dans celles prĂ©vues Ă  l’article 3-2° du projet de loi autorisant la prorogation de l’Ă©tat d’urgence sanitaire en cours de discussion, est conforme aux dispositions de l’article 5-1-b du RGPD.

  • Sur les catĂ©gories de donnĂ©es collectĂ©es

Le projet d’article 9 du dĂ©cret du 12 mai 2020 envisage de complĂ©ter la liste des catĂ©gories de donnĂ©es collectĂ©es par l’ajout :
– de donnĂ©es d’identification pour les personnes ayant fait l’objet d’examen de dĂ©pistage virologique ou sĂ©rologique du covid-19 ;
– de donnĂ©es relatives aux dĂ©placements internationaux (sĂ©jour Ă  l’Ă©tranger et indication du pays le cas Ă©chĂ©ant) ;
– de donnĂ©es relatives Ă  la participation Ă  un dĂ©pistage dans le cadre d’une campagne organisĂ©e par les agences rĂ©gionales de santĂ© (ARS) ;
– de la collecte du code postal du lieu dans lequel la personne sĂ©journera pendant les sept jours suivant la rĂ©alisation du dĂ©pistage.

La Commission relève que le ministère indique que la collecte du code postal est nĂ©cessaire pour dĂ©terminer l’ARS territorialement compĂ©tente pour procĂ©der aux enquĂŞtes sanitaires et pour permettre Ă  l’Agence national de santĂ© publique d’effectuer des statistiques gĂ©ographiques prĂ©cises. La Commission en prend acte et invite le ministère Ă  prĂ©ciser ce point dans le dĂ©cret.
La Commission considère que la collecte de ces donnĂ©es est adĂ©quate et pertinente au regard des finalitĂ©s pour lesquelles elles sont traitĂ©es en application de l’article 5-1-c du RGPD.
Prenant par ailleurs acte des prĂ©cisions apportĂ©es concernant les donnĂ©es recueillies dans le cadre de « Contact Covid », la Commission demande que la collecte de l’information relative Ă  un Ă©ventuel hĂ©bergement collectif soit limitĂ©e Ă  une case Ă  cocher (oui/non). Dans l’hypothèse oĂą il serait Ă©tabli que ces prĂ©cisions sont nĂ©cessaires au regard de la finalitĂ© du traitement, elle appelle Ă  exclure les zones « commentaires » ou « zones blocs-notes » susceptibles de contenir des donnĂ©es non pertinentes. Lorsqu’un choix multiple est nĂ©cessaire, il doit ĂŞtre proposĂ© au moyen d’Ă©lĂ©ments d’interface graphique proposant des informations et apprĂ©ciations objectives.

S’agissant des donnĂ©es pseudonymisĂ©es transmises Ă  des fins de suivi Ă©pidĂ©miologie et de recherche

La Commission prend acte des modifications envisagĂ©es par le projet d’article 10 du dĂ©cret du 12 mai 2020 fixant la liste prĂ©cise des donnĂ©es pseudonymisĂ©es transmises Ă  des fins de surveillance Ă©pidĂ©miologique et de recherche, qui rĂ©pond Ă  la demande formulĂ©e dans son avis du 8 mai.
A ce titre, elle relève que les données suivantes seront transmises :
– le sexe, l’âge et le code postal du lieu de rĂ©sidence des personnes ayant fait l’objet d’un examen de dĂ©pistage ;
– les informations portant sur la situation du patient nĂ©cessaires pour la rĂ©alisation des enquĂŞtes sanitaires mentionnĂ©es au 2° du projet d’article 9 du dĂ©cret du 12 mai 2020 ;
– les caractĂ©ristiques techniques du prĂ©lèvement mentionnĂ©es au 5° du projet d’article 9 du dĂ©cret du 12 mai 2020 ;
– les informations relatives au rĂ©sultat des examens de dĂ©pistage mentionnĂ©es au 6° du projet d’article 9 du dĂ©cret du 12 mai 2020.

  • Sur les personnes autorisĂ©es Ă  renseigner ou ĂŞtre destinataires des donnĂ©es

S’agissant des personnes destinataires des donnĂ©es dans le cadre de la diffusion gratuite auprès du public de l’offre de soins disponible

Le projet d’article 10 du dĂ©cret du 12 mai 2020 prĂ©voit d’ajouter comme destinataire du traitement « SI-DEP » le service public de d’information en santĂ© (SPIS) mentionnĂ© Ă  l’article L. 1111-1 du code de la santĂ© publique.
La Commission relève que le SPIS sera destinataire de donnĂ©es personnelles d’identification des professionnels de santĂ© rĂ©alisant les examens de dĂ©pistage (numĂ©ro RPPS, nom, prĂ©nom, adresse du lieu d’exercice, adresse de messagerie sĂ©curisĂ©e), du type d’examen de dĂ©pistage rĂ©alisĂ© et du nombre d’examens rĂ©alisĂ©s par jour.
Elle relève que les donnĂ©es susmentionnĂ©es seront communiquĂ©es au SPIS Ă  des fins de diffusion gratuite sur le web de l’offre de soins disponible, Ă  l’exception de l’adresse de messagerie sĂ©curisĂ©e et des donnĂ©es relatives au nombre de tests rĂ©alisĂ©s par jour, qui ne seront pas publiĂ©es et serviront uniquement Ă  ajuster les règles d’affichage de l’offre de soins.
Elle considère que les données dont la transmission est prévue sont pertinentes au regard de la finalité poursuivie.
Elle prend par ailleurs acte de ce que le ministère a précisé :
– que la durĂ©e de conservation des donnĂ©es par le SPIS serait de sept jours avant destruction. La Commission demande que ces points soient prĂ©cisĂ©s dans le projet de dĂ©cret ;
– qu’une information spĂ©cifique sera dĂ©livrĂ©e aux professionnels Ă  cet Ă©gard, qui prĂ©cisera notamment leurs droits et l’absence de droit d’opposition Ă  cette transmission.

Elle rappelle par ailleurs que toute transmission de donnĂ©es doit ĂŞtre rĂ©alisĂ©e dans des conditions de sĂ©curitĂ© permettant d’en assurer parfaitement la confidentialitĂ©.

S’agissant des personnes autorisĂ©es Ă  renseigner les donnĂ©es

Le projet de dĂ©cret prĂ©voit d’autoriser le renseignement des donnĂ©es de « SI-DEP » par les professionnels de santĂ© habilitĂ©s Ă  rĂ©aliser des examens de dĂ©pistage virologique ou sĂ©rologique et aux personnels placĂ©s sous leur responsabilitĂ©, notamment les pharmaciens Ă©tant prĂ©cisĂ© que le projet de loi, dans sa rĂ©daction actuelle, renvoie Ă  un dĂ©cret le soin de fixer la liste des professionnels de santĂ© habilitĂ©s.
La Commission considère que la mention prĂ©sente Ă  l’article 10 du dĂ©cret du 12 mai 2020, non modifiĂ©e par le prĂ©sent projet, selon laquelle les professionnels de santĂ© habilitĂ©s ou les personnels placĂ©s sous leur responsabilitĂ© enregistrent les donnĂ©es « aux seules fins de renseigner les rĂ©sultats de leurs examens et d’envoyer, le cas Ă©chĂ©ant, les rĂ©sultats Ă  ces mĂŞmes personnes, au mĂ©decin traitant et aux mĂ©decins ayant prescrit l’examen » constitue une garantie essentielle qui doit notamment se traduire par des limitations d’accès paramĂ©trĂ©es dans le système d’information et par des règles d’usage.

Concernant les traitements « Contact Covid » et « SI-DEP »

  • Sur l’information des personnes

La Commission rappelle que l’ensemble des supports d’information relatifs aux traitements devra ĂŞtre modifiĂ© afin de tenir compte des modifications apportĂ©es et que l’ensemble des personnes concernĂ©es devra en ĂŞtre informĂ©.

  • Sur la durĂ©e de conservation

Le projet de décret prévoit les durées de conservation suivantes :
– jusqu’Ă  la date mentionnĂ©e Ă  l’article 11 de la loi n° 2020-546 du 11 mai 2020, actuellement fixĂ©e au 1er avril 2021 par le projet de loi en cours de discussion au Parlement, pour les donnĂ©es pseudonymisĂ©es transmises Ă  des fins de surveillance Ă©pidĂ©miologique et de recherche sur le virus aux organismes destinataires de ces donnĂ©es visĂ©s par le dĂ©cret du 12 mai 2020, dont font partie la Caisse nationale d’assurance maladie et la Plateforme des donnĂ©es de santĂ© (PDS) ;
– jusqu’Ă  la date mentionnĂ©e Ă  l’article 11 de la loi n° 2020-546 du 11 mai 2020, actuellement fixĂ©e au 1er avril 2021 par le projet de loi en cours de discussion au Parlement, pour les donnĂ©es relatives aux opĂ©rations de mise Ă  jour, de suppression et de consultation des traitements « Contact Covid » et « SI-DEP » prĂ©vues respectivement aux articles 5 et 11 du dĂ©cret susmentionnĂ©.

A ce titre, la Commission relève, dans un premier temps, que cette date, actuellement fixĂ©e par le projet de loi en cours de discussion au 1er avril 2021, n’est donc plus dĂ©terminĂ©e, comme le mentionnait antĂ©rieurement le dĂ©cret du 12 mai 2020, en fonction de la date de fin de l’Ă©tat d’urgence.
Dans un second temps, la Commission s’interroge sur la compatibilitĂ© de la durĂ©e lĂ©gale de conservation des donnĂ©es pseudonymisĂ©es issues de « Contact Covid » et de « SI-DEP » transmises Ă  des fins de surveillance Ă©pidĂ©miologique et de recherche sur le virus avec l’hypothèse d’une intĂ©gration de ces dernières au système national des donnĂ©es de santĂ©, dont la durĂ©e de conservation est de vingt ans en application de l’article L. 1461-1-IV-4° du code de la santĂ© publique, ou de leur conservation dans un entrepĂ´t pĂ©renne au sein de la PDS.

  • Sur les analyses d’impact relatives Ă  la protection des donnĂ©es

La Commission demande enfin que les analyses d’impact relatives Ă  la protection des donnĂ©es rĂ©alisĂ©es en application de l’article 35 du RGPD et actualisĂ©es en consĂ©quence lui soient transmises.


JORF n°0277 du 15 novembre 2020, texte n° 74