La lettre juridique n°827 du 11 juin 2020 : Covid-19

[Textes] La surveillance sanitaire de la population aux fins de lutter contre la covid-19 (commentaire de l’article 11 de la loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions)

Réf. : Loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions (N° Lexbase : L8351LW9), art. 11 ; décret n° 2020-551 du 12 mai 2020, relatif aux systèmes d'information mentionnés à l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions (N° Lexbase : L8483LW4)

Lecture: 58 min

N3614BYI

Citer l'article

Créer un lien vers ce contenu

[Textes] La surveillance sanitaire de la population aux fins de lutter contre la covid-19 (commentaire de l’article 11 de la loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions). Lire en ligne : https://www.lexbase.fr/article-juridique/58450977-texteslasurveillancesanitairedelapopulationauxfinsdeluttercontrelacovid19commentaired
Copier

par Ludovic Pailler, Professeur agrégé de droit privé et sciences criminelles, Université Jean Moulin - Lyon 3, Centre de recherche sur le Droit international privé (EDIEC - EA4185)

le 11 Juin 2020

Avant la mise en œuvre de l’application de traçage numérique controversée, dénommée StopCovid [1], la loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions a permis, aux termes de son chapitre 2, la « création d’un système d’information aux seules fins de lutter contre l’épidémie de covid-19 ». Malgré la vocation de cet intitulé à rassurer, l’unique article 11 de ce chapitre a pour objet la mise en œuvre de traitements aux fins de tracer les contacts des personnes infectées. Il emporte ainsi une nouvelle atteinte aux droits et libertés qui s’ajoute à celles déjà nombreuses, et notamment technologiques [2], prescrites au nom de la lutte contre la pandémie. Plus particulièrement, l’article 11 place sur la sellette les droits au respect de la vie privée [3], au secret des informations médicales [4] et à la protection des données à caractère personnel [5]. L’ingérence dans ces droits est d’autant plus inquiétante que, comme l’a relevé la Commission nationale de l’informatique et des libertés (CNIL), est en cause « le partage [inédit] de données d’une très grande sensibilité susceptibles de concerner l’ensemble de la population » [6] sans le consentement des personnes concernées. Aucune autre épidémie que celle de covid-19 [7], ni aucune autre circonstance mis à part le terrorisme n’avait jusqu’alors suscité une telle surveillance.

Elle est le fruit d’un texte voté dans l’urgence. Déposé au Sénat le 2 mai 2020, et après avoir été débattu devant les deux assemblées, le texte définitif est adopté à l’issue d’une commission mixte paritaire le 9 mai 2020. Malgré le temps court des débats, le Parlement a apporté des modifications substantielles au projet de loi, notamment après consultation de la CNIL, qui ne sont pas toujours en faveur de la protection des droits et libertés [8]. Doivent néanmoins être portées au crédit des parlementaires, sans négliger les autres points commentés, la suppression par le Sénat de l’habilitation du Gouvernement à légiférer par ordonnance pour « préciser ou compléter […] l’organisation et les conditions de mise en œuvre des systèmes d’information » [9] et la distinction explicite entre le fondement de ces derniers et celui de l’application Stop Covid [10]. La loi a été promulguée le 11 mai 2020, après que le Conseil constitutionnel, saisi quarante-huit heures plus tôt, a constaté ce même jour sa conformité partielle, notamment eu égard aux atteintes portées par l’article 11 au droit au respect de la vie privée [11].

Pour minimiser les incidences d’une véritable surveillance sanitaire de la population, l’indigente étude d’impact sur le projet de loi évoque son caractère temporaire et circonstancié [12]. L’unique article 11 du chapitre 2 de la loi du 11 mai 2020 n’est pas codifié pour mieux symboliser qu’il participe d’un droit de l’urgence. Le caractère temporaire se rapporte au temps limité pour lequel, en principe, le système d’information pourra être mis en œuvre : « au plus, pour une durée de six mois à compter de la fin de l’état d’urgence sanitaire » [13]. C’est d’ailleurs le seul lien formel entre l’article 11 et l’état d’urgence sanitaire mis en place par la loi du 23 mars 2020 [14]. En effet, le texte commenté ne relève pas du régime juridique temporaire de l’état d’urgence sanitaire [15]. Il le complète sans être soustrait à aucune des règles protectrices des droits et libertés. Quoi qu’il en soit, ces éléments ne dissipent pas les craintes d’un effet cliquet [16], ou à tout le moins d’une accoutumance et d’une acceptation sociales du niveau d’ingérence atteint, ne serait-ce que pour les épidémies à venir.

Bien que le chapitre 2 de la loi du 11 mai 2020 en traite au singulier, ce sont deux traitements qui trouvent leur fondement dans son article 11. Envisagés par Jean Castex dès la fin avril 2020 dans le plan de préparation de la sortie du confinement [17], le Gouvernement les présente comme indispensables à la levée progressive des mesures de confinement et à la reprise progressive d’activité. Ils doivent permettre « de suivre précisément les phénomènes de contagion, en vue de les identifier précocement et de prendre les mesures appropriées de dépistage, et, le cas échéant, de mise à l’isolement ou en quarantaine » [18]. Dans une perspective plus générale, l’objectif est d’éviter les contaminations en cassant les chaînes de transmission et d’empêcher la saturation des capacités hospitalières. Pour ce faire, les personnes identifiées comme étant à risque seront incitées à respecter les consignes d’isolement, notamment par la délivrance d’un arrêt de travail, dans l’attente d’être testées.

Les informations relatives à l’identité des personnes infectées et de leurs contacts sont la clé de voûte de ce dispositif. Comme le permet l’article 11 de la loi du 11 mai 2020, l’un de ces systèmes est une création, l’autre une adaptation.

Le traçage des contacts (contact tracing) requiert un traitement visant à l’identification des personnes infectées. Aussi le service intégré de dépistage et de prévention (SIDEP) a-t-il été créé. Alimenté par les laboratoires d’analyses et autres structures autorisées à tester les patients, il permet la transmission des résultats du test au patient, aux médecins prescripteurs et traitants, aux organismes de prise en charge ainsi qu’au second système d’information.

Ce dernier a pour objet l’identification des personnes à risque de contamination parce qu’elles ont été en contact avec une personne infectée. Il procède d’une adaptation du traitement Ameli.pro afin que les enquêteurs puissent reconstituer et analyser les chaînes de transmission et foyer d’infection. La surveillance s’étend ainsi des personnes infectées par la covid-19 [19] à celles qui ont été en relation avec elles.

Parce qu’ils impliquent qu’un grand nombre de données de santé soient partagées au-delà du cercle des professionnels de santé, le Gouvernement n’a pu mettre en œuvre le traçage par la seule voie règlementaire. En effet, les deux systèmes impliquent une dérogation d’ampleur au secret médical garanti par la loi à toute personne prise en charge par un professionnel ou un organisme de santé [20]. Seule une loi pouvait autoriser une telle « brèche » [21] dans le secret médical. Pour autant, le législateur n’a pas épuisé les questions soulevées par les deux systèmes d’informations. L’article 11 de la loi du 11 mai 2020 ne détermine pas les « caractéristiques essentielles, les conditions de création ou de mise en œuvre d’un traitement ou d’une catégorie de traitement de données à caractère personnel », ce qui explique l’absence de consultation préalable de la CNIL [22]. Il dessine, de façon peu lisible, un cadre général, comportant quelques précisions bienvenues, que le Conseil constitutionnel a tout au plus corrigé par trois censures et trois réserves d’interprétation [23]. Ce dernier a estimé que l’atteinte portée au droit au respect de la vie privée poursuit l’objectif de valeur constitutionnelle de protection de la santé sans être inadéquate et disproportionnée.

C’est par le décret d’application du 12 mai 2020 [24] que sont précisés les deux traitements que fonde l’article 11. Indispensable à l’analyse, il fit l’objet, dès avant la promulgation de la loi prorogeant l’état d’urgence d’un avis consultatif  [25] de la CNIL dans lequel sont formulées quelques réserves et recommandations [26] partiellement suivies. Il manque à l’analyse l’étude d’impact relative à chacun des deux traitements et requis par l’article 35 du Règlement général sur la protection des données (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I « RGPD »). En cours de réalisation au moment où la CNIL a délibéré [27], rien n’impose sa publication bien qu’elle puisse utilement éclairer sur les risques qu’emportent les traitements envisagés.

Aucun des deux traitements n’a suscité une résistance particulière de la part des gardiens pertinents de nos droits et libertés. Les censures, réserves et recommandations portent sur des points de détail de sorte que le dispositif dans sa globalité n’est pas remis en cause. Pour l’essentiel, il s’est agi de précisions manquantes comme si l’abondance de détails et leur rigueur constituaient la garantie d’une protection effective des droits et libertés et non une technique de camouflage d’un bris sans précédent du secret sous le sceau d’une bienveillante protection de la santé publique. Ils sont en vérité le prix de la conformité aux règles de la protection des données, lesquelles ne s’opposent pas, en principe, à un dispositif de surveillance sanitaire tel que celui commenté. Mais cette conformité, bien qu’essentielle, ne cautionne pas le respect des droits et libertés fondamentaux. Aussi l’article 11 commenté comprend-il des mesures complémentaires destinées à rétablir l’équilibre global entre, d’une part, le secret des informations notamment médicales et, d’autre part, la protection de la santé. C’est par l’analyse de l’encadrement procédant des principes de protection des données à caractère personnel (I) et de ses compléments (II) qu’il sera possible de vérifier la prédiction, sur le terrain des droits et libertés fondamentaux, d’une victoire à la Pyrrhus contre la covid-19.

I. L’encadrement procédant des règles de protection des données à caractère personnel

Les dispositions de l’article 11 de la loi du 11 mai 2020 et du décret du 12 mai 2020 tendent à conformer les traitements Contact Covid et SIDEP avec les règles européennes et nationales relatives à la protection des personnes physiques contre les traitements de données à caractère personnel. Plus précisément, ils mettent en œuvre les principes qui s’appliquent à tout traitement [28] et constituent une grille de lecture commode du dispositif au travers des dispositions communes aux deux traitements (A) et de celles qui sont spécifiques à l’un ou à l’autre (B).

A. Dispositions communes

Les dispositions communes figurent aussi bien dans la loi 11 mai 2020 que dans le décret du lendemain. Elles concernent la licéité, la transparence, les finalités limitées, la minimisation des données, la durée de conservation limitée et l’intégrité.

Le principe de licéité du traitement de données à caractère personnel trouve sa traduction dans l’article 6 du RGPD qui énumère limitativement les bases légales d’un traitement. Parce que les traitements en cause portent notamment sur des données concernant la santé [29], l’article 9 du RGPD est applicable. Son paragraphe premier pose un principe d’interdiction du traitement de telles données quand son paragraphe second réserve des exceptions. Dans le prolongement du recours à la loi pour déroger au secret médical, le fondement des traitements ne pouvait être le consentement. L’utilité des traitements en aurait été considérablement réduite alors que les médecins et laboratoires de biologie médicale doivent transmettre obligatoirement des données individuelles à l’autorité sanitaire [30]. En outre, dans les circonstances d’un état d’urgence sanitaire, il est difficile de garantir l’intégrité du consentement. Le décret du 12 mai 2020 fonde les deux traitements sur leurs caractères « nécessaire à l’exécution d’une mission d’intérêt public » [31] et « nécessaire pour des motifs d’intérêt public dans le domaine de la santé » [32].

Le principe de transparence « exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples » [33]. Il est d’autant plus important que le traitement des données intervient sans le consentement des personnes concernées, et sans même qu’elles aient été collectées auprès d’elles s’agissant des cas contact. Les articles 6 et 12 du décret du 12 mai 2020 prévoient une information suivant les exigences pertinentes des articles 13 et 14 du RGPD [34] ainsi que sa diffusion sur les sites internet du ministère de la Santé et de la Caisse nationale d’assurance maladie. Sont ainsi exclues les informations sans lien avec son fondement licite et celles relatives au transfert de données vers un pays tiers ou une organisation internationale et à une prise de décision automatisée parce que sans objet. Cependant, qu’il manque dans la loi une disposition expresse propre à constituer une garantie pour les personnes concernées est regrettable. Quant à l’information à donner, elle demeure introuvable sur le site internet du ministère des Solidarités et de la Santé [35]. Tout au plus une affichette a-t-elle été mise à disposition des professionnels de santé [36] qui elle-même renvoie à des précisions introuvables sur le site de l’assurance maladie.

La limitation des finalités fait l’objet d’une emphase singulière, porteuse d’un message politique en même temps que juridique. L’intitulé du chapitre commenté et la lettre de son article unique sont formels. Les systèmes d’information qu’ils autorisent sont prévus aux seules fins de lutter contre l’épidémie de covid-19. Les finalités détaillées plus avant doivent, en conséquence, s’interpréter strictement. Les traitements ne pourront être utilisés à d’autres fins, pour d’autres maladies.

L’article 11, II, précise les quatre finalités poursuivies par chacun des deux traitements [37]. Elles sont libellées avec précision pour se conformer aux prescriptions du RGPD. La première est « l’identification des personnes infectées » grâce aux examens de biologique, examen d’imagerie médicale ou éléments probants de diagnostic clinique dont les résultats sont renseignés par les médecins ou biologistes médicaux. La deuxième est « l’identification des personnes présentant un risque d’infection » au moyen des déclarations faites par les personnes infectées ou par la réalisation d’enquêtes sanitaires. La troisième finalité est « l’orientation des personnes infectées, et des personnes susceptibles de l’être » vers des prescriptions médicales d’isolement ainsi que leur suivi pendant et après ce dernier. La dernière finalité a une vocation générale, « la surveillance épidémiologique aux niveaux national et local, ainsi que la recherche sur le virus et les moyens de lutter contre sa propagation ». Pour ce faire, l’identification des personnes n’est pas requise [38]. Toutefois, au lieu de subordonner la poursuite de cette finalité à l’anonymisation des informations collectées, comme envisagé par la commission de l’Assemblée nationale [39], il fut décidé de reprendre les dispositions prévues pour le système national des données de santé [40], par ailleurs destinataire de ces données [41]. Mal leur en a pris puisque la liste de données identifiantes à supprimer (nom, prénom, numéro d’inscription au répertoire national d’identification des personnes physique et adresse) a été jugée insuffisante par le Conseil constitutionnel qui, par une réserve d’interprétation, y a ajouté les données de contact téléphonique et électronique de l’intéressé.

Enfin, la détermination législative des finalités est complétée négativement par l’exclusion du « développement ou […] déploiement d’une application informatique »[42] dite Stop Covid. Cette dernière repose sur un fondement juridique distinct, notamment parce qu’elle n’emporte aucune dérogation au secret médical [43].

La minimisation des données implique le seul traitement de celles qui sont « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités » poursuivies [44]. Elle est l’objet d’une unique disposition commune et essentielle parce qu’elle porte sur les données concernant la santé dont le traitement est en principe interdit[45], sauf à être permis et requérir une particulière vigilance [46]. L’article 11, I, alinéa 4, dispose que « les données à caractère personnel concernant la santé sont strictement limitées au statut virologique ou sérologique de la personne à l’égard [de la covid-19] ainsi qu’à des éléments probants de diagnostic clinique et d’imagerie médicale ». Des précisions sont apportées par le décret d’application. Il s’agit du caractère positif du test, de la date de prélèvement ou, pour les patients hospitalisés, de l’existence de symptômes associés à un scanner, de l’existence de symptôme et de la date de leur apparition [47]. Au-delà des données qui sont à la marge de la catégorie des données concernant la santé [48], il en est une qui révèle, à tout le moins indirectement, l’état de santé sans relever des catégories de l’article 11, I, alinéa 4 : l’information relative à la situation du patient au moment du dépistage dont le fait qu’il était hospitalisé [49]. La stricte limite posée par l’article commenté se trouve assouplie, quoi que cette donnée puisse être analysée comme strictement nécessaire à la réalisation des enquêtes sanitaires eu égard au risque de propagation du virus dans ces établissements [50].

