🟧 Délibération CNIL n° 2020-108 du 5 novembre 2020 portant avis sur un projet de décret modifiant le décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire

Saisie par le ministre des solidarités et de la santé d’une demande d’avis concernant un projet de décret relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions, notamment son article 11 ;
Vu la loi n° 2020-856 du 9 juillet 2020 organisant la sortie de l’état d’urgence sanitaire ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions ;
Vu le décret n° 2020-1018 du 7 août 2020 pris en application de l’article 3 de la loi n° 2020-856 du 9 juillet 2020 organisant la sortie de l’état d’urgence sanitaire et modifiant le décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions ;
Vu l’arrêté du 10 juillet 2020 modifié prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé ;
Vu l’arrêté du 9 octobre 2020 modifiant l’arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé ;
Vu l’arrêté du 16 octobre 2020 modifiant l’arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé ;
Vu la délibération n° 2020-051 du 8 mai 2020 portant avis sur un projet de décret relatif aux systèmes d’information mentionnés à l’article 6 du projet de loi prorogeant l’état d’urgence sanitaire ;
Vu la délibération n° 2020-083 du 23 juillet 2020 portant avis sur un projet de décret pris en application de l’article 3 de la loi n° 2020-856 du 9 juillet 2020 organisant la sortie de l’état d’urgence sanitaire relatif à la durée de conservation des données pseudonymisées collectées à des fins de surveillance épidémiologique et de recherche sur le virus de la covid-19 ;
Vu la délibération n° 2020-087 du 10 septembre 2020 portant avis public sur les conditions de mise en œuvre des systèmes d’information développés aux fins de lutter contre la propagation de l’épidémie de covid-19 (mai à août 2020) ;


Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,

Emet l’avis suivant :

La Commission a été saisie dans des conditions d’extrême urgence, le 3 novembre 2020, d’un projet de décret modifiant le décret n° 2020-551 du 12 mai 2020 fixant les modalités dans lesquelles les systèmes d’information prévus à l’article 11 de la loi n° 2020-446 du 11 mai 2020 prorogeant l’état d’urgence sanitaire peuvent être mis en œuvre.
Elle souligne que le présent avis porte sur un projet de décret qui sera pris en application d’un projet de loi modifiant la loi prorogeant l’état d’urgence sanitaire encore en cours de discussion au Parlement. Les observations qu’elle formule ne valent donc que sous réserve de l’adoption du projet de loi autorisant la prorogation de l’état d’urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire, et à la condition que celui-ci autorise ce qui figure dans le projet de décret.

Le projet de décret prévoit notamment :
– la prolongation de la durée de mise en œuvre des systèmes d’information « Contact Covid » et « SI-DEP » jusqu’à la date mentionnée à l’article 11 de la loi n° 2020-546 du 11 mai 2020 telle qu’elle sera modifiée par le projet de loi autorisant la prorogation de l’état d’urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire ;
– l’allongement de la durée de conservation des données pseudonymisées traitées à des fins de surveillance épidémiologique et de recherche sur le virus jusqu’à la date mentionnée à l’article 11 de la loi n° 2020-546 du 11 mai 2020 telle qu’elle sera modifiée par le projet de loi autorisant la prorogation de l’état d’urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire ;
– l’extension de la remontée des résultats à tous les examens de dépistage (sérologique ou virologique) réalisés par des professionnels de santé figurant sur une liste prévue par décret et habilités à la réalisation de ces tests.

A titre liminaire, la Commission souhaite, à l’instar des remarques émises dans son avis du 8 mai 2020 relatif aux systèmes d’information, rappeler :
– le caractère sensible, par nature, de la mise en œuvre de tels dispositifs qui permettent notamment le traitement et le partage de données de santé, pouvant être consultées par un grand nombre d’acteurs et nécessitant une protection supplémentaire ;
– que l’atteinte portée à la vie privée par ces traitements n’est admissible que si cette politique constitue une réponse appropriée et nécessaire pour ralentir la propagation de l’épidémie. La Commission demande donc que la nécessité de ces traitements de données à caractère personnel soit périodiquement réévaluée au vu de l’évolution de l’épidémie et des connaissances scientifiques ;
– que, quel que soit le contexte d’urgence, des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel doivent être apportées.

