Par Olivia Tambou, Maître de conférences en Droit, HdR, Université Paris-Dauphine, PSL Université

Auteure du Manuel de droit européen de la protection des données personnelles, Larcier 2020

Le gouvernement a accompagné le déconfinement par la mise en place deux nouveaux outils numériques. La base de données nationale SI-DEP (service intégré de dépistage et de prévention) centralise les informations sur les tests Covid-19 afin de les partager avec les acteurs sanitaires. Le ministère de la Santé est le responsable du traitement de ce fichier, avec comme sous-traitant, l’assistante publique Hôpitaux de Paris. Le téléservice Contact Covid constitue une adaptation « d’Amelipro » et permet à l’assurance maladie de suivre les patients et identifier les cas de contacts. Ces systèmes d’information sont manuellement remplis par des professionnels soumis au secret professionnel. L’objectif principal est qu’ils puissent contacter les personnes à risque pour les obliger à faire un test et les mettre en cas de test positif en quatorzaine. Cette solution communément jugée utile pour limiter la pandémie a été provisoirement acceptée parce que limitée au strict nécessaire (1). L’idée de la mise en œuvre d’une application de suivi automatique de contact, communément appelée StopCovid, n’est pas pour autant définitivement abandonnée et pourrait être lancée le 2 juin. La virulence des débats atteste néanmoins de nombreuses occasions manquées (2) et ne devrait pas masquer l’importance des défis plus globaux à venir (3).

1. Une solution provisoire limitée au strict nécessaire

La création des fichiers Contact Covid et SI-DEP se fonde sur la loi prolongeant l’état d’urgence sanitaire jusqu’au 10 juillet au plus tard. Une loi a été jugée nécessaire pour autoriser ces fichiers permettant le traitement de données personnelles de santé considérées comme des données sensibles, sans le consentement des personnes concernées. Ces fichiers trouvent ainsi leur base juridique dans l’article 11 de la loi précitée qui autorise le ministère de la Santé à mettre en œuvre par voie de décret des systèmes d’information pour l’exécution d’une mission d’intérêt public à savoir « la lutte contre la propagation de l’épidémie de Covid-19 ». La création elle-même de ces fichiers ainsi que leurs modalités ont été fixées par un décret le 12 mai. Une analyse comparative des différentes versions disponibles de ces textes atteste qu’un certain nombre de garde-fous ont bien fonctionné (a), même s’il est possible d’avoir quelques sources de préoccupations (b).

a) Des garde-fous progressivement mis en place

Adopté en une dizaine de jours, le dispositif présenté le 2 mai par le gouvernement a été amélioré grâce à l’action combinée, des parlementaires, en particulier des sénateurs, du Conseil Constitutionnel et de la CNIL. Trois types de garde-fous méritent en particulier notre attention.

• Une temporalité strictement encadrée

D’une part, ces systèmes d’information sont temporaires. Leur durée de vie a été limitée à six mois après la fin de l’état d’urgence sanitaire (cf. art. 11-I de la loi), sachant que le gouvernement avait imaginé initialement leur maintien possible pendant un an. Une loi pourra néanmoins permettre une prorogation de ces systèmes, comme cela a d’ailleurs été explicitement prévu. Il conviendra alors d’évaluer la pertinence de la durée du dispositif comme l’a rappelé la CNIL dans son avis, (p. 9 et p. 17). En revanche, le gouvernement n’a pas obtenu la possibilité d’être habilité par le législateur pour préciser, compléter, les conditions de mise en œuvre de ces systèmes d’information. Ainsi, si la temporalité du dispositif est bien légalement encadrée, la durée réelle de cette exception reste incertaine, tout comme celle de l’état d’urgence sanitaire.

D’autre part, la durée de conservation des données collectées par ces systèmes ne peut aller au delà de trois mois après leur collecte, (cf. art. 11-I de la loi). Cela signifie en particulier que les données devront être détruites, ou anonymisées pour une finalité de recherche. Ces données n’ont donc pas vocation actuellement à alimenter d’autres bases de données personnelles.

Ensuite, la consultation et la modification de ces deux bases de données sont encadrées par une sorte d’obligation de journalisation. Il s’agit de permettre y compris jusqu’à six mois après la fin de l’état d’urgence sanitaire, de garder une forme de traçabilité des interventions sur les données du traitement tels que la date, l’heure et l’utilisateur, (cf. art. 5-II et art. 11-II du décret).

