« Contact Covid » et « SI-DEP » : décret d’application conforme, mais…

« CONTACT COVID » ET « SI-DEP » : DÉCRET D’APPLICATION CONFORME, MAIS…

Article rédigé le 18 mai 2020 par Me Guillaume Champenois

Le décret 2020-551 du 12 mai 2020 publié au journal officiel du 13 mai 2020 autorise l’adaptation et la création de traitements de données à caractère personnel destinées à permettre l’identification des chaînes de contamination du virus covid-19 et assurer le suivi et l’accompagnement des personnes. Il définit à ce titre les responsables de traitements, les catégories de données traitées, les accès, les destinataires, ainsi que leur durée de conservation et les modalités d’exercice, par les personnes concernées, des droits prévus par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

 

Le Décret d’application n°2020-551 du 12 mai 2020 de l’article 11 de la Loi n°2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire a été publié le 13 mai 2020, soit le lendemain de la publication de la Loi. Cela a été rendu possible par un effort d’anticipation du pouvoir réglementaire qui a saisi pour avis la CNIL parallèlement à l’examen du texte législatif par le parlement. Cet avis ressortant de la délibération n°2020-051 du 08 mai 2020 est très instructif. Pour celles et ceux qui s’initient à la problématique de la gestion des données à caractère personnel et qui ont pu déjà prendre connaissance des différentes fiches établies par la CNIL, ledit avis sera d’une lecture très aisée.

La CNIL a rendu un avis qui tend à considérer que ce texte règlementaire est conforme au texte législatif et au RGPD. Les points essentiels qui devaient faire l’objet d’une expertise du texte règlementaire sont les suivants ;

  • la finalité des traitements des données voulus par le législateur,
  • la nature des données collectées, les personnes habilitées à accéder à la base de données,
  • la durée de conservation de ces données,
  • la sécurité apportée aux deux systèmes d’information,
  • mais encore et surtout le caractère nécessaire de ces dispositifs pour lutter efficacement contre la propagation du coronavirus 2019.

La CNIL a fait ce travail d’analyse avec comme finalité de ne pas s’arrêter à la lettre même du texte réglementaire mais en se projetant sur une mise en application de manière concrète. Nous avons ici, toute proportion gardée, un travail d’analyse et de mise en garde comparable à celui opéré par le Conseil constitutionnel dans la formulation de ses réserves d’interprétation. C’est assez notable sur la question de la sécurité des deux systèmes d’information, « Contact Covid » et « SI-DEP ».

La CNIL affirme ainsi dans son avis :

« qu’au vu de la nature, du volume des données traitées et des risques pour les personnes en cas d’atteinte à la sécurité des données, il apparait incontournable qu’un socle minimal de mesures de sécurité soit mis en place afin de garantir un niveau de sécurité à l’état de l’art applicable aux données de santé. A cet égard, la Commission rappelle que le respect de l’obligation de sécurité prévue à l’article 5 1 f) et à l’article 32 du RGPD constitue une condition de licéité du traitement et souligne l’importance des mesures techniques et organisationnelles permettant d’assurer notamment la confidentialité des données, la traçabilité des actions et leur imputabilité.La Commission considère donc que la mise en œuvre du traitement SI-DEP devra en particulier garantir la maîtrise de l’échange et l’hébergement des données, de l’authentification des personnes et de la traçabilité des actions des utilisateurs. »

Comme évoqué dans notre analyse sur l’article 11 de la Loi n°2020-546 du 11 mai 2020, la problématique n’est pas seulement d’encadrer juridiquement la collecte de données de santé à grande échelle et de s’assurer que l’ensemble du dispositif est conforme au RGPD. La question de la sécurité dans la mise en application au quotidien est tout aussi importante. Une parfaite conformité du Décret au texte législatif et au RGPD ne présente aucune utilité si dans les faits les actions nécessaires à la sécurisation des systèmes d’information pour en garantir l’inviolabilité ne sont pas mises en œuvre. La finalité juridique n’est ici atteinte que par la maitrise de la technique des systèmes d’information. Lorsque l’on fait le constat que dans de très nombreux services des administrations le mot de passe d’un accès à tel serveur est identique au login, nous pouvons être légitimement inquiets. La culture de la sécurité informatique doit progresser au moins aussi vite que l’évolution législative et règlementaire et force est de constater qu’il y a sur ce terrain encore beaucoup de travail.

Pour ce qui concerne la durée de conservation des données collectées, tant pour le système d’information « Contact Covid » que pour le système d’information « SI-DEP », la CNIL relève dans son avis que la durée de conservation des données est d’un an à compter la publication de la Loi et souligne aussitôt que « cette durée est fixée de manière générale, sans distinction des catégories de données traitées, des personnes qu’elles concernent ou des finalités pour lesquelles elles sont traitées. Elle souhaite, à l’issue de trois mois d’usage du dispositif, que la pertinence de cette durée indifférenciée fasse l’objet d’une évaluation et que la possibilité de supprimer certaines catégories de données soit étudiée ».

L’avis de la CNIL est intervenu alors que le texte législatif était en cours de finalisation et que le texte règlementaire était à l’état de projet. Pour le traitement « Contact Covid », le Décret prévoit une conservation des données pour une durée de six mois à compter de la fin de l’état d’urgence déclaré à l’article 4 de la Loi du 23 mars 2020. Dans cette limite, la durée de conservation des données ne peut dépasser 3 mois suivant la date de leur collecte (confer article 5 du Décret). Pour le traitement « SI-DEP » c’est la même chose (confer article 11 du Décret). Sous réserve que ces dispositions règlementaires soient effectivement suivies d’effet, la durée de conservation des données collectées nous semble conforme à la finalité des deux systèmes et constitue une conciliation équilibrée entre l’atteinte au droit au respect de la vie privée et l’objectif de stopper la propagation du coronavirus. Reste que la logique d’un contrôle à échéance de trois mois pour s’assurer que ces systèmes d’information sont effectivement nécessaires à la lutte contre la propagation du Covid-19 nous semble primordial. Il n’y a pas en ces matières de réelle sécurité sans contrôle de la bonne application mais aussi sans réévaluation régulière du dispositif. C’est ici notre meilleure garantie de ce que la collecte de données à grande échelle ne devienne pas un acte banal alors qu’il doit rester exceptionnel et être sans cesse interrogé quant à sa légitimité en regard des objectifs poursuivis et de ses effets.

Enfin, en l’état du texte règlementaire ;

  • Pour le système de traitement d’information « Contact Covid», lequel n’est qu’une adaptation du système de traitement de donnée « AméliPro » de la CNAM, le responsable de traitement n’est pas nommément désigné mais il ne fait guère de doute que la responsabilité échoit à la Caisse nationale.
  • Pour le système de traitement d’information « SI-DEP », qui est créé ex nihilo, le responsable du traitement des données est « le ministre chargé de la santé (direction générale de la santé) et dont l’Assistance publique-Hôpitaux de Paris assure, pour le compte de ce dernier, la gestion, en qualité de sous-traitant, dans les conditions prévues à l’article 28 du règlement (UE) du 27 avril 2016 susvisé.»

Sur ce point, notre attention a été attirée par l’article 14 du Décret qui prévoit que les ARS vont pouvoir avoir recours à des sous-traitants « pour exercer, dans les conditions prévues à l’article 28 du règlement (UE) du 27 avril 2016 susvisé, les missions de réalisation des enquêtes sanitaires, d’orientation, de suivi et d’accompagnement des personnes et de surveillance épidémiologique. Les agences régionales de santé s’assurent notamment que leurs sous-traitants présentent des garanties de compétence suffisantes pour assurer la mise en œuvre des mesures techniques et organisationnelles appropriées et le respect des règles de confidentialité. » Il ne serait pas inutile que, le moment venu, la CNIL opère quelques contrôles tant au sein desdites ARS qu’au sein des entités sous-traitantes.

En conclusion, toutes les garanties juridiques semblent avoir été prises pour concilier le droit au respect de la vie privée et l’objectif poursuivi de limitation de la propagation du Covid-19. La lettre du texte est cependant une garantie insuffisante et seuls des contrôles réguliers de la CNIL pourront nous préserver d’une application non conforme par les acteurs concernés de ces deux systèmes de traitement de données de santé et de traitement de données à caractère personnel. Rédiger une Loi et un Décret d’application ne suffit, il faut contrôler, contrôler et contrôler encore.