Concernant le traitement « Contact Covid »

  • Sur les finalités

La Commission relève que la finalité du traitement, relative à l’identification des personnes infectées et à la prescription et la réalisation des examens de biologie, est étendue à la prescription et à la réalisation d’examens de dépistage sérologique ou virologique, afin de prendre en compte l’évolution des modalités de réalisation des examens de dépistage par des professionnels de santé habilités.
La Commission considère que cette modification, qui s’inscrit dans celles prévues par le projet d’article 11 de la loi du 11 mai 2020 actuellement en discussion dans le cadre du projet de loi autorisant la prorogation de l’état d’urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire, est conforme aux dispositions de l’article 5-1-b du règlement général sur la protection des données (RGPD).

  • Sur les catégories de données collectées

Le projet d’article 2 du décret du 12 mai 2020 envisage de compléter la liste des catégories de données collectées.
La Commission relève qu’une grande partie des catégories de données visées par le projet de décret est relative à l’historique des quatorze derniers jours concernant les déplacements (nationaux et internationaux), les lieux fréquentés, les mesures de quarantaine suivies, les contacts avec une personne infectée ou présentant des symptômes.
En outre, le projet de décret prévoit de préciser la date et la nature des rassemblements de plus de 10 personnes auxquels la personne a assisté dans les quatorze derniers jours ainsi que la précision tenant à l’intervention de l’examen de dépistage dans le cadre d’une campagne organisée par une agence régionale de santé.
Par ailleurs, la Commission relève que le projet prévoit la collecte du consentement du « patient zéro » en vue d’une communication de son identité et de ses coordonnées à l’organisme compétent pour l’organisation de l’accompagnement social.
Elle relève enfin :
– qu’une distinction est opérée entre les structures d’hébergement collectif et les autres structures collectives ;
– que la liste des structures ou lieux d’hébergements collectifs visés par le décret a été précisée.

La liste des rassemblements de plus de dix personnes auxquelles les personnes concernées ont participé dans les quatorze derniers jours n’est cependant pas limitative. A cet égard, la Commission prend acte de ce qu’aucune zone « commentaires » ou zone « bloc-notes » susceptible de contenir des données non pertinentes, comme elle avait pu l’indiquer dans son avis du 8 mai 2020, ne sera mis en œuvre. Elle rappelle que lorsqu’un choix multiple est nécessaire, il doit être proposé au moyen d’éléments d’interface graphique proposant des informations et appréciations objectives.
Sous cette réserve relative à la mise en œuvre du décret, la Commission considère que ces données sont adéquates et pertinentes au regard des finalités pour lesquelles elles sont collectées en application de l’article 5-1-c du RGPD.

S’agissant des données pseudonymisées transmises à des fins de suivi épidémiologie et de recherche

La Commission prend acte des modifications apportées au projet d’article 3 du décret du 12 mai 2020, afin de fixer la liste précise des données pseudonymisées transmises à des fins de surveillance épidémiologique et de recherche, qui répond aux demandes formulées dans ses avis du 8 mai 2020 et du 23 juillet 2020.
A ce titre, elle relève que toutes les données collectées dans « Contact Covid » seront transmises à l’exception :
– des données d’identification de la personne infectée, des personnes cas contacts et des professionnels de santé ou établissements assurant l’enregistrement des données ;
– des coordonnées postales, téléphoniques et électroniques de la personne infectée, des personnes cas contacts et des professionnels ou établissements assurant l’enregistrement des données ;
– des données relatives à l’identification de l’organisme d’affiliation assurant la prise en charge des frais de santé de la personne infectée et des personnes cas contacts ;
– des coordonnées et de la spécialité du médecin ayant réalisé l’inscription de la personne infectée ;
– des coordonnées du médecin traitant ou du médecin ayant été désigné par la personne cas contacts ;
– du consentement de la personne infectée pour la divulgation de son identité à chaque personne évaluée comme cas contact.

