La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis concernant un projet de décret modifiant le décret relatif aux systèmes d'information mentionnés à l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions, notamment son article 11 ;
Vu la loi n° 2020-856 du 9 juillet 2020 organisant la sortie de l'état d'urgence sanitaire ;
Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Les modifications envisagées par le projet de décret visent à :
- renforcer le dispositif de traçage des chaînes de transmission du virus, notamment s'agissant des personnes asymptomatiques ;
- identifier les lieux et évènements pour lesquels il existe un risque élevé de propagation du virus, afin d'orienter les politiques publiques pour la gestion de la crise, en fournissant des données utiles aux politiques d'ouverture et de fermeture des lieux recevant du public. A cet égard, la Commission invite le ministère à le préciser dans la notice du texte ;
- renforcer l'accompagnement social et sanitaire en cas d'isolement des personnes.
La Commission souligne que le projet de décret prévoit d'étendre considérablement et substantiellement les informations collectées dans le système d'information. Elle note toutefois que ce dispositif reste conditionné au volontariat des personnes interrogées.
Sur l'élargissement des catégories des personnes concernées par le traitement
La Commission attire l'attention du ministère sur la nécessité d'harmoniser les termes utilisés dans le décret. Elle relève en effet qu'il est parfois fait mention de « personne évaluée comme contact à risque de contamination » ou de « cas contact ». Dès lors, afin de garantir la lisibilité du décret, elle invite le ministère à ne faire usage, pour désigner les personnes concernées, que des termes ayant fait l'objet d'une définition à l'article 1er.
Concernant les personnes « co-exposées »
Le projet d'article 1er.II.2 bis prévoit d'étendre le système d'information « Contact Covid » aux personnes « co-exposées » afin de permettre leur identification et de procéder à la collecte des données les concernant. Cette modification conduira à une extension significative du nombre de personnes dont les données seront traitées dans « Contact Covid », données qui seront identiques à celles concernant les cas contacts.
La Commission relève que la notion de personne « co-exposée » renvoie à une personne s'étant « trouvée dans le même lieu, rassemblement ou évènement, où les gestes barrières n'ont pu être pleinement respectés identifié par le « patient zéro » comme étant à l'origine possible de sa contamination ». Elle invite le ministère à :
- clarifier la définition de la notion de personne « co-exposée », afin de faire apparaître clairement ses critères de distinction avec celle de cas contact, notamment par l'absence de contact direct avéré avec une personne diagnostiquée positive ;
- préciser les durées de coprésence auxquelles renvoient les notions de fréquentation et de participation ;
- préciser les cas dans lesquels il pourra être considéré que « les gestes barrières n'ont pu être pleinement respectés ».
La Commission invite le ministère à diffuser ces informations, par exemple en les rendant publiques sur son site web.
La Commission relève qu'il est envisagé de supprimer le 3° de l'article 1er du décret du 12 mai 2020 modifié prévoyant le recours aux recommandations du Haut Conseil de santé publique (HCSP) pour l'évaluation d'une personne comme contact à risque de contamination. Le ministère a en effet précisé que les notions de cas contact et de personne « co-exposée » permettant l'application du décret du 12 mai 2020 modifié ont été définies par l'Agence nationale de santé publique (ANSP ou Santé publique France). La Commission invite le ministère à inscrire cette précision dans le décret.
Concernant les responsables des lieux, rassemblements, évènements ou activités
Le projet d'article 1er.I.4° du décret prévoit la collecte de données relatives au responsable du lieu, du rassemblement, de l'évènement ou de l'activité auquel les personnes concernées ont participé. Le ministère a précisé à la Commission que le terme « responsable » correspondait à la personne en mesure de fournir des informations sur les personnes ayant participé à un rassemblement, un évènement ou une activité (responsable « opérationnel »), qui n'est pas nécessairement le responsable juridique. La Commission invite le ministère à préciser ces éléments dans le décret.
Sur l'ajout de nouvelles catégories de données
Concernant la collecte de nouvelles catégories de données communes à toutes les personnes concernées (patients zéro, cas contacts et personnes « co-exposées »)
La Commission relève que les projets d'articles 2.II.1°.k et l ainsi que les projets d'articles 2.II.2°.k et l prévoient que des informations relatives à la fréquentation d'un lieu accueillant du public ou la participation à un rassemblement, évènement ou activité seront collectées dès lors que des contaminations peuvent y avoir lieu. Elle invite le ministère à détailler selon quels critères la possibilité qu'une contamination a eu lieu sera établie.
