Par Gérard Haas et Virgile Servant Volquin
A propos de Conseil d’Etat, Juge des référés, n°453505
Le lundi 12 juillet 2021, Emmanuel Macron a annoncé l’extension de l’obligation de présentation du pass sanitaire dans les lieux culturels à compter du 21 juillet. Début août, l’extension sera étendue aux lieux de restauration ainsi que dans les hôpitaux, centres commerciaux et transports de longue distance.
Cette nouvelle réglementation ne manquera pas d’être scrutée par le Conseil d’Etat pour les dangers qu’elle fait peser sur les libertés publiques. Il n’en reste pas moins que le Conseil d’Etat se montre généralement conciliant dans l’appréciation des mesures prises dans le cadre de la crise sanitaire par le gouvernement.
A ce titre, le Conseil d’Etat, saisi par voie de référé, a récemment rendu une décision concernant l’utilisation du pass sanitaire par rapport au droit à la protection des données personnelles.
La requête a été déposée le 11 juin 2021 par l’association « La Quadrature du Net », qui « promeut et défend les libertés fondamentales dans l’environnement numérique » et « lutte contre la censure et la surveillance »[1].
L’association requérait du Conseil d’Etat qu’il suspende le dispositif « Pass sanitaire » du fait du traitement de données relatives à l’état-civil et à la santé des individus.
A l’appui de ses demandes, l’association affirme que le pass sanitaire méconnaît :
En réponse, le gouvernement s’appuie sur un avis de la Cnil du 7 juin 2021 qui estime que le dispositif est de nature à respecter le principe de minimisation du traitement des données. En outre, le Premier ministre insiste sur la nature décentralisée du stockage des données au plan national, ce qui remplit un motif d’intérêt général de sauvegarde de la santé publique.
La décision du juge des référés, qui a été rendue le 6 juillet, est très claire : le dispositif actuel du pass sanitaire est conforme avec le RGPD sur la question des données personnelles.
Par ailleurs, le juge des référés qui a procédé à un contrôle de proportionnalité des mesures, conclut à une non-violation des libertés fondamentales en question.
Ce n’est pas la première fois que le Conseil d’Etat considère qu’un dispositif ne porte pas atteinte à la protection des données médicales. En 2020, la juridiction avait considéré que le maintien de l’hébergement du Health Data Hub par Microsoft était possible, malgré un avis contraire de la Cnil et un risque avéré de transfert des données vers les Etats-Unis.
Le RGPD (Règlement général de la protection des données) qui est entré en vigueur en 2018 impose un cadre strict sur le traitement des données de santé. Aussi, les contrôles de la Cnil n’épargnent pas les professionnels de santé. Deux médecins libéraux ont été condamnés en 2020 à une amende de plusieurs milliers d’euros pour manquements divers à la sécurisation des données. Pour rappel, le responsable de traitement des données a pour obligation, entre autres :
Ces obligations se complexifient si vous êtes amenés à travailler en télésoin. En effet, les données de santé sont dites « sensibles » et bénéficient à ce titre d’une protection juridique renforcée. Ainsi, l’article 9 du RGPD interdit en principe le traitement des données de santé, puis énonce une liste d’exceptions. Voici quelques exemples pour lesquels le traitement de données est autorisé :
***
Le cabinet Haas Avocats vous accompagne dans la conformité de vos traitements de données. Pour en savoir plus, rendez-vous ici.
[1] https://www.laquadrature.net/nous/