Pass sanitaire : La protection des données de santé en ligne de mire

Pass sanitaire : La protection des données de santé en ligne de mire

Par Gérard Haas et Virgile Servant Volquin

A propos de Conseil d’Etat, Juge des référés, n°453505

Le lundi 12 juillet 2021, Emmanuel Macron a annoncé l’extension de l’obligation de présentation du pass sanitaire dans les lieux culturels à compter du 21 juillet. Début août, l’extension sera étendue aux lieux de restauration ainsi que dans les hôpitaux, centres commerciaux et transports de longue distance.

Cette nouvelle réglementation ne manquera pas d’être scrutée par le Conseil d’Etat pour les dangers qu’elle fait peser sur les libertés publiques. Il n’en reste pas moins que le Conseil d’Etat se montre généralement conciliant dans l’appréciation des mesures prises dans le cadre de la crise sanitaire par le gouvernement.

A ce titre, le Conseil d’Etat, saisi par voie de référé, a récemment rendu une décision concernant l’utilisation du pass sanitaire par rapport au droit à la protection des données personnelles.

A propos de l’arrêt

La requête a été déposée le 11 juin 2021 par l’association « La Quadrature du Net », qui « promeut et défend les libertés fondamentales dans l’environnement numérique » et « lutte contre la censure et la surveillance »[1].

L’association requérait du Conseil d’Etat qu’il suspende le dispositif « Pass sanitaire » du fait du traitement de données relatives à l’état-civil et à la santé des individus.

A l’appui de ses demandes, l’association affirme que le pass sanitaire méconnaît :

  • La liberté d’aller et venir
  • La liberté de manifester et d’expression
  • Le droit au respect à la vie privée et le droit de la protection des données personnelles

En réponse, le gouvernement s’appuie sur un avis de la Cnil du 7 juin 2021 qui estime que le dispositif est de nature à respecter le principe de minimisation du traitement des données. En outre, le Premier ministre insiste sur la nature décentralisée du stockage des données au plan national, ce qui remplit un motif d’intérêt général de sauvegarde de la santé publique.

Non-contrariété du pass sanitaire au RGPD

La décision du juge des référés, qui a été rendue le 6 juillet, est très claire : le dispositif actuel du pass sanitaire est conforme avec le RGPD sur la question des données personnelles.

Par ailleurs, le juge des référés qui a procédé à un contrôle de proportionnalité des mesures, conclut à une non-violation des libertés fondamentales en question.

Ce n’est pas la première fois que le Conseil d’Etat considère qu’un dispositif ne porte pas atteinte à la protection des données médicales. En 2020, la juridiction avait considéré que le maintien de l’hébergement du Health Data Hub par Microsoft était possible, malgré un avis contraire de la Cnil et un risque avéré de transfert des données vers les Etats-Unis.

Focus sur le RGPD en matière de données de santé

Le RGPD (Règlement général de la protection des données) qui est entré en vigueur en 2018 impose un cadre strict sur le traitement des données de santé. Aussi, les contrôles de la Cnil n’épargnent pas les professionnels de santé. Deux médecins libéraux ont été condamnés en 2020 à une amende de plusieurs milliers d’euros pour manquements divers à la sécurisation des données. Pour rappel, le responsable de traitement des données a pour obligation, entre autres :

  • De mettre en œuvre les moyens techniques pour sécuriser suffisamment les données.
  • De notifier la Cnil en cas de violation des données.

Ces obligations se complexifient si vous êtes amenés à travailler en télésoin. En effet, les données de santé sont dites « sensibles » et bénéficient à ce titre d’une protection juridique renforcée. Ainsi, l’article 9 du RGPD interdit en principe le traitement des données de santé, puis énonce une liste d’exceptions. Voici quelques exemples pour lesquels le traitement de données est autorisé :

  • Lorsqu’il est possible de demander le consentement explicite de la personne concernée par le traitement
  • Lorsque les données sont traitées dans le cadre de la médecine du travail
  • Ou encore lorsque le traitement des données est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique. C’est sur le fondement de cette exception que le Conseil d’Etat a autorisé le dispositif « Pass sanitaire ».

***

Le cabinet Haas Avocats vous accompagne dans la conformité de vos traitements de données. Pour en savoir plus, rendez-vous ici.

 

[1] https://www.laquadrature.net/nous/

 

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin