La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis concernant un décret modifiant le décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Damien MILIC, commissaire adjoint du Gouvernement,
Emet l'avis suivant :
La Commission a été saisie d'un projet de décret visant à modifier les dispositions du décret n° 2020-551 du 12 mai 2020 applicables au dispositif SI-DEP, suite à l'adoption de la loi renforçant les outils de gestion de la crise sanitaire et modifiant le code de la santé publique.
Les modifications apportées visent à :
- ajouter une finalité au traitement afin de permettre « aux autorités compétentes d'adapter la durée des mesures individuelles de mise en quarantaine ou de placement et de maintien en isolement prévues aux 3° et 4° de l'article L. 3131-15 et au 2° du I de l'article L. 3131-1 du même code », et de préciser les données pouvant être traitées dans ce cadre ainsi que les personnes habilitées à en être destinataires ;
- préciser qu'un justificatif d'absence de contamination par la covid-19 ou un certificat de rétablissement ne pourront être utilisés afin de satisfaire aux obligations mentionnées au II de l'article 1er de la loi n° 2021-689 du 31 mai 2021 et aux articles 12 et 13 de la loi n° 2021-1040 du 5 août 2021 que dans certains cas particuliers via l'ajout des termes « le cas échéant » ;
- permettre l'ajout de certaines informations relatives à la vaccination au sein des codes QR générés par SI-DEP.
La Commission rappelle que l'intervention du législateur pour la mise en œuvre des systèmes d'information SI-DEP et Contact Covid se justifie par la nécessité d'aménager une dérogation aux dispositions relatives au secret médical garanti par le CSP.
Cet aménagement a pour effet d'entraîner le partage de données sensibles, susceptibles de concerner l'ensemble de la population, entre diverses catégories d'acteurs.
La Commission souligne que l'atteinte portée à la vie privée par les mesures qui rendent nécessaires ces traitements de données à caractère personnel n'est admissible que si elles constituent la réponse appropriée pour ralentir la propagation de l'épidémie. En particulier, s'agissant de l'utilisation d'outils et de systèmes d'information dans le cadre de la lutte contre la covid-19, et comme elle l'a rappelé à maintes reprises, la Commission invite le Gouvernement à évaluer scientifiquement l'apport de ces outils à sa politique sanitaire et à lui transmettre cette évaluation, qui permettrait de mieux apprécier la proportionnalité des traitements mis en place.
S'agissant de la finalité d'adaptation de la durée des mesures de quarantaine et d'isolement :
L'article 1er du projet vise à modifier l'article 8 du décret n° 2020-551 afin de prévoir que la centralisation des résultats d'examens de dépistage virologique ou sérologique du virus SARS-CoV-2 dans SI-DEP permet « aux autorités compétentes d'adapter la durée des mesures individuelles de mise en quarantaine ou de placement et de maintien en isolement prévues aux 3° et 4° de l'article L. 3131-15 et au 2° du I de l'article L. 3131-1 du même code ». Ces dispositions renvoient :
- pour l'article L. 3131-15-I 3° et 4° du CSP, à la faculté du Premier ministre d'ordonner des mesures ayant pour objet la mise en quarantaine des personnes susceptibles d'être affectées ou de placement et de maintien en isolement des personnes affectées, par décret pris sur le rapport du ministre chargé de la santé, et aux seules fins de garantir la santé publique dans les circonscriptions territoriales où l'état d'urgence sanitaire est déclaré ;
- pour l'article L. 3131-I 2° du CSP, aux mesures de mise en quarantaine ou de placement et de maintien en isolement, dans les conditions prévues au II des articles L. 3131-15 et L. 3131-17 du même code.
L'ajout de cette finalité, qui est la conséquence nécessaire des dispositions prévues par la loi, conduit à introduire, à côté des finalités sanitaires, une finalité liée à la réduction, au maintien ou à la prolongation de la durée de mesures de quarantaine et d'isolement grâce à la vérification des résultats des examens de dépistage. Elle relève que cette finalité n'est pas de nature répressive, ainsi que l'a confirmé le ministère, et relève donc du RGPD.
La Commission recommande traditionnellement que la mise en œuvre de traitements liés aux mesures de contrainte que peuvent imposer les pouvoirs publics soit distinguée, dans la mesure du possible, de celles permettant l'exercice d'autres activités de service public.
En l'espèce, le ministère entend déroger à ces principes en raison d'un contexte sanitaire exceptionnel. La Commission estime qu'en raison de l'urgence et de la très grande proximité des données actuellement présentes dans SI-DEP avec celles dont auront besoin les services préfectoraux pour adapter la durée des mesures de quarantaine et d'isolement, la création d'un nouveau fichier ne semble pas adaptée.
Le ministère a indiqué, après avoir précisé que les données issues du traitement SI-DEP seront uniquement utilisées aux fins de réduire, maintenir ou augmenter la durée des mesures, que la nature exacte de leur adaptation, leur caractère systématique et leur délai de mise en œuvre pourraient être amenés à évoluer en fonction des recommandations sanitaires et, le cas échéant, des spécificités territoriales. Interrogé sur la procédure selon laquelle ces adaptations pourraient avoir lieu, le ministère a indiqué que les modalités étaient en cours de définition au niveau interministériel.
La Commission demande en conséquence que soient déterminées très clairement et de manière exhaustive les modalités selon lesquelles ces adaptations pourraient intervenir. En tout état de cause, elle rappelle que l'utilisation de SI-DEP se trouvera circonscrite, dans ce cadre, à la faculté de réduire, maintenir ou augmenter la durée d'une mesure de quarantaine ou d'isolement, et exclut, de manière générale, le contrôle du respect de cette mesure.
La Commission invite le ministère à établir de manière formelle et harmonisée les modalités de réalisation de ces adaptations et à en informer les agents en charge, afin que soit clairement établi le périmètre de leurs missions et habilitations. La Commission demande en outre à être informée de ces modalités.
S'agissant des données traitées :
Le projet de décret prévoit l'ajout d'un 6° au II de l'article 10 du décret afin de fixer la liste des destinataires des données enregistrées dans le traitement, en y ajoutant les agents des services préfectoraux individuellement désignés et spécialement habilités et de dresser la liste des catégories de données dont ils seraient rendus destinataires en vue de l'adaptation de la durée des mesures de quarantaine ou d'isolement.
Les données concernées sont :
- les données d'identification de la personne ayant fait l'objet d'un examen de dépistage, comprenant notamment le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ;
- les coordonnées de la personne ou d'une personne de confiance ;
- « les caractéristiques techniques du prélèvement » ;
- « les informations relatives au résultat des examens de dépistage virologique ou sérologique ».
La Commission s'interroge sur la nécessité pour les agents préfectoraux, au vu des finalités poursuivies pour l'exercice de leurs missions, de disposer de l'ensemble des données listées dans le décret dans les catégories suivantes : « données relatives aux caractéristiques techniques du prélèvement » et « informations relatives aux examens de dépistage virologique ou sérologique ». En effet, il semble que l'objectif poursuivi, à savoir l'adaptation de la durée d'une mesure en fonction des dates et des résultats d'examens de dépistage virologique, pourrait être atteint en ayant accès à l'information permettant limitativement de déterminer la date, le résultat du test et, dans l'hypothèse où cette information serait pertinente au regard des modalités d'adaptation envisagées, le type d'examen virologique réalisé (antigénique ou RT-PCR), d'une personne soumise à une mesure de quarantaine ou d'isolement. A cet égard, la Commission prend acte de ce que le ministère s'est engagé à modifier le projet de décret afin que les données accessibles aux agents des préfectures soient limitées aux date et heure du prélèvement, nécessaires pour évaluer la validité des tests, au type d'examen réalisé et au résultat de l'examen.
Le ministère a précisé que le NIR pouvait être traité en tant qu'identifiant national de santé (INS) dans SI-DEP. La Commission attire l'attention du ministère sur le fait que le NIR, traité en tant qu'INS, peut différer du NIR servant à identifier les personnes dans des traitements mis en œuvre à d'autres fins (par exemple dans le cas du traitement du NIR de l'assuré pour la prise en charge d'un ayant droit, ou de traitements concernant des mineurs, pour lesquels le NIR utilisé pourra être celui de l'un ses représentants légaux). Selon les précisions du ministère, la nouvelle finalité, mise en œuvre dans le cadre du projet de décret et visant à permettre aux autorités publiques d'adapter la durée des mesures individuelles de quarantaine ou d'isolement, implique le traitement du NIR dans l'unique but de certifier l'identité des personnes. La Commission en prend acte. Elle invite néanmoins le ministère à s'assurer que les agents des services préfectoraux ne seront pas destinataires du NIR en tant qu'INS pouvant figurer dans SI-DEP, dans l'hypothèse où il diffèrerait du NIR utilisé en dehors du champ de la prise en charge sanitaire et médico-sociale. Elle l'invite également à s'assurer que le NIR des représentants légaux des personnes mineures ne sera pas traité par les agents des services préfectoraux afin de les identifier, dans l'hypothèse où elles seraient soumises à une mesure de quarantaine ou d'isolement.
Elle estime en effet qu'un tel accès ne s'inscrirait pas dans le cadre des dispositions législatives et réglementaires applicables aux traitements comprenant l'INS, prévues par les articles L. 1111-8-1 et R. 1111-8-1 et suivants du CSP.
L'article 9 modifié par le projet de décret prévoit que les codes QR générés par SI-DEP pourront contenir les données relatives à la vaccination mentionnées au 2° de l'article 9 du décret (statut vaccinal, nom du vaccin et date de la ou des injections). Le ministère a précisé qu'un tel ajout vise à permettre d'établir un passe vaccinal valide dans divers cas actuellement prévus par la loi renforçant les outils de gestion de la crise sanitaire et modifiant le code de la santé publique.
La Commission relève que, dans un premier temps, seule la mention « primo-vaccination » (via le sigle « PV ») sera intégrée afin de permettre l'émission d'un justificatif d'engagement dans un schéma vaccinal valant justificatif de statut vaccinal pour la durée nécessaire à l'achèvement de ce schéma. La rédaction du projet de décret permettra toutefois de rendre opérationnels d'autres cas d'usages envisagés par les textes, tel que le cumul des justificatifs pour certains lieux.
La Commission considère que la limitation des informations relatives à la vaccination à celles mentionnées au 2° de l'article 9 du décret est pertinente au regard des objectifs poursuivis.
S'agissant des destinataires :
Le projet d'article 10-II-6° du décret ajoute les agents individuellement désignés et spécialement habilités des services préfectoraux aux destinataires de certaines données de SI-DEP, dans la limite de leur besoin d'en connaître ; il n'est pas envisagé que ces agents transmettent ces informations à des tiers.
La Commission rappelle que seuls ces agents devront pouvoir accéder à des données concernant des personnes soumises à une mesure de quarantaine ou d'isolement et qu'ils ne devront avoir accès qu'à des données concernant des personnes soumises à une mesure de mise en quarantaine ou d'isolement en cours au moment de la vérification et relevant de leur compétence, déterminée en fonction de celle du préfet dont ils dépendent, habilité à prendre la mesure concernée, définie à l'article R. 3131-19 du CSP, et, le cas échéant, en fonction du lieu d'exécution de celle-ci.
Enfin, dans l'hypothèse où ces données devraient faire l'objet d'un traitement autre qu'une simple consultation par les services préfectoraux, telle qu'une conservation, la Commission rappelle que cette durée ne pourra excéder celle strictement nécessaire à l'adaptation de la mesure et au prononcé de la décision afférente, conformément au RGPD et à la loi « informatique et libertés ».
Sur l'information des personnes :
L'information des personnes concernées par ce traitement et les modifications qui lui sont apportées, s'agissant notamment du dispositif et de la procédure d'adaptation de la durée de la mesure de quarantaine ou d'isolement, constitue une garantie essentielle pour leur permettre de disposer des renseignements nécessaires et des moyens de faire valoir leurs droits. A cet égard, le ministère a précisé que les mentions d'information relatives au traitement SI-DEP seront complétées de la nouvelle finalité poursuivie par le traitement, ainsi que des destinataires des données. La Commission en prend acte.
La Commission prend par ailleurs acte de ce que le ministère s'est engagé à ce que l'information prévue à l'article 12 du décret soit transmise aux personnes soumises à la mesure de quarantaine ou d'isolement et aux personnes de confiance visées à l'article 9-3° du décret au moment du prononcé de la mesure.
Enfin, elle demande au ministère des solidarités et de la santé, à la CNAM ainsi qu'aux représentants de l'Etat dans le département d'informer également le grand public des modifications apportées au traitement SI-DEP et des modalités d'adaptation de la durée des mesures de quarantaine et d'isolement.
Sur la sécurité du dispositif « SI-DEP » :
Le système, mis en place en urgence et n'ayant pas vocation à être mis en œuvre de manière pérenne, a vu son existence prolongée et ses modalités de mise en œuvre régulièrement modifiées du fait de la crise sanitaire. La Commission souligne que le ministère s'est engagé à mettre à jour l'analyse d'impact sur la protection des données relative au traitement SI-DEP préalablement à la mise en œuvre des évolutions prévues par le projet de décret et lui a fait parvenir une analyse de risque de type EBIOS.
La Commission rappelle que la mise à jour de l'analyse d'impact devra intervenir préalablement à la mise en œuvre des modifications envisagées par le projet de décret soumis à la Commission.
Plus spécifiquement, la Commission rappelle au ministère que la persistance de la pandémie nécessite que des mesures de sécurité renforcées soient mises en place, dans une logique de défense en profondeur.Liens relatifs
La présidente,
M.-L. Denis