  • Sur les personnes pouvant consulter, enregistrer ou être destinataires des données

De manière générale, la Commission rappelle que des instructions claires et uniformes – reprenant les consignes des autorités sanitaires – devront être données à l’ensemble des intervenants et leurs sous-traitants quant à la définition des différentes notions utilisées dans le projet de décret qui justifient la collecte de données. La formation et la sensibilisation régulières des personnels qui sont amenés à intervenir sont en effet essentielles.
Le projet d’article 3 du décret du 12 mai 2020 ajoute certaines catégories de personnes qui pourront accéder au système d’information ou être destinataires des données contenues dans l’application « Contact Covid ». La Commission rappelle que les catégories ajoutées devront strictement correspondre à celles qui seront autorisées par la loi en cours de discussion.

S’agissant du recours à des sous-traitants et à des intérimaires par les organismes de protection sociale pour l’enregistrement et la consultation de l’ensemble des données collectées

Le projet d’article 3 du décret du 12 mai 2020 prévoit de permettre aux organismes nationaux et locaux d’assurance maladie, de la caisse nationale militaire de sécurité sociale et des autres organismes de protection sociale d’avoir recours à des sous-traitants et des intérimaires.
La Commission relève que cet ajout a pour objectif de répondre à l’évolution de la situation sanitaire et à l’augmentation de la charge de travail des équipes en charge de l’identification des personnes infectées ou présentant un risque d’infection.
Elle prend acte de ce que le ministère s’est engagé à établir une liste exhaustive des sous-traitants auxquels il sera fait appel.
La Commission réitère par ailleurs ses recommandations émises dans son avis du 8 mai 2020 et rappelle la nécessité pour ces organismes de mettre en place des mesures protectrices complémentaires telles que :
– l’information et la sensibilisation des personnels aux règles d’usage du système d’information et à leurs obligations en matière de protection des données à caractère personnel, de respect du secret professionnel et des risques de sanctions pénales encourues en cas de détournement de finalité du traitement ;
– la nécessité de définir une politique d’habilitation de leurs agents très stricte afin que seuls ceux qui ont en besoin d’en connaître accèdent à « Contact Covid ». Les habilitations délivrées doivent être limitées dans le temps et régulièrement revues, notamment pour intégrer les éventuels départs d’agents ou changements d’affectation ;
– l’obtention préalablement à l’habilitation d’un engagement formalisé de respecter ces principes, qui devra comprendre une information claire et complète sur les dispositifs de traçage des accès mis en place, permettant un contrôle régulier de l’utilisation des données contenues dans le traitement.

La Commission rappelle que le recours à des sous-traitants devra respecter les dispositions de l’article 28 du RGPD et que des conventions devront être conclues avant toute mise en œuvre du traitement. Elle relève que ces conventions prévoiront notamment la possibilité de réaliser des audits pour s’assurer de la conformité du traitement mis en œuvre, et que de tels audits devront être réalisés afin de vérifier l’application effective des obligations prévues dans les conventions.
Eu égard à la sensibilité particulière des données de santé et prenant en considération l’arrêt C-311/18 rendu par la Cour de justice de l’Union européenne le 16 juillet 2020 et l’ordonnance n° 444937 du Conseil d’Etat du 13 octobre 2020, la Commission demande à ce que le responsable de traitement ait recours, pour le traitement des données, à des sous-traitants relevant exclusivement des juridictions de l’Union européenne et qu’aucun transfert de données ne soit effectué en dehors de l’Union européenne.

S’agissant de l’accès par les professionnels de santé et personnels des établissements de santé et des établissements sociaux et médico-sociaux aux données des personnes prises en charge par l’établissement pour la consultation de l’ensemble des données collectées

Le ministère a indiqué que cette modification a pour objectif de répondre à des difficultés techniques dans l’utilisation du téléservice « Contact Covid » qui ne permettraient pas à l’ensemble des professionnels de santé, membres de l’équipe de soins au sens de l’article L. 1110-12 du code de la santé publique, d’accéder au système d’information pour un même patient. Afin de pallier cette difficulté, la rédaction actuelle du projet de décret autorise l’ensemble des professionnels de santé et des personnels habilités d’un établissement de santé, d’un établissement social ou d’un établissement médico-social à accéder aux données de l’ensemble des personnes qui y sont prises en charge, qu’ils soient membres de l’équipe de soins ou non.
A cet égard, la Commission demande qu’une politique de gestion des habilitations adéquate soit mise en œuvre afin que l’accès du personnel habilité et des professionnels de santé des établissements concernés soit strictement encadré et limité au regard des missions qui leurs sont confiées. Elle invite par ailleurs le ministère à prévoir des mesures techniques et/ou organisationnelles permettant de garantir que ces accès seront réalisés dans des conditions de sécurité appropriées.

