La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis concernant un projet d'arrêté pris pour l'application de l'article 67 de loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le code de la santé publique ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 67 ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment son article 67 ;
Vu le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire, notamment son article 2 B (10°) ;
Après avoir entendu Mme Valérie PEUGEOT, commissaire en son rapport, Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Les dispositions de l'article 67 de la loi « Informatique et Libertés » prévoient que les traitements mis en œuvre par certains responsables de traitement - les organismes ou les services chargés d'une mission de service public listés dans le projet d'arrêté -, et ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites, sont soumis aux seules dispositions de la section 3 du chapitre IV du règlement (UE) 2016/679 du 27 avril 2016 (RGPD). Les dispositions de la section 3 du chapitre III du titre II de la loi « Informatique et Libertés » relatives aux formalités préalables auprès de la CNIL ne leur sont donc pas applicables, par dérogation à son article 66.
Le projet d'arrêté a également pour effet de permettre aux organismes et aux services chargés d'une mission de service public portant sur la gestion et du suivi des alertes sanitaires de traiter le numéro d'inscription au répertoire national d'identification des personnes physiques, en application de l'article 2 B (10°) du décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ou nécessitant la consultation de ce répertoire.
La Commission souligne que le régime dérogatoire prévu par l'article 67 de la loi « Informatique et Libertés », qui a vocation à s'appliquer à chaque « alerte sanitaire » et non à la seule gestion de la crise sanitaire liée à la covid-19, doit faire l'objet d'une interprétation stricte.
Elle rappelle, par ailleurs, l'obligation pour les responsables de traitement concernés de s'assurer du respect, d'une part, des règles de fond posées par la section 3 du chapitre III du titre II de la loi (conditions d'information et droits des personnes, etc.) et, d'autre part, des principes posés par le code de la santé publique, notamment son article L. 1110-4.
Sur les responsables de traitement qui pourraient bénéficier de cette dérogation
Le projet d'arrêté a vocation à fixer la liste des responsables de traitement pouvant bénéficier du dispositif évoqué à l'article 67 de la loi.
La Commission considère, en premier lieu, que les organismes ou les services chargés d'une mission de service public agissant en tant que sous-traitant ou en tant que destinataire au sens de l'article 4 du RGPD n'ont pas vocation à figurer dans le projet d'arrêté.
Elle estime ainsi, compte tenu, d'une part, des missions attribuées à certains acteurs par les textes législatifs et réglementaires et, d'autre part, des informations transmises par le ministère, que certains organismes tels que les observatoires régionaux de santé ou encore les organismes et services chargés de la remontée des informations ou de la mise en œuvre des traitements de données (Agence du numérique en santé, Plateforme des données de santé, Agence technique de l'information sur l'hospitalisation) ne semblent pas agir en qualité de responsable de traitement. Ils ne devraient, dès lors, pas figurer dans l'arrêté.
En deuxième lieu, et au surplus, ne devraient figurer sur la liste que des organismes investis, en application d'un texte législatif ou réglementaire ou dans le respect des missions confiées par les autorités compétentes, de la mission de répondre à une alerte sanitaire ou d'en gérer les suites en cas d'urgence.
A ce titre, la Commission s'interroge sur les hypothèses dans lesquelles certains organismes figurant dans le projet pourraient être amenés à mettre en œuvre, en qualité de responsable de traitement, des traitements ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites, s'agissant :
- des observatoires régionaux de santé ;
- des organismes et services ayant pour objet la recherche dans le domaine de la santé ou contribuant à de telles recherches ;
- des directions départementales de la cohésion sociale et de la protection des personnes ;
- de l'Agence du numérique en santé ;
- de la Plateforme des données de santé ;
- de l'Agence technique de l'information sur l'hospitalisation.
La Commission considère que, dans l'hypothèse où le Gouvernement souhaiterait maintenir ces organismes dans le projet d'arrêté, ils devront être expressément chargés, au moyen d'une lettre de mission par exemple, de participer à la gestion d'une alerte sanitaire afin de mettre en œuvre de tels traitements. Tel a notamment été le cas de l'Institut Pasteur dans le cadre du projet « COVID-TELE ».
La Commission prend acte de l'engagement du ministère de remplacer dans le projet d'arrêté « les équipes de recherche des centres hospitaliers » par « les centres hospitaliers universitaires », les projets de recherche impliquant le traitement des données de patients et/ou des personnels étant conduits sous la responsabilité du chef d'établissement.