La Commission rappelle que les informations collectées ne pourront être utilisées à d'autres fins que celles prévues dans le décret et notamment ne peuvent être utilisées pour une finalité de surveillance du respect des mesures visant à lutter contre l'épidémie de covid-19.
Elle relève que les projets d'articles 2.II.1°.k et l ainsi que les projets d'articles 2.II.2°.k et l prévoient le recueil de la nature, de la date de fréquentation, de l'adresse postale et de la dénomination :
- de certains lieux et structures fréquentés dans les quatorze derniers jours par les personnes concernées ;
- de certains rassemblements, évènements ou activités auxquels les personnes concernées auraient participé dans les quatorze derniers jours.
Sur les lieux et structures
S'agissant des lieux, le ministère a précisé que leur identification par l'adresse postale et la dénomination permettra aux agences régionales de santé (ARS), en complément des enquêtes sur les chaînes de contamination et les clusters, de mener des actions ciblées auprès de certains organismes ou de certaines catégories d'organismes (rappel des protocoles sanitaires, etc.). La Commission en prend acte. Elle rappelle néanmoins que des mesures de nature à garantir la confidentialité des informations recueillies devront être prévues.
Sur les rassemblements, événements ou activités
Les projets d'articles 2.II.1°.l et 2.II.2°.l prévoient la collecte d'informations relatives à un grand nombre de rassemblements, évènements, tels que des réunions familiales, amicales ou « autres réunions », des évènements en lien avec le cadre professionnel ou la participation à un rassemblement au cours desquels les contaminations peuvent avoir lieu pourront être collectées. Sont concernés les évènements ou activités impliquant plus de six personnes, contre dix auparavant. Le ministère a précisé à la Commission que toute personne (mineurs inclus) devait être comptabilisée et que ce seuil était valable pour les rassemblements, évènements ou activités rassemblant au moins deux foyers différents. La Commission invite le ministère à préciser ces éléments dans le décret.
La Commission relève en premier lieu que le projet prévoit la possibilité de recueillir le nom du rassemblement, de l'événement ou de l'activité. L'usage du terme « nom » est susceptible de créer une confusion avec les lieux dans lesquels se déroulent les rassemblements, évènements et activités ainsi que le nom de son responsable. La Commission comprend que cela renvoie à l'intitulé du rassemblement, de l'évènement ou de l'activité.
Si elle comprend la nécessité de disposer de certaines précisions pour réaliser les enquêtes sanitaires, la Commission attire néanmoins l'attention du ministère sur le risque engendré en matière de protection de la vie privée des personnes concernées, à plus forte raison dans l'hypothèse où le nom du rassemblement, événement ou activité serait susceptible d'entraîner le traitement de données mentionnées à l'article 9 du RGPD. A cet égard, la Commission rappelle que le ministère a lui-même entendu limiter la collecte d'informations relatives à leur nature en prévoyant que la sélection d'un évènement dans le système d'information se fera à l'aide d'un menu déroulant et qu'aucun champ libre permettant de qualifier la nature de l'événement ne serait ouvert. La Commission en déduit que l'inscription de l'intitulé implique l'existence d'un champ libre.
Elle considère donc que la collecte du nom de l'événement, du rassemblement ou de l'activité, en ce qu'elle est susceptible de révéler sa nature exacte et en l'absence de justification particulière de la part du ministère, n'est pas conforme aux dispositions de l'article 5-1-c du RGPD. Dans l'hypothèse où une justification particulière serait apportée, la Commission invite le ministère à préciser que le nom de l'événement, du rassemblement ou de l'activité ne devra être collecté que si l'information est impérativement nécessaire pour la réalisation de l'enquête.
En second lieu, la Commission relève que les projets d'articles 2.II.1°.l et 2.II.2°.l prévoient la possibilité d'ajouter dans le système d'information :
- l'information selon laquelle la personne concernée a participé à un « rassemblement cultuel ». A cet égard, la Commission relève que la mention de cette information implique le traitement de données mentionnées à l'article 9 du RGPD. Elle prend acte de ce que le ministère s'est engagé à modifier le projet afin de ne pas prévoir la collecte de cette information ;
- l'information concernant la présence prolongée dans un moyen de transport collectif ou dans une salle d'attente. La Commission invite le ministère à préciser de quelle manière il entend caractériser une « présence prolongée » et à diffuser cette information, par exemple sur son site web ;
- l'information portant sur la présence prolongée dans une salle d'attente par les personnes concernées. La Commission s'interroge sur l'articulation entre la communication éventuelle de la liste de personnes présentes et le secret auquel sont tenues certaines professions (médecins, avocats, etc.) Elle rappelle que ces dispositions règlementaires ne sauraient délier les professionnels concernés de leur obligation légale de secret.
Sur l'adresse de résidence du responsable d'un rassemblement, d'un évènement ou d'une activité
S'agissant de l'adresse de résidence mentionnée dans les projets d'articles 2.II.1°.l et 2.II.2°.l, la Commission comprend qu'il est prévu la collecte de l'adresse du lieu de résidence personnelle du responsable. Le ministère a précisé qu'il n'entendait permettre de collecter l'adresse de résidence du responsable que dans l'hypothèse où il serait organisateur d'un rassemblement, d'un évènement ou d'une activité. La Commission l'invite donc à préciser le décret sur ce point.
De plus, elle estime que la collecte de l'adresse postale du lieu de rassemblement, d'évènement ou d'activité ne devrait pas impliquer la collecte systématique de l'adresse de résidence personnelle du responsable ou de l'organisateur et ne devrait être collectée qu'en dernier recours, par exemple en l'absence d'adresse électronique ou de numéro de téléphone. Elle s'interroge par ailleurs sur les modalités de recueil, et notamment la source, de telles informations.
Concernant la collecte de données relatives au « patient zéro » et la divulgation de son identité
Le projet d'article 2.II.1°.j prévoit, au sein du système d'information, l'identification des gares ferroviaires, routières ou maritimes ou aéroports dans lesquels les personnes concernées ont transité au retour d'un séjour dans un département ou collectivité mentionnés à l'article 72-3 de la Constitution ou dans un Etat, autres que ceux de résidence, dans lequel elles se sont rendues au cours des quatorze derniers jours. Les exploitants des moyens de transports avec lesquels elles ont voyagé sont également identifiés.
Dans le cadre des échanges avec le ministère, il a été indiqué à la Commission que ces informations permettront la transmission de l'identité du « patient zéro », sans que son consentement soit recueilli à cette fin, à l'exploitant concerné afin de permettre l'identification des cas-contacts ou personnes « co-exposées » lors d'un voyage. La Commission estime que, pour ce faire, il est nécessaire que le décret indique explicitement l'exploitant parmi les destinataires possibles de cette donnée. Elle appelle par ailleurs le ministère à s'interroger sur la portée de la dérogation au secret médical prévue par l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions, afin de s'assurer qu'elle couvre ce cas de figure.
Le projet d'article 2.II.1°.o prévoit d'étendre la possible divulgation de l'identité du « patient zéro », avec son consentement et lorsque cela est nécessaire pour la mise en œuvre d'une enquête sanitaire, aux :
- personnes « co-exposées » ;
- responsables ou organisateurs d'un lieu ou d'une structure accueillant du public, d'un rassemblement, d'une activité ou d'un évènement que le patient a fréquenté ou auquel il a participé dans les quatorze derniers jours ;
- personnes et autorités « disposant d'informations pertinentes pour la recherche des cas contacts et des personnes co-exposées ».
La Commission rappelle tout d'abord que la communication de l'identité du « patient zéro » implique la transmission d'une information couverte par le secret médical mentionné à l'article L. 1110-4 du code de la santé publique. Si elle relève que cette divulgation est conditionnée à l'expression du consentement de la personne concernée, elle rappelle que cette dernière doit être clairement informée des personnes auxquelles son identité est susceptible d'être révélée. La Commission relève par ailleurs qu'un « patient zéro » pourrait consentir à ce que son identité soit révélée à l'ensemble des catégories de personnes mentionnées projet d'article 2.II.4°. La Commission invite donc le ministère à proposer au patient de donner son consentement à la divulgation de son identité pour chaque catégorie de destinataires et non à exprimer un consentement global.
A cet égard, la Commission rappelle que le consentement du « patient zéro » devra être exprimé librement, après une information précise sur les modalités de cette divulgation.