S’agissant des autres catégories de personnes autorisées à enregistrer et à consulter tout ou partie des données collectées

Le projet de décret prévoit d’autoriser l’accès aux données de « Contact Covid » :
– aux professionnels de santé et personnels spécialement habilités des services de santé des établissements d’enseignement scolaire ou des établissements d’enseignement supérieur dont l’accès sera limité afin « d’assurer les seules finalités mentionnées aux 1° à 3° du III de l’article 1er ». Les finalités auxquelles il est fait référence sont l’identification de la personne infectée, l’identification des personnes présentant un risque d’infection, l’orientation de ces personnes en fonction de leur situation vers des mesures d’isolement et leur suivi médical ;
– aux professionnels de santé et aux étudiants inscrits dans une formation donnant accès aux professions de santé régies par la quatrième partie du code de la santé publique dont l’accès sera limité afin « d’assurer les seules finalités mentionnées aux 1° à 3° du III de l’article 1er » ;
– aux professionnels de santé habilités à réaliser des examens de dépistage virologique ou sérologique et aux professionnels placés sous leur responsabilité dont l’accès est limité aux données « nécessaires à la réalisation du ou des tests pris en charge par l’assurance maladie ». Il s’agit notamment des pharmaciens, étant précisé que le projet de loi, dans sa rédaction actuelle, renvoie à un décret le soin de fixer la liste des professionnels de santé habilités.

D’une manière générale, la Commission rappelle que les mentions présentes à l’article 3 du décret du 12 mai 2020, non modifiées par le présent projet, selon lesquelles les personnes consultent ou enregistrent les données, « pour assurer les seules finalités mentionnées aux 1° à 3° du III de l’article 1er », « dans la limite de leurs besoins d’en connaître » ou « nécessaires à la réalisation du ou des tests pris en charge par l’assurance maladie » constituent des garanties essentielles qui doivent notamment se traduire par des limitations d’accès paramétrées dans le système d’information et par des règles d’usage.
Concernant « les professionnels de santé et étudiants inscrits à une formation donnant accès aux professions de santé », la Commission comprend que tout étudiant se destinant à une profession de santé régie par la quatrième partie du code de la santé publique et tout professionnel exerçant une telle profession sera autorisé à enregistrer et à consulter les données de « Contact Covid ».
Elle considère, néanmoins, que l’accès de ces étudiants aux données devra être strictement encadré et que les missions qui leurs seront confiées devront être déterminées au regard de leur niveau de formation.

S’agissant des personnes destinataires des données dans le cadre de l’accompagnement social

La Commission, dans son avis du 8 mai 2020, relevait un manque de visibilité sur ce volet de l’action publique et le manque de précision du terme « accompagnement social », susceptible de recouvrir de nombreux organismes.
A cet égard, elle relève que le projet d’article 3-VII du décret du 12 mai 2020 autorise la transmission des données d’identité et des coordonnées téléphoniques des « patients zéro » et des « cas contacts », sous réserve de leur consentement, aux cellules des préfectures dédiées à l’accompagnement social des personnes dans le cadre de la gestion de l’épidémie de covid-19.
Elle prend donc acte que seules les cellules de préfecture dédiées à l’accompagnement social des personnes seront destinataires de ces données et que les données des personnes ne seront transmises que dans l’hypothèse où elles auront donné leur consentement exprès à cette transmission.

S’agissant des modalités d’authentification des utilisateurs habilités

La Commission rappelle qu’elle avait pointé dans son avis du 8 mai 2020 la nécessité de mettre en œuvre des mesures d’authentification fortes comportant plusieurs facteurs d’authentification. Elle réaffirme ce principe qui découle des préconisations de la PGSSI-S et des recommandations de la Commission concernant l’accès à des données de santé, et appelle le ministère à la vigilance sur ce point.

Concernant le traitement « SI-DEP »

  • Sur la finalité du traitement

La Commission relève que la finalité du traitement a été modifiée afin de préciser que la centralisation des résultats concerne les examens de dépistage virologique ou sérologique, afin de prendre en compte l’évolution des modalités de réalisation des examens de dépistage par des professionnels de santé habilités.
La Commission considère que cette modification, qui s’inscrit dans celles prévues à l’article 3-2° du projet de loi autorisant la prorogation de l’état d’urgence sanitaire en cours de discussion, est conforme aux dispositions de l’article 5-1-b du RGPD.

  • Sur les catégories de données collectées

Le projet d’article 9 du décret du 12 mai 2020 envisage de compléter la liste des catégories de données collectées par l’ajout :
– de données d’identification pour les personnes ayant fait l’objet d’examen de dépistage virologique ou sérologique du covid-19 ;
– de données relatives aux déplacements internationaux (séjour à l’étranger et indication du pays le cas échéant) ;
– de données relatives à la participation à un dépistage dans le cadre d’une campagne organisée par les agences régionales de santé (ARS) ;
– de la collecte du code postal du lieu dans lequel la personne séjournera pendant les sept jours suivant la réalisation du dépistage.

La Commission relève que le ministère indique que la collecte du code postal est nécessaire pour déterminer l’ARS territorialement compétente pour procéder aux enquêtes sanitaires et pour permettre à l’Agence national de santé publique d’effectuer des statistiques géographiques précises. La Commission en prend acte et invite le ministère à préciser ce point dans le décret.
La Commission considère que la collecte de ces données est adéquate et pertinente au regard des finalités pour lesquelles elles sont traitées en application de l’article 5-1-c du RGPD.
Prenant par ailleurs acte des précisions apportées concernant les données recueillies dans le cadre de « Contact Covid », la Commission demande que la collecte de l’information relative à un éventuel hébergement collectif soit limitée à une case à cocher (oui/non). Dans l’hypothèse où il serait établi que ces précisions sont nécessaires au regard de la finalité du traitement, elle appelle à exclure les zones « commentaires » ou « zones blocs-notes » susceptibles de contenir des données non pertinentes. Lorsqu’un choix multiple est nécessaire, il doit être proposé au moyen d’éléments d’interface graphique proposant des informations et appréciations objectives.

S’agissant des données pseudonymisées transmises à des fins de suivi épidémiologie et de recherche

La Commission prend acte des modifications envisagées par le projet d’article 10 du décret du 12 mai 2020 fixant la liste précise des données pseudonymisées transmises à des fins de surveillance épidémiologique et de recherche, qui répond à la demande formulée dans son avis du 8 mai.
A ce titre, elle relève que les données suivantes seront transmises :
– le sexe, l’âge et le code postal du lieu de résidence des personnes ayant fait l’objet d’un examen de dépistage ;
– les informations portant sur la situation du patient nécessaires pour la réalisation des enquêtes sanitaires mentionnées au 2° du projet d’article 9 du décret du 12 mai 2020 ;
– les caractéristiques techniques du prélèvement mentionnées au 5° du projet d’article 9 du décret du 12 mai 2020 ;
– les informations relatives au résultat des examens de dépistage mentionnées au 6° du projet d’article 9 du décret du 12 mai 2020.

  • Sur les personnes autorisées à renseigner ou être destinataires des données

S’agissant des personnes destinataires des données dans le cadre de la diffusion gratuite auprès du public de l’offre de soins disponible

Le projet d’article 10 du décret du 12 mai 2020 prévoit d’ajouter comme destinataire du traitement « SI-DEP » le service public de d’information en santé (SPIS) mentionné à l’article L. 1111-1 du code de la santé publique.
La Commission relève que le SPIS sera destinataire de données personnelles d’identification des professionnels de santé réalisant les examens de dépistage (numéro RPPS, nom, prénom, adresse du lieu d’exercice, adresse de messagerie sécurisée), du type d’examen de dépistage réalisé et du nombre d’examens réalisés par jour.
Elle relève que les données susmentionnées seront communiquées au SPIS à des fins de diffusion gratuite sur le web de l’offre de soins disponible, à l’exception de l’adresse de messagerie sécurisée et des données relatives au nombre de tests réalisés par jour, qui ne seront pas publiées et serviront uniquement à ajuster les règles d’affichage de l’offre de soins.
Elle considère que les données dont la transmission est prévue sont pertinentes au regard de la finalité poursuivie.
Elle prend par ailleurs acte de ce que le ministère a précisé :
– que la durée de conservation des données par le SPIS serait de sept jours avant destruction. La Commission demande que ces points soient précisés dans le projet de décret ;
– qu’une information spécifique sera délivrée aux professionnels à cet égard, qui précisera notamment leurs droits et l’absence de droit d’opposition à cette transmission.

Elle rappelle par ailleurs que toute transmission de données doit être réalisée dans des conditions de sécurité permettant d’en assurer parfaitement la confidentialité.

S’agissant des personnes autorisées à renseigner les données

Le projet de décret prévoit d’autoriser le renseignement des données de « SI-DEP » par les professionnels de santé habilités à réaliser des examens de dépistage virologique ou sérologique et aux personnels placés sous leur responsabilité, notamment les pharmaciens étant précisé que le projet de loi, dans sa rédaction actuelle, renvoie à un décret le soin de fixer la liste des professionnels de santé habilités.
La Commission considère que la mention présente à l’article 10 du décret du 12 mai 2020, non modifiée par le présent projet, selon laquelle les professionnels de santé habilités ou les personnels placés sous leur responsabilité enregistrent les données « aux seules fins de renseigner les résultats de leurs examens et d’envoyer, le cas échéant, les résultats à ces mêmes personnes, au médecin traitant et aux médecins ayant prescrit l’examen » constitue une garantie essentielle qui doit notamment se traduire par des limitations d’accès paramétrées dans le système d’information et par des règles d’usage.

Concernant les traitements « Contact Covid » et « SI-DEP »

  • Sur l’information des personnes

La Commission rappelle que l’ensemble des supports d’information relatifs aux traitements devra être modifié afin de tenir compte des modifications apportées et que l’ensemble des personnes concernées devra en être informé.

  • Sur la durée de conservation

Le projet de décret prévoit les durées de conservation suivantes :
– jusqu’à la date mentionnée à l’article 11 de la loi n° 2020-546 du 11 mai 2020, actuellement fixée au 1er avril 2021 par le projet de loi en cours de discussion au Parlement, pour les données pseudonymisées transmises à des fins de surveillance épidémiologique et de recherche sur le virus aux organismes destinataires de ces données visés par le décret du 12 mai 2020, dont font partie la Caisse nationale d’assurance maladie et la Plateforme des données de santé (PDS) ;
– jusqu’à la date mentionnée à l’article 11 de la loi n° 2020-546 du 11 mai 2020, actuellement fixée au 1er avril 2021 par le projet de loi en cours de discussion au Parlement, pour les données relatives aux opérations de mise à jour, de suppression et de consultation des traitements « Contact Covid » et « SI-DEP » prévues respectivement aux articles 5 et 11 du décret susmentionné.

A ce titre, la Commission relève, dans un premier temps, que cette date, actuellement fixée par le projet de loi en cours de discussion au 1er avril 2021, n’est donc plus déterminée, comme le mentionnait antérieurement le décret du 12 mai 2020, en fonction de la date de fin de l’état d’urgence.
Dans un second temps, la Commission s’interroge sur la compatibilité de la durée légale de conservation des données pseudonymisées issues de « Contact Covid » et de « SI-DEP » transmises à des fins de surveillance épidémiologique et de recherche sur le virus avec l’hypothèse d’une intégration de ces dernières au système national des données de santé, dont la durée de conservation est de vingt ans en application de l’article L. 1461-1-IV-4° du code de la santé publique, ou de leur conservation dans un entrepôt pérenne au sein de la PDS.

  • Sur les analyses d’impact relatives à la protection des données

La Commission demande enfin que les analyses d’impact relatives à la protection des données réalisées en application de l’article 35 du RGPD et actualisées en conséquence lui soient transmises.


JORF n°0277 du 15 novembre 2020, texte n° 74