Sur les finalités poursuivies par les traitements
D'après l'analyse du ministère, le périmètre d'application de la dérogation prévue à l'article 67 de la loi serait applicable à l'ensemble des traitements relevant de la section 3 de la loi.
La Commission tient à rappeler que l'unique finalité des traitements bénéficiant de cette dérogation doit être de « répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites […] ».
En premier lieu, les traitements ainsi mis en œuvre ne devront pas prévoir de sous-finalités qui ne rempliraient pas l'ensemble des critères mentionnés. Par exemple, devraient être exclus du périmètre de la dérogation les traitements ayant pour objet la constitution d'entrepôts visant à permettre la réalisation de traitements ultérieurs.
En deuxième lieu, la Commission constate que la notion d'alerte sanitaire n'est pas définie dans les textes législatifs ou réglementaires. Lors de l'introduction de cette dérogation dans la loi « Informatique et Libertés » par la loi n° 2016-41 de modernisation de notre système de santé, l'étude d'impact du projet de loi précisait ainsi la notion d'alerte sanitaire dans le cadre de ce dispositif : « l'alerte sanitaire se rapporte à tout phénomène ou événement nouveau et anormal présentant un risque à court ou moyen terme pour la santé publique, quelle qu'en soit la nature, nécessitant la mise en œuvre dans les plus brefs délais de mesures de réduction de ce risque. »
Ces dispositions renvoient d'ailleurs expressément aux missions de l'Agence nationale de santé publique (ANSP, ou Santé publique France, anciennement Institut national de veille sanitaire), qui est notamment chargée de « la préparation et la réponse aux menaces, alertes et crises sanitaires » et « du lancement de l'alerte sanitaire » (articles L. 1413-1 et suivants du code de la santé publique). Selon un rapport du groupe de travail de l'Institut de veille sanitaire de 2005, l'alerte sanitaire peut émaner de deux sources : d'« indicateurs sanitaires collectés en routine et reflétant l'état de santé d'un individu ou d'une population, ou une exposition environnementale à un agent dangereux », ou d'un « un événement de toute nature et origine associé à une menace pour la santé publique ».
La Commission considère que les traitements ne pourront être mis en œuvre que dans le cadre d'une alerte sanitaire lancée par l'ANSP, conformément aux dispositions des articles 67 de la loi « Informatique et Libertés » et L. 1413-1-6° du code de la santé publique, tant s'agissant de la gestion de la réponse à l'alerte que de la gestion de ses suites. Ainsi, les organismes et services énumérés dans le projet d'arrêté ne pourront pas procéder eux-mêmes à l'évaluation de la situation d'alerte sanitaire.
En troisième lieu, la Commission estime qu'il convient d'adopter une approche restrictive de la notion de « situation d'urgence », en limitant la mise en œuvre de ce dispositif aux situations de « menace sanitaire grave appelant des mesures d'urgence » telle que définies à l'article L. 3131-1 du code de la santé publique et à « l'état d'urgence sanitaire » tel que défini à l'article L. 3131-12 du code de la santé publique. Elle estime également que les organismes devront interpréter la notion de « situation d'urgence » conformément à la jurisprudence constante des juridictions compétentes.
A cet égard, la Commission attire l'attention du ministère sur le fait qu'un certain nombre de projets récemment soumis pour autorisation et liés à la covid-19, qui constitue un exemple d'alerte sanitaire, ne remplissent pas, selon l'analyse ci-dessus, les critères énoncés à l'article 67 de la loi. Il en va ainsi notamment de plusieurs projets de recherche qui, bien que réalisés pendant l'état d'urgence sanitaire, ne visaient pas directement à apporter, en situation d'urgence, des réponses à la crise sanitaire.
Sur les catégories de données traitées
Compte tenu de la sensibilité des données traitées, la Commission appelle à la plus grande vigilance sur le respect du principe de minimisation des données et des critères liés aux finalités des traitements mis en œuvre dans le cadre dérogatoire posé par l'article 67 de la loi « Informatique et Libertés ».
De plus, dans l'hypothèse où le traitement de données issues du système des données de santé (SNDS) serait envisagé, la Commission rappelle que les dispositions relatives au SNDS (articles L. 1461-1 et suivants du code de la santé publique) prévoient des modalités particulières pour la mise en œuvre des traitements des données qu'il contient (notamment le respect du référentiel de sécurité et, en dehors des accès permanents autorisés par le législateur, la communication par le responsable de traitement à la Plateforme des données de santé d'un certain nombre d'éléments qui doivent ensuite faire l'objet d'une publication).
Ainsi, si l'article 67 de la loi « Informatique et Libertés » dispense le responsable de traitement d'une autorisation, il ne vise cependant pas à déroger aux autres dispositions du code de la santé publique relatives au SNDS, qui restent pleinement applicables.
Enfin, la Commission rappelle que les données traitées devront être pertinentes au regard des finalités du traitement, et que le respect du principe de minimisation des données doit conduire à ne collecter que les données strictement nécessaires au regard des finalités poursuivies. Ainsi, elle estime notamment que les traitements mis en œuvre par les services des départements dans le cadre de ce dispositif devraient être strictement limités à leurs compétences géographiques.
Sur le traitement du NIR et les mesures de sécurité associées
La Commission souligne que le projet d'arrêté a également pour objet de fixer la liste des organismes et des services chargés d'une mission de service public en charge de la gestion et du suivi des alertes sanitaires, tel que prévu par les dispositions de l'article 2 B (10°) du décret n° 2019-341 du 19 avril 2019.
En premier lieu, la Commission rappelle que l'article 86 du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés précise que, conformément au principe de minimisation, le NIR peut être traité dans le cadre du présent dispositif « lorsqu'une telle utilisation constitue le seul moyen de collecter des données de santé à caractère personnel nécessaires pour faire face à l'urgence sanitaire ». En particulier, la Commission s'interroge sur la possibilité pour certains acteurs listés dans le projet d'arrêté de traiter le NIR n'ayant pas fait l'objet d'une opération cryptographique, alors même que ce traitement n'est pas prévu dans le cadre des missions qui leur sont traditionnellement attribuées. En application du principe de minimisation, le NIR ne devrait être traité sous sa forme littérale que lorsque cela est absolument nécessaire à l'accomplissement des finalités, ce dont le responsable de traitement devra expressément justifier, par exemple dans le cadre de l'analyse d'impact relative à la protection des données. Lorsque le NIR n'est utilisé que pour permettre l'appariement de données entre deux jeux de données, seul un NIR ayant fait préalablement l'objet d'opérations cryptographiques lui substituant un code non signifiant devrait pouvoir faire l'objet d'un traitement. En l'absence de précision sur ce point dans le projet, la Commission prend acte de l'engagement du ministère de préciser dans l'arrêté que les organismes mentionnés au 8° du projet de texte ne seront pas autorisés à traiter le NIR dans les situations visées à l'article 67 de la loi « Informatique et Libertés ». Elle invite cependant le ministère à préciser explicitement dans l'arrêté, s'agissant des autres organismes mentionnés, si le NIR qu'ils pourront traiter devra préalablement avoir fait l'objet d'opérations cryptographiques.
En second lieu, la Commission rappelle que ce traitement ne pourra donc être réalisé que dans le respect, d'une part, des articles 5-1-f et 32 du RGPD ainsi que, d'autre part, de l'article 86 du décret précité. Ainsi, tout traitement du NIR devra s'effectuer dans des conditions de sécurité de très haut niveau, compte tenu des risques attachés au traitement de cette donnée. Les mesures de chiffrement mises en œuvre doivent ainsi être conformes à l'état de l'art et au référentiel général de sécurité édité par l'Agence nationale de la sécurité des systèmes d'information.
Sur la réalisation de l'analyse d'impact relative à la protection des données
La Commission relève que l'article 67 de la loi « Informatique et Libertés » soumet les traitements qu'il a vocation à encadrer « aux seules dispositions » de la section 3 du chapitre IV du RGPD qui concerne l'analyse d'impact relative à la protection des données (AIPD) et la consultation préalable de l'autorité de contrôle lorsque l'AIPD indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque (articles 35 et 36 du RGPD).
Aux termes de l'article 35 du RGPD, une AIPD doit être réalisée préalablement à la mise en œuvre du traitement dès lors que celui-ci « par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement » est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
Conformément à la délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une AIPD est requise, tel est notamment le cas des traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire. Au surplus, la Commission rappelle qu'une telle AIPD est requise lorsque ces traitements rempliront au moins deux des neuf critères issus des lignes directrices du Comité européen sur la protection des données (CEPD) sur l'analyse d'impact relative à la protection des données (collecte de données sensibles, traitement de données concernant des personnes vulnérables, traitement de données à grande échelle, croisement ou combinaison d'ensemble de données, usage innovant, etc.).
La Commission estime donc que chacun des traitements qui sera mis en œuvre dans le cadre de l'article 67 de la loi « Informatique et Libertés » devra, sauf exception dûment justifiée, avoir préalablement fait l'objet d'une AIPD.
Au surplus, la Commission considère qu'il appartient au responsable de traitement de documenter, tant dans l'AIPD que dans son registre des activités de traitement, que le traitement envisagé respecte les conditions prévues par l'article 67 de la loi « Informatique et Libertés ».
Sur les modalités d'exercice des missions de la Commission sur les traitements mis en œuvre
La Commission relève que les dérogations régies par le premier alinéa de l'article 67 de la loi « Informatique et Libertés » prennent fin un an après la création du traitement.
Par conséquent, si le traitement continue à être mis en œuvre au-delà de ce délai, celui-ci devra faire l'objet d'une formalité conformément aux dispositions de l'article 66 de la loi « Informatique et Libertés ». S'agissant des recherches n'impliquant pas la personne humaine qui ne seraient pas conformes à une méthodologie de référence, la procédure d'autorisation prévue par l'article 76 de la loi « Informatique et Libertés » » devra être respectée ; en particulier, le dossier devra être déposé auprès de la Plateforme des données de santé et examiné par le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé.
La Commission attire l'attention du ministère et des responsables de traitement concernés sur le fait qu'elle ne pourra, à l'issue du délai d'un an, autoriser la poursuite de la mise en œuvre de traitements qui ne seraient pas conformes aux dispositions du RGPD et de la loi et pourrait, de ce fait, également enjoindre au responsable de traitement d'effacer les données collectées.
En outre, la Commission demeure compétente pour exercer ses pouvoirs de contrôle et de prescription de mesures correctrices ou de sanctions.
Enfin, la Commission attire l'attention du ministère sur le fait que, dans le cadre de la procédure d'instruction par ses services des demandes d'autorisation relatives à des projets liés à la covid-19, chacun des projets a fait l'objet, dans des délais très brefs, d'un accompagnement conséquent afin de permettre la délivrance d'une autorisation. Surtout, cet accompagnement a permis aux responsables de traitement concernés, dans la majorité des cas, de modifier les projets présentés afin de respecter les principes relatifs au traitement de données à caractère personnel ou les dispositions du code de la santé publique. De surcroît, elle rappelle que près d'un tiers des projets de recherches n'impliquant pas la personne humaine liés à la covid-19 a fait l'objet d'avis réservés ou défavorables du Comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé, le plus souvent en raison de lacunes ou de difficultés méthodologiques.
Sur la mise en œuvre de garanties supplémentaires par les responsables de traitement
La Commission rappelle que la transparence des traitements constitue l'une des pierres angulaires de l'appréciation de l'intérêt public.
La Commission estime souhaitable que les responsables de traitement l'informent le plus en amont possible des traitements réalisés. Cette information lui permettra également, le cas échéant, d'accompagner les responsables de traitement et les aider à mieux définir les conditions de mise en œuvre de leurs traitements.
La Commission souhaite, par ailleurs, être rendue destinataire de la liste des traitements mis en œuvre dans le cadre de l'article 67 de la loi « Informatique et Libertés ». A l'instar de la doctrine qu'elle a établie en matière de décisions uniques, elle demande que les responsables de traitement concernés lui adressent annuellement un bilan contenant notamment la liste des traitements mis en œuvre dans ce cadre ainsi que la méthodologie suivie.
Elle insiste également sur la nécessité de mettre en œuvre des garanties de transparence des traitements vis-à-vis des personnes concernées, et notamment le respect des modalités d'information prévues par l'article 13 du RGPD et l'article 69 de la loi « Informatique et Libertés » ou, le cas échéant, l'article 14 du RGPD, conduisant à la mise en place de mesures appropriées pour protéger les droits, libertés et intérêts légitimes des personnes concernées, dans le cas où il serait envisagé de faire application des dispositions de l'article 14-5-b du RGPD, tels que des canaux d'information collective.Liens relatifs
La présidente,
M.-L. Denis