Elle insiste sur le fait que le consentement donné à la divulgation de l'identité ne devrait pas conduire à en systématiser la révélation à toute personne contactée dans le cadre d'une enquête et que cette révélation ne devrait intervenir que lorsqu'elle est utile à sa réalisation.
La Commission invite donc le ministère à attirer l'attention des personnes ayant accès aux données afin de réaliser les enquêtes sanitaires, de la nécessité de préserver la confidentialité des données auxquelles elles ont accès et à préciser, par exemple par l'élaboration de cas d'usage, les situations dans lesquelles la divulgation de l'identité du « patient zéro » peut intervenir.
Elle précise qu'il conviendra également que les personnes chargées des enquêtes rappellent à toute personne à laquelle l'identité du « patient zéro » serait révélée, le caractère confidentiel de cette information.
Concernant la collecte de données relatives aux cas contacts et personnes « co-exposées »
Le projet d'article 2.II.2°.e prévoit la collecte de l'existence d'une précédente infection au virus dans la période des deux mois antérieurs ainsi que l'existence d'une vaccination contre la covid-19.
Concernant la mention d'une précédente infection, le ministère a indiqué que la collecte de cette information permettrait de qualifier les personnes ayant été infectées depuis moins de deux mois comme « contacts à risque négligeable » tels que définis par l'ANSP. La Commission invite le ministère à le préciser dans le décret.
Concernant les données relatives à la vaccination, le ministère a précisé avoir sollicité le HCSP afin de déterminer plus précisément les informations liées aux données de vaccination à collecter (doses, dates, période d'immunité, etc.). La Commission invite le ministère à les préciser dans le texte dès leur détermination ou le cas échéant à les publier sur son site web. Elle rappelle que seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ne devront être collectées, conformément aux dispositions de l'article 5-I-c du RGPD.
Enfin, en vue de réaliser une analyse des retours d'usage de l'application « TousAntiCovid », la Commission invite le ministère à prévoir la collecte d'une information permettant de déterminer la ou les modalités par lesquelles la personne a été informée de son statut de cas contact ou personne « co-exposée ». Elle souligne toutefois que la notion de « personne co-exposée » n'est pas mentionnée dans le décret n° 2020-650 du 19 mai 2020.
Sur les données transmises par les responsables, organisateurs et toute personne ou autorité disposant d'informations
Le projet d'article 2.I.4° élargit les possibilités de recueil des données auprès des responsables ou organisateurs d'activités, de rassemblements ou d'évènements listés, ou auprès de toute personne ou autorité disposant d'informations pertinentes pour la recherche des cas-contacts et personnes « co-exposées » La Commission rappelle que les catégories de données qui pourront être recueillies dans ce cadre devront se limiter à celles prévues par le décret modifié.
La Commission relève que le projet de décret ne fait pas obligation aux personnes visées au projet d'article 2.I.4° de communiquer les données relatives aux cas contacts et aux personnes « co-exposées » aux personnes spécialement autorisées à les enregistrer.
Sur le recours aux informations recueillies en application de l'article L. 114-12 du code de la sécurité sociale et le recours à des tiers
Le projet d'article 2.III prévoit la possibilité, en l'absence dans le système d'information des coordonnées des « patients zéro », des cas contacts et des « personnes co-exposées », d'obtenir ces informations auprès « de tiers, notamment dans le cadre de l'article L. 114-12 du code de la sécurité sociale ».
La Commission relève que le traitement mentionné à l'article L. 114-12 du code de la sécurité sociale (CSS) permet aux « organismes chargés de la gestion d'un régime obligatoire de sécurité sociale, du recouvrement des cotisations de sécurité sociale ou du service des allocations et prestations mentionnées au présent code, les caisses assurant le service des congés payés, Pôle emploi et les administrations de l'Etat » de se communiquer les renseignements nécessaires ou qui permettent :
- l'appréciation de droits ou l'exécution d'obligations entrant dans le fonctionnement normal du service public dont sont chargés ces organismes ;
- l'information des personnes sur l'ensemble de leurs droits ;
- le contrôle, la justification dans la constitution des droits et la justification de la liquidation et du versement des prestations dont sont chargés respectivement ces organismes ;
- l'établissement du respect des conditions de résidence prévues pour l'ouverture des droits et le service des prestations.
La Commission considère que l'utilisation de ce mécanisme dans le but de disposer des coordonnées manquantes est incompatible avec les finalités prévues par l'article L. 114-12 du CSS.
S'agissant de la notion de « tiers », le ministère a précisé que les coordonnées des personnes concernées pourraient être sollicitées auprès des organismes chargés de la gestion d'un régime obligatoire de sécurité sociale ainsi que de la direction générale des finances publiques. La Commission invite donc le ministère à remplacer le terme « tiers » par la liste limitative des tiers pouvant être sollicités à des fins de recherche de coordonnées manquantes et rappelle que les finalités des traitements consultés devront être compatibles avec cet objectif.
Sur les personnes autorisées à enregistrer et consulter les données des personnes concernées
Le projet d'article 3.III prévoit de nouvelles conditions d'accès aux données :
- les données collectées au sein de « Contact Covid » pourront être consultées à des fins d'accompagnement sanitaire et social. Le ministère a indiqué que cette modification visait à faciliter la prise de contact et l'organisation de la visite au domicile de la personne pour les professionnels intervenant au titre de l'accompagnement sanitaire ;
- les personnes placées sous la responsabilité de professionnels de santé pourront enregistrer ou accéder aux données. Le ministère a notamment indiqué qu'il pourrait s'agir de médiateurs de lutte anti covid-19 tels que mentionnés à l'article 25-1 de l'arrêté du 10 juillet 2020 prescrivant les mesures d'organisation et de fonctionnement du système de santé nécessaires pour faire face à l'épidémie de covid-19 dans le cadre de l'état d'urgence sanitaire.
La Commission en prend acte et considère que leur accès devra être strictement encadré et que les missions qui leur seront confiées devront être déterminées au regard de leurs compétences. En outre, elle invite le ministère à préciser les catégories de personnes ainsi visées dans le décret.
Sur les informations relatives aux besoins d'accompagnement sanitaire et social
La Commission prend acte de ce que les données dont la collecte est envisagée par le projet de décret ne seront pas limitées à la simple expression d'un besoin d'accompagnement. Selon les indications du ministère, l'accompagnement social et/ou sanitaire à l'isolement d'une personne dans le cadre d'une initiative locale ainsi que la mise en œuvre effective des mesures pour lesquelles un besoin a été exprimé seront indiquées dans le SI « Contact Covid ».
Le ministère a en outre indiqué que l'accompagnement sanitaire à l'isolement se matérialiserait par la visite à domicile d'un professionnel de santé, par exemple d'un infirmier libéral, à des fins de pédagogie de l'isolement, de dépistage des membres du foyer et d'identification d'un éventuel besoin d'accompagnement social, matériel ou psychologique complémentaire. La Commission en prend acte.
La Commission relève que le projet d'article 3.VII prévoit que seront communiquées aux cellules de préfecture dédiées à l'accompagnement social, sous réserve du consentement de la personne concernée :
- ses coordonnées électroniques et postales ;
- ses déclarations d'un besoin d'accompagnement social et d'appui et/ou d'un besoin d'accompagnement sanitaire à l'isolement.
Le ministère a précisé que la collecte de ces données était nécessaire pour permettre aux cellules territoriales d'appui à l'isolement :
- d'identifier la nature de l'accompagnement sollicité ;
- d'organiser la mise en œuvre de l'accompagnement social ;
- de coordonner les différents acteurs intervenant pour cette finalité.
La Commission rappelle que le ministère devra prévoir des mesures techniques et/ou organisationnelles permettant de garantir que la transmission de ces informations, leur extraction et l'accès des acteurs intervenant au titre de l'accompagnement social et sanitaire seront réalisés dans des conditions de confidentialité et de sécurité appropriées. Elle rappelle par ailleurs que seules les personnes habilitées pourront avoir accès aux données, dans la stricte limite de leur besoin d'en connaître pour l'exercice de leurs missions.
Enfin, la Commission estime que des instructions claires et uniformes - reprenant les consignes des autorités sanitaires - devront être données à l'ensemble des intervenants et leurs sous-traitants quant à la définition des différentes notions utilisées dans le projet de décret qui justifient la collecte de données. La formation et la sensibilisation régulières des personnels qui sont amenés à intervenir sont en effet essentielles.Liens relatifs
La présidente,
M.-L. Denis