En revanche, le décret ne distingue pas le sort des données relatives au statut virologique de celles relatives au statut sérologique. Si le traitement des premières, parce qu’il met en lumière la présence du virus chez un individu à un moment « t », apparaît adéquat, pertinent et nécessaire, celui des secondes est plus douteux. En effet, elles se rapportent à la présence d’anticorps qui témoignent d’une infection récente sans qu’elle puisse être identifiée comme actuelle ou être datée avec suffisamment de précision. La collecte des résultats de ce test est adéquate, pertinente et nécessaire au traitement SIDEP puisqu’elle permet de communiquer ces résultats au patient et aux médecins prescripteurs et traitant, ainsi que la surveillance épidémiologique et la recherche. En revanche, le résultat du test sérologique, qu’il soit négatif ou positif, ne présente pas ces qualités au regard du traitement Contact Covid dès lors que ce dernier a pour objet de reconstituer les chaînes de contamination.

Enfin, l’insistance judicieuse de la CNIL sur l’exclusion de toute zone commentaire ou blocs note qui sont le terreau fertile en violation du principe de minimisation des données doit être saluée. À la lecture du décret, la recommandation a été suivie.

S’agissant de la limitation de la conservation des données permettant l’identification des personnes concernées, l’article 11, I, alinéa 3, prévoit que « les données à caractère personnel collectées par ces systèmes d’information […] ne peuvent être conservées à l’issue d’une durée de trois mois après leur collecte ». La collecte des premières données constitue le point de départ du délai. Le trimestre, substitué à l’année envisagée initialement et critiquée par la CNIL [51], excède la somme des périodes de contagiosité et d’incubation de la personne infectée et de la personne à risque. Il n’en constitue pas moins une période raisonnable lorsque la personne concernée est un patient zéro au regard des difficultés potentielles, notamment si ce dernier refuse de fournir suffisamment d’information. Elle paraît correspondre à la durée d’un cycle d’enquête sanitaire. En revanche, cette durée de conservation cesse d’être strictement proportionnée aux finalités poursuivies lorsqu’une personne à risque de contamination est dépistée négative. Les données la concernant devraient être effacées immédiatement.

Que la suppression desdites données au terme d’un délai déterminé soit impérativement prévue par la loi est une garantie certaine, puisque sont notamment en cause des données concernant la santé. Mais elle est insuffisante. Le décret du 12 mai 2020 a apporté deux précisions utiles et particulièrement nécessaires. La première tient à la création d’un délai butoir à la conservation des données notamment pour le cas où elles auraient été recueillies moins de trois mois avant ce terme. Les données à caractère personnel « ne peuvent […] être conservées au-delà de la durée maximale pendant laquelle ces données peuvent être traitées et partagées »[52]. La seconde complète la loi s’agissant de l’enregistrement des données relatives aux opérations effectuées sur les deux systèmes d’information aux fins de permettre la traçabilité requise par le Conseil constitutionnel [53]. Ces données concernent les « opérations de mise à jour, de suppression et de consultation du traitement » et comportent « l’identification de l’utilisateur ainsi que les données de traçabilité, notamment la date, l’heure et la nature de l’intervention dans le traitement » [54]. Elles sont conservées « pendant une durée maximale de six mois à compter de la fin de l’état d’urgence sanitaire » [55]. La finalité de ce traitement, qui n’est pas précisée mais pourrait justifier une telle durée, est la sécurité et la confidentialité des systèmes d’information que sont Contact Covid et SIDEP. Est-ce que cela signifie que les données de traçabilité attachées aux fiches des personnes infectées et à risques pourront survivre à la suppression de ces dernières dans le délai de trois mois ? Le décret souffre sur ce point d’une imprécision. Sans doute s’agit-il d’une disposition qui a échappé à la CNIL car inscrite à la hâte après que le Conseil constitutionnel a insisté sur la traçabilité.

Le principe d’intégrité requiert une « sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle » [56].

Mais, à part les dispositions relatives à la traçabilité, les textes sont relativement muets sur les mesures techniques et organisationnelles de sécurité du traitement [57]. L’accès des autorités, organismes, services et personnes listées à l’article 11, III, est certes différencié [58]. Mais une déclaration du ministre de la Santé rapporté par la CNIL inquiète : « en raison des contraintes opérationnelles rencontrées […] il n’entend pas paramétrer le dispositif de façon à limiter davantage les accès aux seuls besoins de chaque type d’utilisateur ». La tâche est reportée sur les organismes concernés [59]. Quant à l’authentification, elle ne fait pas l’objet de dispositions spécifiques malgré l’exigence d’authentification forte rappelée par la CNIL [60]. Le décret opère simplement une série de renvois sans autre prescription [61].

