Covid-19 : pourquoi le Conseil constitutionnel a corrigé les traitements des données de santé

Réserves et censures à la clef 38
Accès libre
image dediée
Crédits : Marc Rees (licence CC-BY-3.0)
Loi
Marc Rees

La loi prorogeant l’état d’urgence sanitaire a donc été votée, examinée par le Conseil constitutionnel et publiée au Journal officiel. Retour sur l’article relatif aux traitements des données de santé.

Après de rapides débats au Parlement, le gouvernement a fait adopter son projet de loi repoussant jusqu’au 10 juillet l’état d’urgence sanitaire. Dans le secteur des nouvelles technologies, l’article 11 (ex article 6) mérite une attention particulière en ce qu’il met en place un mégatraitement portant sur des données classées comme sensibles par le RGPD.

Par dérogation au sacro-saint principe du secret médical, ce traitement est mis en place pour lutter contre la propagation de l’épidémie de Covid‑19. La logique ? Accompagner le déconfinement par « le déploiement de systèmes d’information et la mobilisation de ressources humaines », explique le gouvernement dans ses observations au Conseil constitutionnel. 

Sa durée dépassera largement la date du 10 juillet, puisqu’il pourra s’étendre jusqu’à six mois à compter de la fin de l’état d’urgence. 

Ce traitement va engloutir dans ses serveurs les données de santé des personnes non seulement atteintes par ce virus, mais également celles ayant été simplement en contact avec elles. Mieux, ces données pourront être traitées et partagées, le cas échéant sans le consentement des personnes intéressées. C’est un décret en Conseil d’État qui sera chargé de préciser ses modalités d’application.

Parler de traitement au singulier est une erreur. Deux fichiers sont mis en marche, comme le rappelle le gouvernement, toujours dans ses observations (voir notre actualité).

Un mégatraitement et deux fichiers : SIDEP et Contact Covid

« En premier lieu, le traitement ministériel relatif au dépistage (SIDEP) permettra le suivi des opérations de dépistage ». En second lieu, Contact Covid, « centralisera les informations médicales utiles relatives aux personnes affectées par la maladie, issues notamment du fichier SI-DEP, ainsi que les informations, recueillies par les médecins eux-mêmes puis dans le cadre de l’enquête sanitaire et sociale conduite auprès des malades ».

Ces enquêtes permettront l’identification des cas contacts susceptibles d’être contaminés. Mais aussi d’« avertir les intéressés et les inciter à aller retirer un masque, à se faire tester et, si besoin, à s’isoler » (mise en quarantaine, isolement).

Dans le texte soumis au Conseil constitutionnel, le gouvernement a précisé que Contact Covid serait déployé « dans les laboratoires et structures autorisés à réaliser les tests ». Ces structures « devront renseigner le système d’information avec des données relatives à l’identité de la personne testée et aux données relatives au test, notamment sa date de réalisation et son résultat ».

Ceci fait, les données seront diffusées « après pseudonymisation ou agrégation, aux acteurs du suivi épidémiologique (Agence nationale de la santé publique) et de la recherche ». Des diffusions sous forme identifiante sont également prévues : au patient d’abord, mais aussi au médecin, « aux personnes chargées, au sein de la caisse nationale d’assurance maladie (CNAM) et, secondairement, [aux] agences régionales de santé [chargées] d’identifier les cas contacts ».

Dans leur saisine, députés et sénateurs ont émis plusieurs critiques : violation de la vie privée, ampleur et sensibilité des données recueillies, absence de mesure d'anonymisation, nombre trop élevé de personnes qui auront accès à ces données et renvois trop généreux à un décret pour fixer des éléments relevant du pouvoir législatif...

« Ils estiment que les garanties dont est entouré le dispositif sont insuffisantes, faute notamment de prévoir le consentement des personnes dont les données sont collectées et partagées ou l'exercice normal des droits d'accès, d'information et de rectification desdites données » résume le Conseil constitutionnel.

Une atteinte à la vie privée, quatre finalités

Dans sa décision, il a posé que « la collecte, l'enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d'intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif ». Des principes découlant du droit au respect à la vie privée.

Les neuf Sages n’ont pas eu de difficultés à constater que le texte défendu par le gouvernement portait effectivement atteinte à la vie privée, d’autant qu’il ne concerne pas seulement les données de santé, mais également le graphe social d’une personne (identification et contacts).

L’atteinte à la vie privée poursuit cependant l’objectif à valeur constitutionnel de protection de la santé. Restait à savoir si elle restait dans les clous de la proportionnalité. Pour s’en convaincre, il a rappelé que les traitements avaient quatre finalités :

  1. L'identification des personnes infectées par le Covid-19, grâce à la prescription, la réalisation et la collecte des résultats des examens médicaux pertinents ainsi que la transmission des éléments probants de diagnostic clinique
  2. L'identification des personnes qui, ayant été en contact avec ces dernières, présentent un risque d'infection
  3. L'orientation des unes et des autres vers des prescriptions médicales d'isolement prophylactiques ainsi que leur accompagnement pendant et après la fin de ces mesures d'isolement
  4. La surveillance épidémiologique nationale et locale ainsi que la recherche sur le virus et les moyens de lutter contre sa propagation.

De plus, le législateur a exclu du dispositif le « développement ou le déploiement d'une application informatique à destination du public et disponible sur équipement mobile permettant d'informer les personnes du fait qu'elles ont été à proximité de personnes diagnostiquées positives au Covid-19 ».  Et donc a coupé les principaux ponts entre ces traitements et StopCovid.

Autre composante mise dans la balance de son analyse de proportionnalité et d’adéquation, d’une part, les seules données de santé concernées sont celles relatives au statut virologique ou sérologique des personnes concernées. On trouve également les éléments de diagnostic clinique et d'imagerie médicale.

D’autre part, tempère le Conseil, pour les trois premières finalités, « les autres données à caractère personnel en cause sont celles permettant l'identification des intéressés et celles précisant les contacts qu'une personne infectée a eus, au moment où elle a pu être infectée et pendant la période où elle était susceptible de contaminer d'autres personnes ». Soit des données « strictement nécessaires à la poursuite » de ces finalités.

Des réserves et des censures

Toutefois le Conseil constitutionnel a émis plusieurs réserves d’interprétation. Plutôt que d’avoir à le censurer, le juge impose alors sa grille de lecture à un texte. En l’occurrence, pour la dernière finalité, le législateur autorise la surveillance épidémiologique aux niveaux national et local, ainsi que la recherche sur le virus et les moyens de lutter contre sa propagation, mais « sous réserve, en cas de collecte d’informations, de supprimer les nom et prénoms des personnes, leur numéro d’inscription au répertoire national d’identification des personnes physiques et leur adresse ».

Le texte examiné en commission des lois avait conditionné cette exploitation à « l’anonymisation des informations collectées ». Le gouvernement avait toutefois fait voter cette réécriture au motif que « la notion d’anonymisation n’est pas définie par le RGPD ». 

Le Conseil constitutionnel a cependant jugé la mesure encore trop timide, imposant que la suppression des données personnelles aurait dû aussi « s'étendre aux coordonnées de contact téléphonique ou électronique des intéressés ». Deux points oubliés par l’exécutif.

La liste des personnes en droit d’accéder sans consentement de la personne à ces masses d’information est très longue. Qu’on en juge :

  • Le ministre de la Santé,
  • L'Agence nationale de santé publique,
  • L'assurance maladie,
  • Les agences régionales de santé,
  • Le service de santé des armées,
  • Les communautés professionnelles territoriales de santé,
  • Les établissements de santé, sociaux et médico-sociaux
  • Les équipes de soins primaires
  • Les maisons de santé,
  • Les centres de santé,
  • Les services de santé au travail et les médecins prenant en charge les personnes en cause,
  • Les pharmaciens,
  • Les dispositifs d'appui à la coordination des parcours de santé complexes
  • Les dispositifs spécifiques régionaux
  • Les dispositifs d'appui
  • Les laboratoires et services autorisés à réaliser les examens de biologie ou d'imagerie médicale pertinents sur les personnes en cause.

C’est un décret qui précisera les données accessibles, en fonction des finalités poursuivies par chacun de ces organismes. Cette longue liste n’a pas particulièrement dérangé le Conseil, au regard de « la masse des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l'épidémie ».

Par contre, il a censuré la disposition de la loi qui autorisait également les organismes d’accompagnement social des personnes concernées (hébergement en cas de mise en quarantaine, etc.). « S'agissant d'un accompagnement social, qui ne relève donc pas directement de la lutte contre l'épidémie, rien ne justifie que la communication des données à caractère personnel traitées dans le système d'information ne soit pas subordonnée au recueil du consentement des intéressés ».

Au paragraphe 73 de sa décision, il a fixé une nouvelle réserve d’interprétation en exigeant du gouvernement qu’il définisse les modalités de collecte, de traitement et de partage des informations, tout en « assurant leur stricte confidentialité et, notamment, l'habilitation spécifique des agents chargés, au sein de chaque organisme, de participer à la mise en œuvre du système d'information ainsi que la traçabilité des accès à ce système d'information ».

La question des sous-traitants

La question des sous-traitants a également été épinglée. Dans ses observations, le gouvernement reconnait que « l’ampleur de la crise sanitaire est telle que le dispositif pourra nécessiter le recours à des sous-traitants pour prendre les contacts téléphoniques voulus pour les besoins des enquêtes sanitaires et sociales nécessaires à l’identification des cas contacts ».

L’exécutif a rappelé que l’article 28 du RGPD exige que ces sous-traitants « présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir la protection des droits de la personne concernée et que les relations entre responsable de traitement et sous-traitant soient régies par un contrat ».

Le Conseil constitutionnel a là encore émis une autre réserve pour souligner que « d'une part, ces sous-traitants agissent pour leur compte et sous leur responsabilité. D'autre part, pour respecter le droit au respect de la vie privée, ce recours aux sous-traitants doit s'effectuer en conformité avec les exigences de nécessité et de confidentialité » prévues par sa décision.

Toutefois, après cette censure et ces multiples réserves d’interprétation, les neuf Sages ont considéré que les dispositions « ne méconnaissent pas le droit au respect de la vie privée ». Elles ne sont pas davantage « entachées d'incompétence négative ou inintelligibles ni ne méconnaissent d'autres exigences constitutionnelles ».

Interdiction des avis conformes de la CNIL

Il a tenu compte préalable de plusieurs autres paramètres comme le respect du RGPD et de la loi de 1978, l’application limitée dans le temps de cet article 11 (six mois après la fin de l'état d'urgence sanitaire, au maximum), sachant que les données devront être supprimées trois mois après leur collecte.

Enfin, il a au passage supprimé l’exigence d’un avis conforme de la CNIL en amont des décrets d’application. « En vertu de l'article 21 de la Constitution et sous réserve de son article 13, le Premier ministre exerce le pouvoir réglementaire à l'échelon national. Ces dispositions n'autorisent pas le législateur à subordonner à l'avis conforme d'une autre autorité de l'État l'exercice, par le Premier ministre, de son pouvoir réglementaire ».


chargement
Chargement des commentaires...