Enfin, durant toute leur existence ces systèmes feront l’objet d’audits réguliers. Cette tâche incombe à un Comité de contrôle et de liaison covid-19 associant la société civile et les parlementaires, au déploiement de ces systèmes (cf. art. II-VIII de la loi). De même, la loi impose au gouvernement de faire aux parlementaires « un rapport détaillé de l’application de ces mesures tous les trois mois … jusqu’à la disparition des systèmes d’information développés aux fins de lutter contre la propagation de l’épidémie de Covid-19 » (cf. art. 11 IX)

• Des finalités précises strictement limitées

Le dispositif repose sur quatre finalités : l’identification des personnes infectées, l’identification des personnes présentant un risque d’infection, l’orientation des personnes infectées et susceptibles de l’être, la surveillance épidémiologique et la recherche sur le virus et les moyens de lutter contre sa propagation. Ces finalités ont été précisées au fur et à mesure de l’élaboration des textes, sur la base de critères additionnels.

D’une part, la définition des différents types de données collectées a été affinée pour chaque système d’information afin qu’il réponde strictement aux finalités fixées. Ainsi l’article 2 du décret liste précisément les seize catégories de données qui peuvent être collectées pour le patient zéro, c’est à dire celui qui a été testé positif par un établissement de santé, et des dix neuf catégories de données qui peuvent être collectées pour les personnes évaluées à risque, dans le cadre du ficher Contact Covid. De son côté l’article 9 du décret énumère six catégories de données qui doivent enregistrées dans SI-DEP. Ces listes mettent en œuvre le principe dit de minimisation des données. Le décret détaille aussi comment ces données peuvent être collectées en apportant deux garanties. Certaines données ne peuvent être collectées qu’avec l’accord de la personne concernée.

Ainsi, rien n’oblige le patient zéro à accepter la révélation de son identité aux personnes avec lesquels il a été en contact, ni aux personnes de préciser si elles ont besoin d’un accompagnement social ou d’appui à l’isolement. Si obligation il y a, c’est uniquement celles des professionnels y compris les laboratoires privés de saisir les données personnelles des personnes testées positives. Ensuite, le décret fixe pour chaque traitement quelles sont les autorités qui peuvent enregistrer les données, celles qui peuvent simplement y accéder, celles qui peuvent en être les destinataires et pour quoi faire. Chaque autorité n’est habilitée que dans la limite de ses besoins respectifs de connaître ces données personnelles de santé. Si la liste des catégories de personnes habilitées à interagir avec ces bases de données peut paraître importante, elle a été réduite par le Conseil constitutionnel. Ainsi, le partage de ces données avec les organismes qui assurent l’accompagnement social a été jugé contraire au respect de la vie privée (cf. point. 70). En effet, l’activité de tels organismes ne relèvent pas directement de la finalité de la lutte contre l’épidémie.

• Le maintien de certains droits pour les personnes concernées

Le décret évoque les modalités du droit à l’information des personnes concernées que cela soit le patient zéro ou les personnes considérées à risque en renvoyant essentiellement aux articles 13 et 14 du RGDP, (cf. art. 6 et 12). Il sera souhaitable, comme la CNIL l’a suggéré, d’informer explicitement les personnes concernées des possibilités de pouvoir retirer leur consentement à certains traitements, même si cela n’apparaît pas explicitement dans le décret.

Au-delà d’un droit à l’information préalablement à la réalisation du dépistage, puis lors de l’envoi des résultats, des possibilités de droit à l’opposition du traitement ont été maintenues, (cf. art. 7 et 13). Les personnes considérées à risque peuvent s’opposer au traitement de leurs données recueillies auprès du patient zéro à moins que ne prévalent des intérêts impérieux de santé publique. En cas de succès, les personnes concernées pourront obtenir ensuite l’effacement de leurs données du fichier « Contact Covid ». Les patients zéro quant à eux ne peuvent s’opposer qu’à la transmission de leurs données au Health Data Hub et à la CNAM. En cas de succès, ils pourront obtenir l’effacement de leurs données de ce fichier. En ce qui concerne le SI-DEP, le droit d’opposition ne s’applique qu’à la transmission des données à des fins de recherche au Health Data Hub et à la CNAM. Le droit à l’effacement s’exercera uniquement s’il n’existe pas de motif impérieux légitime au traitement. En revanche, les droits d’accès et de rectification, ainsi que le droit à la limitation pourront s’exercer pleinement dans le cadre des deux fichiers.

b) Des sources de préoccupations demeurent

L’urgence a montré les limites du principe de la transparence. La mise en place de ces dispositifs nécessitait la réalisation préalable de deux types d’études d’impact. Seule l’étude d’impact du projet de loi a été rendue publique. La faiblesse du contenu de cette étude est à l’image du peu de sérieux accordé à la réalisation de cet exercice considéré comme largement théorique. L’étude d’impact sur la protection des données personnelles était en cours de réalisation au moment où la CNIL a rendu son avis. Il est difficile de savoir si elle a véritablement été finalisée avant la mise en œuvre des traitements. L’objectif de ces études d’impact est d’établir de façon opérationnelle une cartographie des risques élevés associés au déploiement d’un traitement ainsi que le détail des mesures prises par le responsable du traitement pour minimiser ces risques. Il est regrettable que l’article 35 RGPD n’oblige pas les responsables du traitement à rendre publique ne serait-ce qu’un compte rendu de leurs études d’impacts de la protection des données personnelles. Le danger que l’on pourrait craindre est la banalisation voire la légitimation des expérimentations face à notre incapacité collective d’évaluer préalablement l’impact du déploiement de nouvelles technologies numériques. Cela interroge à l’instar du droit de l’environnement sur la nécessité d’une consécration effective d’un principe de précaution en droit du numérique. Au-delà du déploiement de ces deux outils numériques, l’accompagnement numérique du déconfinement illustre des occasions manquées.

2. Des occasions manquées

Depuis le début de cette crise, certains s’étonnent du silence de l’UE, d’autres rappellent avec amertume qu’elle n’a en réalité que peu de compétences pour faire entendre sa voix. L’essentiel des décisions à prendre relève des États membres. C’est là tout le paradoxe des outils numériques, tels que les applications de suivi de contact. La création d’un modèle européen d’application de contact qui puisse être adopté par l’ensemble des États membres, n’a pas résisté aux pragmatiques approches de certains États préférant une solution avant tout compatible avec les systèmes d’exploitation de Google et d’Apple. La division des États membres sur leurs choix politiques de recours à telle ou telle technologie illustre encore une fois le poids des opérateurs historiques numériques (cf. Tribune de Marc Watin-Augouard). L’invocation du concept de souveraineté numérique européenne pour séduisant qu’il soit, ne constitue encore qu’un élément de langage comme nous l’avions déjà observé. L’UE ambitionne d’être un marché intérieur numérique au sein duquel la libre circulation des données notamment à caractère personnel est assurée, tout en veillant à un niveau de protection élevé des individus. Pourtant, la Commission européenne ne peut qu’encourager les États membres à adopter des lignes directrices afin que leurs solutions techniques numériques soient interopérables. L’ambivalence de cette crise sanitaire est d’accélérer la nécessité de recourir à des nouveaux outils numériques qui questionnent de façon violente l’effectivité de notre modèle européen de la protection des données à caractère personnel (cf. Tribune de Guillaume Desgens-Pasanau). La question centrale du déploiement futur en France d’une application de suivi de contact dont l’utilité reste encore à démontrer et les modalités à préciser ne doit pas occulter les challenges à venir de la stratégie numérique européenne.

3. Des défis à venir à l’échelle européenne

La pandémie actuelle révèle avec acuité la nécessité de poursuivre deux chantiers à l’échelle européenne. D’une part, l’utilité d’un véritable espace européen des données de santé n’est plus aujourd’hui à démontrer. C’est l’un des espaces de données dont la création a été annoncée par la Commission européenne dans sa stratégie des données, en février. Depuis la crise sanitaire, une plateforme européenne de données sur le Covid-19, également été lancée en avril. Il reste encore beaucoup à faire en la matière notamment pour le développement d’un véritable réseau e-santé en ligne.

D’autre part, il apparaît nécessaire d’avancer sur la régulation des plateformes numériques. Ces opérateurs de services de communication en ligne se caractérisent par leur capacité de proposer des services d’intermédiations tels les moteurs de recherche ou les places de marchés comme Apple Store, voire des réseaux sociaux (cf. art. L. 111-7 du code de la consommation, introduit par la loi République numérique). Ces écosystèmes aux multiples facettes ont désormais une emprise quotidienne dans nos vies et la vie de nos institutions. Rien d’étonnant à ce que la récente volumineuse synthèse des Étas généraux numériques du Conseil National du Numérique porte notamment sur cette question lancinante. Il en va de même du think tank Renaissance numérique vient de publier une note sur la régulation des plateformes numériques. De son côté, le Parlement européen a fait quelques recommandations à la Commission européenne pour l’élaboration du futur Digital Services Act qui constitue un début d’encadrement spécifique des grands opérateurs numériques. Une consultation publique sur ce Digital Services Act devrait s’ouvrir en juin. Il est temps d’avoir une approche européenne globale de la régulation des plateformes afin que ces intermédiaires ne portent pas atteinte à nos droits et libertés, voire à la légitimité de nos institutions.

 

[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]S’abonner à la newsletter du Club des juristes[/vcex_button]