Actualités juridiques et digitales

COVID-19: que dit le décret autorisant le traitement des données de santé ?

Rédigé par Gérard HAAS | May 22, 2020 7:36:23 AM

Par Marie Torelli, Lucile Desbordes et Gérard Haas

Le décret n° 2020-551 du 12 mai 2020 fixe les règles applicables aux traitements de données de santé dans le cadre de la lutte contre l’épidémie de coronavirus.

1. Historique du décret

La loi n°2020-546 du 11 mai 2020 autorise le ministre de la santé à créer un système d’information “aux seules fins de lutter contre l’épidémie de covid-19" et ce, “pour la durée strictement nécessaire à cet objectif ou, au plus, pour une durée de six mois à compter de la fin de l'état d'urgence sanitaire”.

Le système d’information envisagé devait ainsi permettre le partage des données de santé des personnes contaminées et de leur entourage à un nombre limité de structures habilitées, telles que les agences régionales de santé, les caisses d’assurance maladie ou encore les professionnels de santé et ce, sans leur consentement.

Saisi par 60 députés et sénateurs sur le point de savoir si un tel système ne portait pas une atteinte disproportionnée au droit au respect de la vie privée, le Conseil Constitutionnel a jugé le dispositif conforme à la constitution à une exception près.  

Pour la première fois dans sa jurisprudence, le Conseil constitutionnel établit le principe selon lequel lorsque sont en « cause des données à caractère personnel de nature médicale, une particulière vigilance doit être observée dans la conduite de ces opérations et la détermination de leurs modalités. ».

Pour cette raison, le Conseil a considéré que, les organismes qui assurent l’accompagnement social des intéressés ne relevant pas de la lutte contre l’épidémie, ils n'avaient donc pas à recevoir communication des données de santé des personnes concernées et, a fortiori, des personnes de leur entourage.  

Le décret d’application de la loi du 11 mai 2020 devait donc prendre en compte l’inconstitutionnalité relevée par le Conseil Constitutionnel.  

2. Contact-tracing: les dispositifs créés par le décret

Le décret prévoit la mise en place d’un dispositif de “contact tracing” fondé sur deux traitements de données à caractère personnel : Contact-Covid et SI-DEP.

Destinés à être mis en place pendant une durée de six mois à compter de la fin de l’état d’urgence sanitaire, ces traitements ne reposent pas sur le consentement des personnes concernées mais sur la mission d’intérêt public dont sont investis les organismes chargés de les mettre en place (article 6.1.e du RGPD) d'une part et, d'autre part sur les motifs d’intérêt public pour lesquels ils ont été créés (article 9.2.i du RGPD).

Ils devront ainsi permettre d’atteindre les finalités suivantes :

  • L'identification des personnes contaminées par l’épidémie ;
  • L'identification des personnes ayant pu être en contact avec les personnes infectées ;
  • L'orientation de ces personnes vers des mesures de soins appropriées (isolation, prise en charge...) ;
  • La surveillance de l’épidémie à l’échelle nationale ;
  • La recherche tant sur le virus que sur les moyens de lutter contre sa propagation.

2.1. Contact-covid: l’identification des chaînes de contamination 

Contact-covid consiste en l’adaptation, par la caisse nationale d’assurance maladie, du système d’information « amelipro” qui sera mis à la disposition tant des professionnels de santé que des agences régionales de santé.

Le dispositif permettra d’identifier les cas de contact avec la maladie, de permettre la prise en charge de tests de dépistage par les personnes qui ont été en contact avec des personnes contaminées, de proposer un accompagnement social aux personnes qui en ont besoin et d’identifier rapidement les chaînes de contamination.

Pour ce faire, le traitement rassemblera les données d’enquêtes sanitaires à différents niveaux :

  • Lors du diagnostic, les médecins collecteront les données des personnes infectées et des personnes avec lesquelles elles ont été en contact ;
  • Les données seront ensuite transmises aux plateformes d’assurance maladie de chaque département qui prendront attache avec les personnes susceptibles d’avoir été en contact avec un patient infecté afin de les informer des démarches à accomplir ;
  • Sur la base de ces données, les agences régionales de santé pourront repérer et traiter les chaînes de contamination les plus complexes.

Dans le cadre de ces enquêtes, les données recueillies seront nombreuses, tant en ce qui concerne la personne contaminée que les personnes susceptibles d’avoir été en contact avec elle. Ainsi, pourront notamment être collectées les :

  • Données d’identification (état civil, nom, prénom, NIR, coordonnées...) ;
  • Données relatives à la vie professionnelle (profession et lieu d’exercice de la profession) ;
  • Données relatives aux déplacements des personnes durant les 14 derniers jours (fréquentation d’un centre médico-social, d’un établissement pénitentiaire, déplacement dans une région autre que celle du domicile...) ;
  • Données de santé (symptômes, date d’apparition, test de dépistage, analyses...) ;
  • Données relatives à l’entourage du patient infecté (identité et coordonnées de l’entourage, situation de cohabitation...) ;
  • ..

2.2. SI-DEP: la base de données des tests de dépistage

SI-DEP sera déployé dans l’ensemble des laboratoires et structures autorisées. Ce traitement permettra de centraliser les résultats des tests de dépistage du COVID-19.

Ce fichier sera croisé avec “Contact Covid” afin de s’assurer que l’ensemble des personnes testées positives ont bien été recensées et prises en charge à ce titre.

Il permettra également aux autorités sanitaires de disposer, en temps réel, d’un certain nombre d’informations anonymes pour assurer le suivi de l’épidémie et de mieux comprendre le virus.

Dans le cadre de ce traitement, seront collectés :

  • Les données d’identification de la personne dépistée ;
  • Les informations sur la situation du patient pour la réalisation d’enquêtes sanitaires :
  • Les coordonnées du patient et de son médecin ;
  • Les caractéristiques du prélèvement ;
  • Les résultats des analyses.

2.3. Droits et garanties des personnes concernées par les deux dispositifs

Le décret prévoit un certain nombre de garanties pour les personnes concernées par les traitements :

  • Droit à l’information. Les patients seront informés des modalités du traitement ainsi que de leurs droits préalablement à la collecte de leurs données à caractère personnel ou à la réalisation du test de dépistage.

Pour ce qui est des personnes qui auraient été en contact avec les patients infectés, elles seront informées du traitement de leurs données lors de la première prise de contact dans le cadre de l’enquête sanitaire.

  • Durées de conservation limitées. Les données ne pourront être conservées que pour une durée maximale de trois mois à compter de leur collecte.

De même, les traces des opérations réalisées sur ces données (accès, modifications...) devront être conservées pour une durée maximale de six mois à compter de la fin de l’état d’urgence sanitaire pour des raisons de sécurité.

  • Pseudonymisation des données. Lorsqu’elles sont utilisées à des fins de recherche ou de suivi de l’épidémie, les données seront pseudonymisées.
  • Droit d’opposition limité. Conformément à l’article 23 du RGPD, les personnes concernées ne pourront exercer leurs droits que dans des conditions limitées. Ainsi, elles ne pourront exercer leur droit d’opposition qu’à l’égard de la transmission de leurs données à la Plateforme de Données de l’Etat ou à la Caisse nationale de l’assurance maladie et non aux autres structures habilitées.

3. La délibération de la CNIL

Avant la publication du décret, la CNIL a été consultée sur l’utilisation de ces deux fichiers dans le cadre du dépistage du Covid-19 et de la conduite des enquêtes sanitaires.

Globalement la CNIL a estimé que le dispositif était conforme au RGPD, mais elle a quand même formulé quelques directives compte tenu de la sensibilité du projet et des données traitées.

La présidente de la CNIL Madame Isabelle Falque-Pierrotin a annoncé que des contrôles seraient effectués dès les premières semaines suivant la mise en place des outils.

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, notamment en matière de protection des données personnelles et e-réputation. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici