La LOI n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions publiée au journal officiel du 12 mai 2020 prescrit la création d’un dispositif de collecte de données censé renforcer la lutte contre la propagation du coronavirus. Ce dispositif est susceptible de porter atteinte au droit au respect à notre vie privée. Ce dispositif est-il une atteinte proportionnée au respect de la vie privée ? Est-il conforme au RGPD ?

La LOI n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions est publiée au journal officiel du 12 mai 2020. Saisi de plusieurs recours, le Conseil Constitutionnel a rendu une décision de non-conformité partielle et a formulé trois réserves d’interprétation dans sa Décision n° 2020-800 DC du 11 mai 2020.

Concernant le système d’information destiné à permettre le traitement de données destinées au « traçage» des personnes atteintes par le covid-19 et de celles ayant été en contact avec ces dernières, le Conseil Constitutionnel a validé le schéma en procédant néanmoins à une censure partielle. Sur le schéma, le Conseil constitutionnel juge que, « en adoptant les dispositions contestées, le législateur a entendu renforcer les moyens de la lutte contre l’épidémie de covid-19, par l’identification des chaînes de contamination. Il a ainsi poursuivi l’objectif de valeur constitutionnelle de protection de la santé. »

Une censure partielle du Conseil Constitutionnel

La censure partielle du Conseil constitutionnel concerne une petite partie des dispositions de l’article 11 (article 6 du projet initial) intitulé « Dispositions relatives à la création d’un système d’information aux seules fins de lutter contre l’épidémie de covid-19 ». Il a censuré comme méconnaissant le droit au respect de la vie privée la disposition suivante : « Les organismes qui assurent l’accompagnement social des intéressés dans le cadre de la lutte contre la propagation de l’épidémie peuvent recevoir les données strictement nécessaires à l’exercice de leur mission. Les personnes ayant accès à ces données sont soumises au secret professionnel ». Cette censure est motivée par le fait que, s’agissant d’un accompagnement social qui ne relève pas directement de la lutte contre l’épidémie, rien ne justifie que l’accès aux données à caractère personnel traitées dans le système d’information ne soit pas subordonné au recueil du consentement des intéressés.

Surtout, le Conseil Constitutionnel a formulé trois réserves d’interprétation concernant la collecte et l’accès aux données.

Première réserve, il a jugé que, « sauf à méconnaître le droit au respect de la vie privée, l’exigence de suppression des nom et prénoms des intéressés, de leur numéro d’inscription au répertoire national d’identification des personnes physiques et de leur adresse, dans les parties de ces traitements ayant pour finalité la surveillance épidémiologique et la recherche contre le virus, doit également s’étendre aux coordonnées de contact téléphonique ou électronique des intéressés. »

Deuxième réserve, il a jugé qu’il « appartiendra au pouvoir réglementaire de définir des modalités de collecte, de traitement et de partage des informations assurant leur stricte confidentialité et, notamment, l’habilitation spécifique des agents chargés, au sein de chaque organisme, de participer à la mise en œuvre du système d’information ainsi que la traçabilité des accès à ce système d’information. »

Troisième réserve, il a jugé « que si le législateur a autorisé les organismes concourant au dispositif à recourir, pour l’exercice de leur mission dans le cadre du dispositif examiné, à des organismes sous-traitants, ces sous-traitants agissent pour leur compte et sous leur responsabilité. Pour respecter le droit au respect de la vie privée, ce recours aux sous-traitants doit s’effectuer en conformité avec les exigences de nécessité et de confidentialité mentionnée par la présente décision. »

Ce système d’information voulu par le législateur « aux seules fins de lutter contre l’épidémie de covid-19 » mérite que l’on s’attarde un instant sur les questions que suscite une collecte à grande échelle de données à caractère personnel dont des données de santé.

Les bridages sanitaires, c’est quoi ?

Vous ne trouverez nulle trace de ces « brigades » dans la Loi. C’est heureux tant ces termes sont impropres. Il n’est pas ici question de brigades au sens d’une unité militaire ou paramilitaire mais d’un renforcement des systèmes d’information pour permettre un suivi effectif de l’épidémie. C’est ce que prévoit l’article 11 de la Loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions, publié au journal officiel du 12 mai 2020. Le législateur prévoit le partage de données pour lutter contre la propagation du coronavirus 2019, lequel partage de données doit reposer sur deux dispositifs :

• Un système d’information, le SIDEP, créé par décret en Conseil d’État, mis à la disposition de l’ensemble des laboratoires et structures autorisées à réaliser des tests de dépistage.
• L’adaptation des systèmes d’information existants pour permettre le suivi des personnes contaminées et des cas contacts. À cette fin, un téléservice dénommé « Contact covid », élaboré par l’Assurance Maladie et accessible via le portail ameli.pro

Les « brigades sanitaires » ne sont rien d’autres que des professionnels qui vont traiter des données de santé. Les traitements des données collectées ne pourront poursuivre que quatre finalités ci-après définies :

• L’identification des personnes infectées par le dépistage et la collecte des résultats des tests ;
• L’identification des personnes présentant un risque d’infection, par la collecte des informations relatives aux contacts des personnes contaminées et, le cas échéant, par la réalisation d’enquêtes sanitaires, en présence notamment de cas groupés de contamination ;
• L’orientation de ces personnes, en fonction de leur situation, vers des prescriptions médicales d’isolement prophylactiques, ainsi que leur suivi médical et leur accompagnement pendant et après la fin de ces mesures ;
• La surveillance épidémiologique, aux niveaux national et local, ainsi que la recherche sur le virus et les moyens de lutter contre sa propagation.

Ce dispositif repose sur trois niveaux d’information et d’intervention :

• le niveau 1 serait assuré par les professionnels de santé prescripteurs du test de dépistage ;
• le niveau 2 serait mis en œuvre par les plateformes de l’Assurance maladie ([63]) chargée de finaliser le recueil des cas contacts, de les joindre dans les 24 heures pour les inviter à rester confinés, à réaliser un test de dépistage en fonction de la date de leur dernier contact avec le patient contaminé et, le cas échéant, leur délivrer un arrêt maladie et prendre les éventuelles mesures d’accompagnement social nécessaires pour leur permettre de s’isoler ;
• le niveau 3 serait assuré par les agences régionales de santé et Santé publique France qui utiliseraient l’outil « Contact Covid » pour traiter les chaînes de contamination complexes.

Première interrogation, l’objectif poursuivi dans la création de ce système d’information est-il légitime et poursuit-il un objectif d’intérêt général ?

En l’espèce, la finalité de la collecte des données de santé a pour objectif d’identifier les individus ayant contracté le virus, et donc susceptibles de le transmettre à d’autres, pour enrayer les chaînes de contamination dans une démarche sanitaire de préservation de la santé de la population. Nous sommes sur une finalité relevant bien de l’intérêt général. La réponse à cette question est donc assurément positive. Le Conseil constitutionnel a d’ailleurs jugé qu’en créant un système ayant pour objet l’identification des chaînes de contamination le législateur a poursuivi « l’objectif de valeur constitutionnelle de protection de la santé. »            Ce système d’information qui poursuit un objectif d’intérêt général est donc légitime et conforme à la constitution.

Deuxième interrogation, ce système d’information est-il intrinsèquement susceptible de porter atteinte au droit au respect à la vie privée ?

Oui, assurément ! Si le Conseil Constitutionnel a rappelé qu’il résulte du droit au respect de la vie privée, à valeur constitutionnelle, que la collecte, l’enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d’intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif, s’il a relevé pour la première fois que « lorsque sont en cause des données à caractère personnel de nature médicale, une particulière vigilance doit être observée dans la conduite de ces opérations et la détermination de leurs modalités », et n’a pas in fine considéré le dispositif comme non conforme à la constitution le risque d’une atteinte illégitime au droit au respect de notre vie privée demeure .

Le danger ressort de la distinction entre la finalité du système d’information et les moyens mis en œuvre pour mettre en place ce système mais aussi et surtout pour l’exploiter.

En premier lieu le consentement des personnes objet de la collecte des données n’est pas requis.

En deuxième lieu va s’opérer à grande échelle une collecte de données assez inédite (l’information collectée va bien au-delà du seul résultat sérologique puisque le schéma implique nécessairement de disposer des adresses, nom et prénoms des personnes vivant sous le même toit que la personne concernée, etc…) qui appelle pour le moins à une particulière vigilance.

Une collecte de données à caractère personnel qui requiert la plus grande vigilance

Il nous faut donc disposer de garanties effectives et solides. Notre vigilance doit porter, en premier lieu, sur le Décret d’application et sa stricte conformité au texte législatif et à la réserve d’interprétation de la Décision du conseil constitutionnel. Le Décret doit définir des modalités de collecte, de traitement et de partage des informations qui assurent leur stricte confidentialité et, notamment, l’habilitation spécifique des agents chargés, au sein de chaque organisme, de participer à la mise en œuvre du système d’information ainsi que la traçabilité des accès à ce système d’information.

Notre vigilance doit porter, en second, lieu sur le nécessaire suivi de ce système d’information et de l’impérieuse nécessité de s’assurer qu’il est « nécessaire à la mission d’intérêt public », au sens des dispositions du RGPD, que constitue la lutte contre la propagation du covid-19. Pour rappel, le RGPD distingue 6 bases légales permettant de recourir à un traitement de données à caractère personnel dont « La mission d’intérêt public ». Le système d’information mis en place par le législateur écartant l’obligation de recueillir le consentement des personnes concernées par la collecte des données de santé doit nous conduire ici à avoir une exigence toute particulière quant au fait que ce système d’information est dès son origine « nécessaire » à la lutte contre la prorogation du covid-19 mais au surplus le demeure durant tout le temps de sa mise en application. Sur ce point, l’étude d’impact joue un rôle important. L’Analyse d’impact à la protection des données ou étude d’impact, est un outil qui permet de s’assurer qu’un traitement d’information sera conforme au RGPD et respectueux du droit au respect de la vie privée.

Une étude d’impact peu fournie

En l’espèce, le système d’information ressortant de la Loi n°2020-546 du 12 mai 2020 requiert à notre sens la réalisation d’une étude d’impact puisque ce système remplit deux des neuf critères issus des lignes directrices du G29 ; « une collecte de données sensibles ou données à caractère hautement personnel » et « une collecte de données personnelles à large échelle. » Le projet de Loi a bien été précédé d’une étude d’impact conformément à l’article 8 de la Loi organique n°2009-403 du 15 avril relative à l’application des articles 34-1, 39 et 44 de la Constitution. Cette étude d’impact du texte législatif traite bien de la question de la collecte des données. Cependant, outre que ladite étude d’impact bénéficie d’une diffusion limitée pour ne pas dire confidentielle, on aurait cependant apprécié la réalisation d’une étude d’impact spécifique qui répond à l’exigence posée par le RGPD.

Troisième question, au-delà du contrôle de constitutionnalité de la Loi et, de manière générale, des garanties juridiques dont sont assorties ces dispositions législatives, quels sont les risques non identifiés par les juristes et inhérents au système ?

Dans son avis du 1^ermai 2020, le Conseil d’État a considéré que les dispositions de l’article 6 du projet de Loi, repris à l’article 11 dans la Loi promulguée le 12 mai 2020, ne portaient pas une atteinte disproportionnée au droit au respect de la vie privée et ne méconnaissaient pas les dispositions du RGPD notamment au regard du contenu de l’étude d’impact du texte législatif. Cependant, on oublie assez vite qu’un « système d’information » c’est avant toute chose un réseau informatique et qu’un réseau informatique est intrinsèquement susceptible de conduire à une fuite de données et donc une atteinte au respect du droit à la vie privée.

Access or access denied ?

La préservation de notre droit au respect de notre vie privée dépend ici de notre capacité à contrôler la mise en œuvre de cette collecte et du traitement de ces données de santé.

A cet effet, nous pouvons relever plusieurs points importants ;

• Aucune fuite de données, aucun accès intrusif ne doit être possible. C’est ici d’autant plus important que le consentement de la personne concernée quant à la collecte de donnée le concernant n’est pas requis par la Loi. La tentative d’intrusion par toute personne non habilitée doit conduire à un message équivalent à la fameuse fenêtre « access denied»
• Il faut donc apporter des garanties solides pour que l’accès à ces données de santé soit strictement restreint aux seules personnes habilitées à partager lesdites données de santé par le législateur.
• Cela devrait conduire à ce que l’on ait recours à une architecture technique de haut niveau et donc, disons-le clairement, à un chiffrement ou cryptage de ces données. Pour rappel, alors qu’elles sont initialement en texte brut (plaintext), les données chiffrées sont en texte chiffré (ciphertext) et les outils de cryptage modernes permettent non seulement de rendre illisible une donnée par une personne qui ne dispose pas de la clé de cryptage mais au surplus de détecter si le message transmettant cette donnée a été intercepté.

La technique rejoint ici le droit en ce que le Décret d’application pourrait prévoir un recours obligatoire à un chiffrement de ces données. Cependant, même si le pouvoir règlementaire venait à prescrire des protocoles informatiques de haut niveau en termes de sécurité, l’expérience montre que c’est l’outil informatique qui contraint le droit et non l’inverse. Il suffit d’interroger les organismes collecteurs de cotisations pour constater que les textes de Loi ne sont pas toujours respectés parce que l’outil informatique n’est pas adapté. Ces organismes sont parfois contraints de faire entrer des carrés dans des ronds et bien cela ne fonctionne pas. Nous aurons beau encadrer strictement ce dispositif de collecte de données à caractère personnelle par un texte législatif et un Décret d’application qui seront parfaitement conformes au RGPD et à notre droit fondamental, cela ne pèsera pas lourd face à une personne mal intentionnée sachant s’introduire dans un système d’information réputé sécurisé aussi facilement que nous prenons vous et moi les transports en commun. Or, ce qui peut nous inquiéter c’est que nous n’avons pas encore cette culture de la sécurité informatique. Certes, le gouvernement a mis en ligne il y a déjà un certain temps un guide pour les directeurs d’établissement de santé relatif à la sécurité des systèmes d’information. Cependant, sauf erreur de ma part, il ne ressort des débats parlementaires ni l’audition de représentants de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), ou le Mipih, ni que ladite agence ait rendu un avis ou des préconisations sur le sujet. Si l’on attend que des hackers lancent un « cybersecurity challenge », visant à tester la sécurité du dispositif mis en place au titre de l’article 11 de la Loi n°2020-546 du 12 mai 2020 sur la prorogation de l’état d’urgence pour se préoccuper de la question de la sécurité du système d’information qui sera utilisé… autant abandonner le projet tout de suite.

En conclusion, un bilan avantages & risques de ce système d’information est à ce jour difficile à établir, une vigilance s’impose pour qu’un dispositif conçu pour la protection de la santé publique ne devienne un outil de police sanitaire portant des atteintes inacceptables au droit à une vie privée et qui échapperait à tout contrôle citoyen.