La publication de l’évaluation des analyses d’impact constituerait sur ce point une avancée mais ne pourrait combler les défauts du texte. La délibération de la CNIL souligne l’attention qu’elle entend porter à ces questions, ce qu’elle sera notamment en mesure de faire dans son avis public et régulier sur la mise en œuvre des traitements [62].

Enfin, concernant l’hébergement des données, la CNIL a insisté sur l’utilisation de mesures de chiffrement à l’état de l’art. Elle fait ainsi écho aux débats soulevés par le regroupement de certaines données à caractère personnel, comprenant des données de santé, sur la plateforme des données de santé [63] créée en application de l’article L. 1462-1 du Code de la santé publique (N° Lexbase : L6064LRZ). En effet, cette plateforme est destinataire des données des traitements que fonde l’article 11 après qu’elles aient été pseudonymisées [64]. Or, que l’hébergeur de ces données soit Microsoft fait craindre qu’elles ne puissent être transférées à l’étranger [65] ou plus facilement exposé à un accès illicite.

Reste un principe qui n’a pas encore été abordé, celui de l’exactitude des données traitées. C’est qu’il n’est l’objet d’aucune disposition, si ce n’est par référence au droit de rectification [66], à la mise à jour des traitements [67] et à l’enregistrement sans délai, par les personnes autorisées, des données relatives aux personnes infectées et à risque de contamination [68].

La traduction des principes issus du RGPD est assurée en majeure partie par des dispositions communes, ce qui ne diminue pas l’importance des dispositions spécifiques à chacun des traitements.

B. Dispositions spécifiques

Elles relèvent pour l’essentiel du décret. Au-delà des dispositions de même teneur qui le composent, certaines dispositions sont propres au SIDEP () et à Contact Covid ().

1°) SIDEP

Ce traitement intervient le premier dans la collecte d’information aux fins de lutter contre la covid-19. Il est mis en œuvre par la Direction générale de la santé. Comme le permet l’article 11, V, de la loi du 11 mai 2020, le décret d’application en confie la gestion à l’Assistance publique-Hôpitaux de Paris, prise en qualité de sous-traitant. À cet égard, la CNIL a rappelé qu’une convention devait être conclue entre ces deux parties [69]. Elle devra notamment mettre en œuvre les exigences de nécessité dans l’accès aux données et de confidentialité (secret et traçabilité) sur lesquels le Conseil constitutionnel a insisté par une réserve d’interprétation [70].

En effet, ses finalités propres sont de « centraliser les résultats d’examens de dépistage du [sic] covid-19 […], de réaliser des enquêtes sanitaires en présence de cas groupés […] d’orienter, de suivre et d’accompagner les personnes concernées et de faciliter le suivi épidémiologique » [71].

Malgré la largesse de ces termes, les catégories de données collectées paraissent strictement limitées à celles nécessaires à son rôle préalable dans le traçage des contact d’une personne infectée : identification de la personne testée, situation du patient aux fins d’enquête sanitaire, coordonnées du patient ou, à défaut, d’une personne de confiance, identification et coordonnées des médecins (ce qui inclut, sans autre précision, celui qui prescrit l’examen, celui qui y procède et le médecin traitant), caractéristique techniques du prélèvement et résultat des analyses biologiques [72]. Le Gouvernement n’a pas suivi la CNIL l’invitant à préciser ce que visait la formule « hébergement collectif » au titre de la situation du patient mais a supprimé la catégorie trop vague relative à une « autre information technique » s’agissant des prélèvements. En outre, la CNIL a porté l’attention sur l’enregistrement du « compte rendu d’analyse » dont le contenu n’est pas arrêté et pourrait excéder les finalités du traitement. La liste des données a été complétée par le décret relatif au traitement de données dénommé « StopCovid » afin que le traitement SIDEP génère aléatoirement, en cas de test positif, « un QR-code ne comportant aucune information permettant d’identifier la personnes concernée » [73]. La personne concernée pourra le scanner au moyen de l’application afin d’informer les personnes avec lesquelles elle a été en contact du risque de contamination auxquelles elles ont été exposées.

L’article 10 du décret du 12 mai 2020 organise l’accès différencié à ce premier traitement en fonction des finalités poursuivies. Sans entrer dans le détail, quelques points peuvent être relevés. S’agissant de l’accès pour l’une des trois premières finalités du traitement, la précision du texte est variable quand, pour une protection optimale des personnes concernées, elle devrait être strictement définie. Si les médecins ne peuvent accéder qu’à des catégories bien identifiées de données, les agents spécialement habilités de divers organismes limitativement énumérés dont l’Agence nationale de santé publique peuvent consulter « les catégories de données mentionnées à l’article 9 nécessaires à la réalisation des investigations concernant les personnes évaluées comme contacts à risque de contamination, au suivi et à l’accompagnement des personnes et à la réalisation des enquêtes sanitaires »[74]. En revanche, les agents spécialement habilités des agences régionales de santé et de leurs sous-traitants, parce qu’ils mènent les enquêtes sanitaires, peuvent consulter la totalité des données enregistrée sur SIDEP.

S’agissant de la quatrième finalité du traitement, le Gouvernement n’a pas totalement suivi la demande de la CNIL. La liste des données transmises à des organismes compétents en matière de santé publique aux fins de surveillance épidémiologique n’est pas détaillée mais simplement définie par référence aux finalités pour lesquelles la transmission a lieu.

Quant aux droits des personnes concernées par le traitement SIDEP, ils s’exercent auprès de la Direction générale de la santé. Les droits d’accès [75], de rectification [76] et de limitation [77] s’exercent pleinement tandis que le droit à la portabilité est exclu par la base légale du traitement. En revanche, le droit d’opposition est l’objet de limitations que justifie le motif d’intérêt public poursuivi parce qu’il pourrait réduire à néant l’intérêt du traitement. Ainsi est-il exclu [78] sauf en ce qui concerne la transmission de données pseudonymisées à la plateforme des données de santé et à la Caisse nationale de l’assurance maladie aux fins de « faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus » [79]. Le droit à l’effacement est également exclu par le RGPD [80] mais fait l’objet d’une réserve bien moins intelligible [81] que son pendant à l’égard du second traitement.

2°) Contact Covid

Le traitement Contact Covid est une adaptation d’ameli.pro dont est responsable la Caisse nationale de l’assurance maladie. Le décret lui assigne exactement les mêmes finalités que celles inscrites dans la loi du 11 mai 2020.

Pour ce faire, les données personnelles traitées sont collectées directement auprès du patient zéro (personne testée positive ou confirmée positive) ou des personnes à risque de contamination (ou cas contact en ce qu’il a eu un contact avec le parient zéro durant la période pendant laquelle ce dernier était susceptible d’être contagieux) [82]. S’y ajoutent celles collectées au moyen du traitement SIDEP, mais seulement pour les personnes « testées comme positives ou confirmées positives » [83], et, s’agissant des seules coordonnées du patient zéro ou des personnes à risque de contamination, celles provenant de traitement déjà mis en œuvre par les organismes des régimes obligatoires de base de l’assurance maladie. C’est dire, sur ce dernier point, que le traitement Contact Covid ne peut constituer l’instrument de mise en relation entre l’infection ou le risque d’infection par la covid-19 et des données relatives à l’état de santé qui auraient par exemple trait à des facteurs de morbidité accrue. En creux, il résulte de cette énumération des sources des données collectées que ne peuvent l’être des données autrement recueillies, notamment par la consultation des réseaux sociaux ou par interrogation d’une personne autre que le patient zéro ou la personne évaluée comme contact à risque de contamination. Sans la participation des personnes concernées, les enquêtes sont donc vouées à l’échec.

Les catégories de données collectées diffèrent partiellement selon que la personne concernée est le patient zéro, le contact à risque de contamination ou les professionnels de santé ou établissement de santé assurant l’enregistrement des données et le suivi. Leur nombre important se justifie par les nécessités de l’enquête sanitaire, de l’orientation et du suivi des personnes infectées et susceptibles de l’être, de la surveillance épidémiologique et de la recherche. Elles n’en sont pas moins intrusives en ce qu’elles portent non seulement sur l’identité et l’état de santé de la personne concernée mais encore sur les activités et relations sociales du patient zéro et des personnes à risque de contamination dans la dernière quatorzaine [84] et sur la date de leur dernière rencontre [85]. De cette liste, le Gouvernement a toutefois supprimé, sur invitation de la CNIL, la catégorie de données relatives au lien avec le patient zéro car sans rapport suffisant avec les finalités du traitement. Demeure toutefois une catégorie de données relatives à « une éventuelle cohabitation avec le patient zéro » [86] qui, étrangement, ne vaut que pour les personnes à risque de contamination. Elle n’excèderait pas les nécessités du traitement dès lors que l’évaluation du risque doit se faire « au regard des recommandations sanitaires du ministre chargé de la santé, prises après avis du Haut Conseil de santé publique et rendues publiques » [87] et que ce dernier vise le partage d’un même lieu de vie parmi les situations créant un risque [88]. En revanche, un doute persiste sur le caractère strictement adéquat, pertinent et nécessaire au regard des finalités du traitement [89] de certaines données. En quoi le fait pour la personne à risque de contamination de connaître le patient zéro, lorsque ce dernier a consenti à la révélation de son identité, participe-t-il de la poursuite des finalités du traitement ? Implique-t-elle une information limitée à une réponse positive ou négative ou revient-elle à décrire le lien entre ces deux personnes décrié par la CNIL [90] ? Même question à propos de la spécialité du « médecin à l’origine de l’inscription dans le traitement de données »[91] ainsi que de celle du professionnel de santé assurant l’enregistrement et le suivi [92].

Enfin, bien que le traitement ait pour base légale la poursuite d’une mission d’intérêt public importante dans le domaine de la santé publique [93], certaines données ne peuvent être traitées sans le consentement des personnes concernées. Il s’agit de la « déclaration d’un besoin d’accompagnement social et d’appui à l’isolement » [94].

L’accès et la consultation du traitement Contact Covid sont différenciés en fonction de leurs finalités et ne sont possibles, comme le prévoit l’article 11, III, de la loi du 11 mai 2020, que dans la limite des besoins des différents acteurs concernés. Suivant ces critères, les différentes catégories de personnes ou organismes énumérés peuvent enregistrer, consulter ou être destinataire d’une partie ou de la totalité des données traitées. Sont ainsi autorisés à enregistrer des données pertinentes, les agents des brigades sanitaires [95], tandis que les médecins libéraux peuvent enregistrer et consulter une partie seulement des données des patients zéros et personnes à risque de contamination qu’ils prennent en charge [96]. Il demeure que les destinataires sont relativement nombreux au regard des finalités du traitement, jusqu’aux pharmaciens et personnes placées sous leur autorité qui n’ont accès qu’à l’identité et aux coordonnées des personnes concernées afin de dispenser les masques automatiquement prescrits à la suite de leur enregistrement dans le traitement [97]. Néanmoins, le Conseil constitutionnel a procédé à une censure utile du texte voté par le Parlement. Il en résulte que les organismes qui assurent l’accompagnement social des personnes concernées ne peuvent être destinataires des données qui font l’objet du traitement Contact Covid dès lors que cet accompagnement « ne relève […] pas directement de la lutte contre l’épidémie » [98]. Toutefois, alors que le décret prévoit le traitement de la catégorie de données relative au besoin d’accompagnement social et d’appui à l’isolement, il n’en régit pas l’accès.

Quant aux droits des personnes concernées, ils s’exercent auprès du directeur de l’organisme de rattachement des personnes concernées. Les droits d’accès, de rectification et de limitation s’exercent pleinement tandis que le droit à la portabilité est exclu par la base légale du traitement. En revanche, l’exercice du droit d’opposition est limité. Les patients zéro disposent du même droit d’opposition qu’à l’égard du traitement SIDEP dont les conséquences sont plus clairement énoncées puisque « s’il est fait droit à leur demande, leurs données sont alors effacées » [99]. Les personnes à risque de contamination peuvent s’opposer au traitement des données recueillies auprès du patient zéro et obtenir l’effacement des données les concernant « à moins que ne prévalent les intérêts impérieux de santé publique » [100], ce qui devrait être le cas dès lors que le risque qu’elles aient été contaminées est élevé, du moins dans l’attente des résultats d’un test virologique. Cette disposition constitue une exception. En conséquence, pour les autres catégories de données sur lesquelles porte le traitement Contact Covid [101], le droit d’opposition devrait s’exercer dans les conditions prévues par l’article 21 du RGPD, qu’il s’agisse de celles recueillies auprès de la personne à risque de contamination ou des coordonnées administratives provenant de traitement déjà mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l’assurance maladie. Ce texte permet cependant de ne pas faire droit à la personne concernée lorsque le responsable de traitement peut justifier de motifs légitimes et impérieux en ce sens. Tel sera le cas lorsque la poursuite des finalités devra l’emporter sur l’exercice individuel du droit d’opposition.

Dans son ensemble et malgré quelques défauts, l’encadrement des deux traitements de données au regard des principes du RGPD est satisfaisant. Avec l’aide du Conseil constitutionnel et de la CNIL, le dispositif est proche d’être conforme aux principes et règles du RGPD. Pour autant, la conformité à ce dernier ne suffit pas à établir qu’il n’emporte aucune violation des droits et libertés, elle y contribue seulement. Le législateur ne l’a pas ignoré puisqu’il a complété la mise en œuvre des règles du RGPD par des dispositions censées consolider la compatibilité de la surveillance instaurée avec les droits et libertés.

II. L’encadrement complémentaire de la protection des données à caractère personnel

Dans l’objectif d’assurer la proportionnalité de l’ingérence dans les droits et libertés, les dispositions complémentaires de l’article 11 de la loi du 11 mai 2020 étoffent la conciliation opérée entre la protection des intérêts des personnes concernées et la protection de la santé publique. Ces dispositions ont ainsi pour objet de maintenir un secret des informations (A) et de conférer un caractère temporaire à l’ingérence en cause (B).

A. Secret des informations

Les traitements Contact Covid et SIDEP, comme prescrit par les premiers mots de l’article 11 de la loi du 11 mai 2020, dérogent au secret médical. Le secret des informations relatives au patient est réduit par l’objectif prégnant de protection de la santé publique. En outre, la liste des catégories de données collectées démontre une atteinte plus générale à la vie privée, notamment parce que les enquêtes doivent reconstituer les chaînes de contamination, c’est-à-dire reconstituer la chronologie des interactions sociales d’une personne. Pour autant, le secret de la vie privée n’est pas aboli. 

Au moment de l’examen du projet par la CNIL, l’obligation pour les professionnels de santé de déroger au secret médical n’existait qu’à l’égard du traitement SIDEP [102]. Elle a été généralisée dans le projet de loi par l’Assemblée nationale [103]. Elle ne découle pas uniquement de l’article 11, VI, de la loi du 11 mai 2020. Ce dernier prévoit que la covid-19 fait l’objet de la transmission obligatoire par les médecins et les responsables des services et laboratoires de biologie médicale publics et privés, comme le prévoit l’article L. 3113-1 du Code de la santé publique (N° Lexbase : L4035IGK) [104] pour une série de maladie comme la peste [105] dont la liste est en principe établie par décret pris après avis du Haut Conseil de la santé publique. En effet, cette transmission obligatoire donne lieu à l’attribution d’un numéro d’anonymat [106] seul strictement compatible avec les fins de surveillance épidémiologique et de recherche. C’est dire que cette obligation de transmission n’excède pas le droit commun, mais en étend l’application à une nouvelle maladie.

La véritable dérogation d’ampleur au secret médical s’impose aux mêmes personnes en vertu de l’article 11, II, alinéa 1er, 1°, de la loi du 11 mai 2020. Ces professionnels de santé doivent ainsi contribuer « sans délai » [107] à l’efficacité des traitements destinés à lutter contre la covid-19 et inscrire dans les traitements SIDEP l’identification des personnes infectées [108].

La dérogation est d’autant plus inquiétante que le secret est amplement partagé [109] sans le consentement des intéressés puisque les seuls personnels médicaux ne peuvent réaliser l’ensemble des enquêtes requises [110]. Aussi l’article 11, III, in fine, dispose-t-il que « les personnes ayant accès [aux données des traitements Contact Covid et SIDEP] sont soumises au secret professionnel ». Ce dernier remplace le secret médical eu égard aux personnes concernées et à la qualité des détenteurs du secret. Pour symboliser l’importance de ce secret, l’article 11, III, in fine ajoute une sanction par référence à l’article 226-13 du Code pénal (N° Lexbase : L5524AIG). Toutefois, alors que ce dernier réprime « la révélation d’une information à caractère secret par une personne qui en est dépositaire […] par profession », l’article 11, III, in fine incrimine « la révélation d’une information issue des données collectées » dans les traitements Contact Covid et SIDEP. Il s’agit certainement d’une lourdeur de plume et non d’une nouvelle incrimination dès lors que les informations issues des données collectées sont couvertes par le secret professionnel.

Quoi qu’il en soit, l’atteinte portée au secret est encore atténuée par le caractère exceptionnel des deux obligations de transmission et leur rapport direct avec les incertitudes entourant la lutte contre le virus. Elles prendront fin dès lors qu’ils ne seront plus strictement nécessaires à l’objectif de lutte contre la pandémie ou, au plus, six mois après la fin de l’état d’urgence sanitaire [111].

L’exception réside encore dans la disposition spécialement dédiée à la rémunération des médecins contribuant à la collecte des données. Elle est apparue nécessaire aux parlementaires après que le directeur général de l’assurance-maladie a annoncé que le médecin sera rémunéré par un forfait de 55 euros pour « une consultation [en lien avec la Covid-19] et la saisie dans l’outil informatiques des membres de la cellule familiale » et de quelques euros de plus pour l’« encourager […] à poursuivre l’enquête au-delà de la famille proche » [112]. En réaction, l’Assemblée nationale votait en commission l’interdiction d’une rémunération pour la collecte des données [113]. Un amendement du Gouvernement, adopté par l’Assemblée nationale, établit un moyen terme. Une rémunération peut être attribuée aux professionnels de santé conventionnés qui contribuent à la collecte sans qu’elle ne puisse être « liée au nombre et à la complétude des données recensées » [114]. La charge supplémentaire de travail est compensée forfaitairement sans que le médecin ne soit encouragé à un zèle particulier source de dérive. Cependant, il s’avère qu’outre la majoration « pour consultation initiale d’information du patient et de mise en place d’une stratégie thérapeutique » en cas de test positif, le médecin qui collecte des informations propres à identifier et contacter les personnes à risques de contamination peut facturer une consultation en sus [115]. La rémunération n’est pas fonction du nombre et de la complétude des données, mais demeure incitative.

Les personnes concernées conservent, et c’est essentiel, une certaine emprise sur leurs informations privées. Les professionnels de santé précités ont simplement la faculté d’inscrire dans les traitements Contact Covid et SIDEP toutes les catégories de données collectées auprès de leur patient [116] autres que celles dont l’inscription leur est obligatoire. Les patients zéros et personnes à risque de contamination ne sont pas contraintes de livrer les informations requises pour mener à bien l’enquête sanitaire en l’absence d’obligation législative ou règlementaire. Cette liberté se lit incidemment dans l’article 2, I, 1°, du décret du 12 mai 2020 qui, parmi les données objets du traitement, mentionne celles « recueillies auprès du patient zéro ou de la personne évaluée comme contact à risque de contamination, lorsque ces derniers les ont communiquées ». Toutefois, le consentement de ces personnes à révéler des informations sur l’identité de leur contact et leurs coordonnées est facilitée, dans une certaine mesure, par l’article 11, IV, de la loi du 11 mai 2020. Il associe à l’inscription d’une personne susceptible d’être à risque de contamination dans le traitement Contact Covid la prescription automatique d’un test et de masques en faveur de cette dernière [117], qui en aura été préalablement informée [118]. S’ajoute ainsi à la pression sociale, un autre facteur d’atteinte à l’intégrité du consentement. En revanche, aucune conséquence négative pour le patient zéro comme pour la personne à risque de contamination, tels qu’une prise de décision (isolement, refus de remboursement des test et masques) ou un profilage, n’est associée à son silence ou à ses déclarations, vraies ou fausses. Une disposition expresse relative à la liberté de contribuer au traitement et à l’absence de conséquence négative eut constitué une garantie supplémentaire.

Enfin, dans l’hypothèse où le patient zéro aura fourni des informations sur ses contacts, l’article 11, II, alinéa 2, dispose que son identité ne doit pas être communiquée aux personnes susceptibles d’être à risque de contamination. Le principe demeure le droit au respect de la vie privée (privacy by default). L’information ne peut être révélée que si le patient zéro y a expressément consenti, information enregistrée dans le traitement Contact Covid [119]. