Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission a été saisie en extrême urgence d'un projet de décret relatif à la durée de conservation de données pseudonymisées collectées à des fins de surveillance épidémiologique et de recherche sur le virus de la covid-19.
Ce projet de décret est pris en application de l'article 3 de la loi n° 2020-856 du 9 juillet 2020 organisant la sortie de l'état d'urgence sanitaire, qui complète les dispositions de l'article 11 (troisième alinéa du I) de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions :
« La durée de conservation de certaines données à caractère personnel peut être prolongée, pour la seule finalité de traitement mentionnée au 4° du II et dans la limite de la durée mentionnée au premier alinéa du présent I, par décret en Conseil d'Etat pris après avis publics du comité mentionné au VIII et de la Commission nationale de l'informatique et des libertés. Ce décret précise, pour les données collectées avant son entrée en vigueur, les modalités selon lesquelles les personnes concernées sont informées sans délai de cette prolongation. »
Le projet de décret prévoit ainsi d'allonger la durée de conservation des données pseudonymisées collectées dans le cadre des systèmes d'information « SI-DEP » et « Contact Covid » créés par le décret n° 2020-551 du 12 mai 2020 modifié et précise également les modalités d'information des personnes concernées.
Le projet de décret prévoit en outre de modifier les articles 3 et 9 du décret du 12 mai 2020 susvisé afin, notamment :
- de compléter, pour le système d'information « Contact Covid », la liste des personnes autorisées à enregistrer et consulter les données ;
- d'ajouter, pour le système d'information « SI-DEP », une nouvelle catégorie de données susceptible d'être enregistrée : « tout autre numéro permettant d'identifier le patient de manière certaine ».
Sur la prolongation de la durée de conservation des données issues des systèmes d'information « Contact Covid » et « SI-DEP »
Le premier alinéa de l'article 1er du projet de décret prévoit que : « Les données pseudonymisées collectées par les systèmes d'information prévus à l'article 11 de la loi du 11 mai 2020 susvisée [systèmes d'information “Contact Covid” et “SI-DEP”] peuvent être conservées pendant une durée de six mois à compter de la fin de l'état d'urgence sanitaire dans les traitements mis en œuvre par les agences régionales de santé, l'Agence nationale de santé publique et la direction de la recherche, des études, de l'évaluation et des statistiques à la seule fin de surveillance épidémiologique aux niveaux national et local. »
La Commission relève que cette durée est cohérente avec celle prévue par les dispositions de l'article 11 de la loi du 11 mai 2020 telle que modifiée par la loi n° 2020-856 du 9 juillet 2020, et notamment le premier alinéa du I, qui limite également la durée de vie des systèmes d'information « Contact Covid » et « SI-DEP » à six mois après la fin de l'état d'urgence sanitaire.
Sur les modalités de réalisation de la surveillance épidémiologique et des recherches sur le virus et les moyens de lutter contre sa propagation
La Commission relève que les finalités envisagées sont identiques à celles encadrées par le 4° du II de l'article 11 de la loi du 11 mai 2020 modifiée susvisée. Cette finalité de surveillance épidémiologique et de recherche sur le virus et les moyens de lutter contre sa propagation est également prévue, s'agissant des données du fichier « Contact-Covid », au 4° du III de l'article 1er du décret n° 2020-551 du 12 mai 2020.
La Commission relève cependant que l'article 3-I de ce même décret prévoit que les agents spécialement habilités des agences régionales de santé (ARS) n'accèdent aux données du fichier « Contact-Covid » que pour assurer les finalités mentionnées aux 1° à 3° du III de l'article 1er. Il en résulte, sauf à ce que le décret soit modifié sur ce point, que les ARS ne semblent pas fondées à traiter les données du fichier « Contact-Covid » à des fins de surveillance épidémiologique et de recherche sur le virus et les moyens de lutter contre sa propagation, qu'il s'agisse de données directement identifiantes ou de données pseudonymisées.
L'article 11 de la loi du 11 mai 2020 modifiée susvisée prévoit en outre que les données traitées dans le cadre de la surveillance épidémiologique ne peuvent contenir les nom et prénoms des personnes, leur numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) et leur adresse.
A cet égard, le projet de décret mentionne la conservation de données « pseudonymisées », cependant sans précision complémentaire. Or, la Commission relève que les articles 2 et 9 du décret n° 2020-551 du 12 mai 2020 modifié listent de multiples données pouvant être enregistrées. Dès lors, elle réitère la demande formulée dans son avis sur un projet de décret relatif aux systèmes d'information mentionnés à l'article 6 du projet de loi prorogeant l'état d'urgence sanitaire (délibération n° 2020-051 du 8 mai 2020), afin que le projet de décret dresse la liste exhaustive des données pouvant être collectées en vue du suivi épidémiologique et de la recherche sur le virus.
En tout état de cause, elle rappelle que, conformément au principe de minimisation, prévu à l'article 5 du règlement général sur la protection des données (RGPD), seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées devront être transmises aux organismes en charge de la surveillance épidémiologique ou de la recherche sur le virus.
