Saisi de la loi de prorogation de l’état d’urgence sanitaire, le Conseil constitutionnel valide plusieurs de ses dispositions mais, concernant les traitements de données à caractère personnel de nature médicale aux fins de « traçage », le Conseil décide deux censures partielles et énonce trois réserves d’interprétation.
Sur l’absence de consentement nécessaire à la collecte des données
Le Conseil Constitutionnel approuve l’absence de consentement préalable pour le traitement de données à caractère personnel relatives à la santé des personnes atteintes par la maladie du covid-19 et des personnes en contact avec elles, dans le cadre d’un système d’information ad hoc ainsi que dans le cadre d’une adaptation des systèmes d’information relatifs aux données de santé déjà existants.
Si le Conseil Constitutionnel estime que « ces dispositions portent atteinte au droit au respect de la vie privée », il juge toutefois que l’objectif du législateur est de renforcer les moyens de lutte contre l’épidémie du covid-19. Cela s’apparente, selon le Conseil, à la poursuite d’un objectif à valeur constitutionnel : la protection de la santé.
Deux questions se posent dans le prolongement de cette approbation par le Conseil de cette collecte sans consentement :
Quelle base légale au sens de l’article 9 du RGPD devra s’appliquer à ce traitement ?
Il semble, au regard de la décision du Conseil, que la collecte de données de santé soit rendue possible, par exception, du fait que « le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel » (RGPD, article 9.2 (i)). Ce secret professionnel est par ailleurs expressément visé dans l’article 11 de la Loi, comme garantie de confidentialité dans le traitement des données (« Les personnes ayant accès à ces données sont soumises au secret professionnel »).
Quelle information fournie aux personnes concernées par le traitement ?
La loi ne se prononce pas sur les modalités d’information des personnes visées par le traitement (article 13 du RGPD), notamment pour les cas de collecte indirecte des données personnelles (« collecte des informations relatives aux contacts des personnes infectées » au sens de l’article 11 de la loi) prévue à l’article 14 du RGPD. Sur ce point, dans le prolongement de l’avis de la CNIL du 8 mai 2020, le décret no 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi no 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions est venu précisé (article 6 du décret) que : « Les personnes diagnostiquées positives au covid-19 et leurs contacts à risque de contamination reçoivent les informations prévues par les dispositions des a à e du 1. et des a, b, d et e du 2. de l’article 13 du RGPD, et ce préalablement à la collecte des données recueillies auprès d’elles. Les contacts à risque de contamination des personnes diagnostiquées positives au covid-19 reçoivent les informations prévues par les dispositions des a à e du 1. et des a à f du 2. de l’article 14 du RGPD lors de leur première prise de contact dans le cadre de la réalisation de l’enquête sanitaire, préalablement à la collecte de données complémentaires les concernant. Les informations prévues aux articles 13 et 14 du RGPD sont également visés dans le décret pour être diffusées sur les sites Internet du ministère chargé de la santé et de la Caisse nationale de l’Assurance maladie.
Sur la minimisation de la collecte et la proportionnalité du traitement
Pour se prononcer sur l’adéquation et la proportionnalité des dispositions au regard de l’objectif poursuivi, le Conseil Constitutionnel a relevé que la collecte, le traitement et le partage des données personnelles précitées ne peuvent être mis en œuvre que dans la mesure strictement nécessaire à quatre finalités déterminées (figurant dans les dispositions de l’article 1 du décret du 12 mai 2020 concernant le traitement « Contact Covid », mis en œuvre par la Caisse nationale d’assurance maladie (CNAM) et dont l’objet principal est de permettre la conduite des enquêtes sanitaires sur le fondement de l’exécution d’une mission d’intérêt public au sens de l’article 6-1-e du RGPD), à savoir :
- L’identification des personnes infectées, par la prescription et la réalisation des examens de biologie ou d’imagerie médicale pertinents ainsi que par la collecte de leurs résultats, y compris non positifs, ou par la transmission des éléments probants de diagnostic clinique
- L’identification des personnes présentant un risque d’infection, par la collecte des informations relatives aux contacts des personnes infectées et, le cas échéant, par la réalisation d’enquêtes sanitaires, en présence notamment de cas groupés
- L’orientation des personnes infectées, et des personnes susceptibles de l’être, en fonction de leur situation, vers des prescriptions médicales d’isolement prophylactiques, ainsi que l’accompagnement de ces personnes pendant et après la fin de ces mesures
- La surveillance épidémiologique aux niveaux national et local, ainsi que la recherche sur le virus et les moyens de lutter contre sa propagation, sous réserve, en cas de collecte d’informations, de supprimer les nom et prénoms des personnes, leur numéro d’inscription au répertoire national d’identification des personnes physiques et leur adresse
Concernant le traitement « SI-DEP», système d’information national de dépistage mis en œuvre par le ministère de la santé (direction générale de la santé), l’AP-HP étant désignée comme sous-traitant, qui centralisera les résultats des tests au SARS-CoV-2, l’article 8 du décret du 12 mai 2020 précise que ce traitement est mis en œuvre dans le cadre de la mission d’intérêt public du ministère, conformément aux dispositions du e du 1. de l’article 6 du RGPD et pour les motifs d’intérêt public mentionnés au i du 2. de l’article 9 du RGPD. Il a pour finalités de centraliser les résultats d’examens de dépistage du covid-19 afin de les mettre à disposition des organismes chargés de déterminer les personnes ayant été en contact avec des personnes infectées, de réaliser des enquêtes sanitaires en présence de cas groupés pour rompre les chaînes de contamination, d’orienter, de suivre et d’accompagner les personnes concernées, et de faciliter le suivi épidémiologique aux niveaux national et local et la recherche sur le virus de même que les moyens de lutter contre sa propagation.
En outre, le Conseil Constitutionnel souligne que le champ des données de santé à caractère personnel concernées, a été restreint par le législateur aux seules données relatives au statut virologique ou sérologique des personnes à l’égard de la maladie covid-19 ou aux éléments probants de diagnostic clinique et d’imagerie médicale. En l’état, cette précision n’apparait pas de manière explicite dans le décret du 12 mai 2020.
Sur le risque que les traitements ne fassent l’objet d’une mise en relation automatisée des personnes concernées, le Conseil constitutionnel formule sur ce point une réserve d’interprétation en jugeant que l’exigence de suppression des noms et prénoms des intéressés, du NIR et de leur adresse, dans les parties de ces traitements ayant pour finalité la surveillance épidémiologique et la recherche contre le virus, doit également s’étendre aux coordonnées de contact téléphonique ou électronique des intéressés. En faisant référence à l’exigence de suppression, il convient de comprendre que l’anonymisation qui avait été évoquée, n’a plus lieu d’être.
Par cette réserve d’interprétation, il semble donc que le Conseil Constitutionnel estime comme non nécessaire la collecte de ces informations pour réaliser les finalités précédemment visées. Cette réserve d’interprétation peut être aussi vue comme une garantie que les systèmes d’information dont la création est autorisée dans le cadre de la loi, ne fassent pas l’objet d’une mise en relation automatisée des personnes concernées. Toutefois, cette réservation d’interprétation n’a pas donné lieu – du moins pour l’instant – à une plus grande précision dans le décret du 12 mai 2020. Nul doute que la CNIL ayant annoncé dans son avis du 8 mai 2020 qu’elle contrôlera étroitement le dispositif viendra à vérifier ce point.
Sur les destinataires des données personnelles et les accès aux données personnelles
L’article 11 concerné énumère les organismes qui auront accès aux données personnelles pour les besoins de la réalisation des finalités concernées. Le Conseil Constitutionnel a estimé que, si la liste des destinataires est particulièrement étendue, cette extension est rendue nécessaire par la masse des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l’épidémie.
Cependant, si le Conseil Constitutionnel n’a pas remis en question l’accès par des laboratoires privés aux données, il a censuré la deuxième phrase du paragraphe III de l’article 11 incluant dans ce champ les organismes qui assurent l’accompagnement social des intéressés. Il a en effet relevé que, s’agissant d’un accompagnement social qui ne relève pas directement de la lutte contre l’épidémie, rien ne justifie que l’accès aux données à caractère personnel traitées dans le système d’information ne soit pas subordonné au recueil du consentement des intéressés. Sur ce point, le décret du 12 mai 2020, est venu précisé que les données liées aux déclarations d’un besoin d’accompagnement social et d’appui à l’isolement ne peuvent être recueillies qu’avec le consentement des intéressés.
Par une deuxième réserve d’interprétation, le Conseil Constitutionnel a jugé qu’il appartiendra au pouvoir réglementaire de définir des modalités de collecte, de traitement et de partage des informations assurant leur stricte confidentialité et, notamment, l’habilitation spécifique des agents chargés, au sein de chaque organisme, de participer à la mise en œuvre du système d’information ainsi que la traçabilité des accès à ce système d’information. En l’état, cette habilitation spécifique n’apparait pas dans le décret du 12 mai 2020, lequel semble davantage faire référence à une habilitation générale déjà attribuée aux agents concernés préalablement à la loi de prorogation du 11 mai 2020.
Par une troisième réserve d’interprétation, le Conseil Constitutionnel a jugé que si le législateur a autorisé les organismes concourant au dispositif à recourir, pour l’exercice de leur mission dans le cadre du dispositif examiné, à des organismes sous-traitants, ces sous-traitants agissent pour leur compte et sous leur responsabilité. Pour respecter le droit au respect de la vie privée, ce recours aux sous-traitants doit s’effectuer en conformité avec les exigences de nécessité et de confidentialité. Sur ce point, comme l’a recommandé la CNIL dans son avis du 8 mai 2020, le décret du 12 mai 2020, précise (article 8 du décret) que : « la création, du système d’information national de dépistage, dénommé «SI-DEP», dont le responsable est le ministre chargé de la santé (direction générale de la santé) et dont l’Assistance publique-Hôpitaux de Paris assure, pour le compte de ce dernier, la gestion, en qualité de sous-traitant », doit respecter les conditions prévues à l’article 28 du RGPD. Le décret du 12 mai 2020 précise également (article 14 du décret) que : « les agences régionales de santé peuvent avoir recours à des sous-traitants pour exercer, dans les conditions prévues à l’article 28 du RGPD, les missions de réalisation des enquêtes sanitaires, d’orientation, de suivi et d’accompagnement des personnes et de surveillance épidémiologique. Les agences régionales de santé devront s’assurer notamment que leurs sous-traitants présentent : « des garanties de compétence suffisantes pour assurer la mise en œuvre des mesures techniques et organisationnelles appropriées et le respect des règles de confidentialité ».