Articles

Article AUTONOME (Délibération n° 2023-006 du 19 janvier 2023 portant avis sur un projet de décret modifiant le décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions et le décret n° 2020-1690 du 25 décembre 2020 autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19 (demande d'avis n° 22019047))

Article AUTONOME (Délibération n° 2023-006 du 19 janvier 2023 portant avis sur un projet de décret modifiant le décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions et le décret n° 2020-1690 du 25 décembre 2020 autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19 (demande d'avis n° 22019047))


Sur la proposition de Mme Valérie PEUGEOT, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Adopte la délibération suivante :


I. La saisine


A. Le contexte


L'article 2 de la loi n° 2022-1089 du 30 juillet 2022 met fin aux régimes d'exception créés pour lutter contre l'épidémie liée à la covid-19 : à compter du 1er février 2023 et jusqu'au 30 juin 2023, le système d'information « Contact Covid », « SI-DEP » et ceux mis en œuvre par les agences régionales de santé (ARS) en vue de la lutte contre l'épidémie de covid-19 ne pourront plus être mis en œuvre qu'aux fins :


- d'identification des personnes infectées ;
- de délivrance d'un justificatif d'absence de contamination ou d'un certificat de rétablissement ;
- de surveillance épidémiologique aux niveaux national et local, ainsi que de recherche sur le virus et les moyens de lutter contre sa propagation.


Cet article précise que les données à caractère personnel ne peuvent être traitées pour les deux premières finalités qu'avec le consentement des personnes concernées. S'agissant de la surveillance épidémiologique, ainsi que la recherche sur le virus et les moyens de lutter contre sa propagation, ces traitements pourront être mis en œuvre « en cas de collecte d'informations ».


B. L'objet de la saisine


La Commission nationale de l'informatique et des libertés (CNIL) a été saisie par le ministre de la santé et de la prévention, en urgence, le 28 décembre 2022, puis le 17 janvier 2023 dans le cadre d'une saisine rectificative, d'un projet de décret modifiant le décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions et le décret n° 2020-1690 du 25 décembre 2020 autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19.
En premier lieu, le projet de décret vise à tirer les conséquences de l'état du droit qui entrera en vigueur au 1er février 2023, en modifiant le décret du 12 mai 2020 précité afin :


- d'abroger les dispositions relatives à « Contact Covid » - ce traitement n'ayant plus vocation à être alimenté ;
- concernant le traitement « SI-DEP » :
- de modifier ses finalités, la liste des données traitées, leurs destinataires, ainsi que leur durée de conservation afin d'adapter les conditions de mise en œuvre de ce traitement ;
- de modifier les modalités d'exercice des droits des personnes concernées pour tenir compte de la condition de consentement au partage de ses données aux fins de centralisation des résultats d'examens de dépistage et de délivrance d'un justificatif d'absence de contamination ou d'un certificat de rétablissement ;
- de modifier les finalités pour lesquelles les ARS peuvent mettre en œuvre des traitements de données dans le cadre de la lutte contre la covid-19, la liste des données ainsi traitées, leurs destinataires et leur durée de conservation, afin d'adapter les conditions de mise en œuvre de ces traitements.


En second lieu, le projet de décret a pour objet de modifier le décret n° 2020-1690 du 25 décembre 2020 autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19. À cet égard, le projet modifie la liste des données traitées dans le système d'information « Vaccin Covid », en ajoutant l'identifiant unique de certificat de vaccination des personnes concernées. Le projet de décret procède également à la suppression de toute référence au passe sanitaire et à « Contact Covid ».


II. L'avis de la CNIL


A. Sur le droit d'opposition


Le projet de décret prévoit de modifier les articles 13 et 14-4 du décret du 12 mai 2020, consacrés aux modalités d'exercice des droits des personnes concernées.
S'agissant du traitement « SI-DEP », le 8° de l'article 1er du projet de décret tire les conséquences de l'ajout de la condition de consentement en garantissant le droit d'opposition des personnes concernées.
Ce droit est exclu pour la finalité de surveillance épidémiologique aux niveaux national et local, ainsi que la recherche sur le virus et les moyens de lutter contre sa propagation, sauf pour ce qui concerne, en matière de recherche, la transmission des données au groupement d'intérêt public mentionné à l'article L. 1462-1 du code de la santé publique et à la Caisse nationale de l'assurance maladie, telle que prévue au 3° du III de l'article 10 du décret.
Toutefois, la CNIL considère que la rédaction du 8° de l'article 1er (« le droit d'opposition prévu à l'article 21 de ce même règlement ne s'applique pas pour la finalité mentionnée au 1° de l'article 8, à l'exclusion de la transmission des données à des fins de recherche au groupement d'intérêt public… ») pourrait être clarifiée.
S'agissant des traitements mis en œuvre par les ARS, le 12° de l'article 1er du projet de décret tire les conséquences de la limitation des traitements à une finalité de surveillance épidémiologique au niveau régional. La CNIL prend acte de l'exclusion du droit d'opposition concernant les traitements mis en œuvre par les ARS.


B. Sur le droit à l'effacement


Le projet de décret ajoute, s'agissant du traitement « SI-DEP » et des traitements mis en œuvre par les ARS, le droit à l'effacement, parmi les droits dont disposent les personnes concernées.
La CNIL s'interroge sur la mention, sans plus de précision, d'un droit à l'effacement des données alors même que le décret entend, dans certains cas, écarter l'exercice du droit d'opposition et que le consentement n'a pas été retenu comme base légale du traitement ou condition permettant de traiter des données relatives à la santé.
La CNIL invite le ministère à préciser le projet de décret quant aux modalités d'exercice des droits des personnes.
Les autres dispositions du projet de décret n'appellent pas d'observations de la part de la CNIL.