Sur la conservation des données par la plateforme des données de santé et la Caisse nationale d'assurance maladie
Le second alinéa de l'article 1er du projet de décret prévoit que, dans le cadre des traitements mis en œuvre par la plateforme des données de santé (PDS) et la Caisse nationale de l'assurance maladie (CNAM), ces mêmes données peuvent être conservées pour une durée identique.
Cependant, la Commission avait pris acte, dans sa délibération n° 2020-051 du 8 mai 2020 précitée, que la transmission de ces données auprès de la PDS et de la CNAM interviendrait dans le strict respect des dispositions de l'arrêté du 23 mars 2020 prescrivant les mesures d'organisation et de fonctionnement du système de santé nécessaires pour faire face à l'épidémie de covid-19 dans le cadre de l'état d'urgence sanitaire.
A cet égard, la Commission rappelle que cet arrêté a été abrogé et que les dispositions relatives à la centralisation de données par la PDS et la CNAM sont désormais prévues à l'article 30 de l'arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l'épidémie de covid-19 dans les territoires sortis de l'état d'urgence sanitaire et dans ceux où il a été prorogé.
A ce titre, l'article 30 de l'arrêté précité prévoit que « les données ne peuvent être traitées que […] jusqu'à l'entrée en vigueur des dispositions prises en application de l'article 41 de la loi du 24 juillet 2019 susvisée et au plus tard le 30 octobre 2020 ».
La Commission précise, comme elle en a eu l'occasion dans sa délibération n° 2020-051 du 8 mai 2020, que les données issues de ces systèmes d'information n'auront vocation à intégrer le Système national des données de santé (SNDS) ou un entrepôt pérenne au sein de la PDS que dans l'hypothèse où le droit commun l'autoriserait.
Ainsi, sous réserve des modifications qui pourraient être apportées au cadre juridique applicable à la PDS et au SNDS à l'issue de la durée de conservation prévue par le projet de décret, l'ensemble des données collectées pendant cette période devra être détruit.
La Commission considère, de plus, que les traitements réalisés à partir des données transmises à la CNAM et à la PDS ne pourront être mis en œuvre après le 30 octobre 2020 si, au terme de ce délai, la poursuite des traitements ne dispose plus de base légale.
Sur les modalités d'information des personnes
L'article 2 du projet de décret précise les modalités d'information des personnes dont les données ont été collectées avant son entrée en vigueur.
La Commission relève qu'il est prévu que ces personnes soient informées de cette nouvelle durée de conservation des données pseudonymisées, sans délai, par les organismes responsables des traitements mis en œuvre à des fins de surveillance épidémiologique, de recherche sur le virus et les moyens de lutter contre sa propagation.
Les responsables de traitement assureraient cette information sur leurs sites web respectifs ou par tout autre moyen permettant de porter cette information à la connaissance du public.
Afin de respecter pleinement les principes de transparence et de loyauté prévus par le RGPD, la Commission demande que la diffusion d'une information sur le site web du responsable de traitement ne soit pas exclusive de la diffusion de cette même information par tout autre moyen permettant de porter cette information à la connaissance des personnes concernées.
Elle prend acte de l'engagement du ministère de modifier le projet de décret afin qu'il ne limite pas la diffusion de l'information au seul site web du responsable de traitement.
Enfin, elle rappelle en outre que les supports d'information à destination des personnes concernées devront être mis à jour, afin de faire apparaître cette nouvelle durée de conservation.
Sur l'ajout de catégories de personnes autorisées à enregistrer et consulter les données issues du fichier « Contact Covid »
L'article 3 du projet de décret envisage de modifier les dispositions de l'article 3-II du décret n° 2020-551 du 12 mai 2020, afin de compléter la liste des personnes pouvant être autorisées à enregistrer et consulter les données issues du fichier « Contact Covid », par certains personnels des établissements sociaux et médico-sociaux ainsi que les services de santé au travail et certains dispositifs d'appui de coordination prévus par la loi.
La Commission en prend acte.
Sur l'ajout de numéros d'identification dans la liste des données du système d'information « SI-DEP »
L'article 3 du projet de décret prévoit de modifier l'article 9 du décret du 12 mai 2020 afin de permettre la collecte de « tout autre numéro permettant d'identifier le patient de manière certaine » dans le système d'information « SI-DEP », en complément des nom, prénoms et date de naissance. Le projet de décret prévoit en outre la possibilité de recueillir soit le NIR, soit un numéro permettant d'identifier le patient de manière certaine.
La Commission rappelle cependant que la volonté du législateur est d'imposer, à court terme, le recours au NIR comme identifiant national de santé (INS).
Le ministère précise que la collecte d'un numéro autre que le NIR est justifiée dans l'attente du déploiement de l'INS, prévu à compter du 1er janvier 2021.
La Commission prend néanmoins acte de l'engagement du ministère de modifier le projet de décret afin qu'il soit expressément mentionné que « le numéro permettant d'identifier le patient de manière certaine » ne peut être collecté qu'en cas d'impossibilité d'utiliser le NIR.
Elle constate par ailleurs que cet ajout n'est prévu que pour le fichier « SI-DEP ». Il en résulte que cette donnée ne pourra figurer dans les données traitées dans le cadre du système d'information « Contact Covid ».
Les autres dispositions n'appellent pas d'observation de la part de la Commission.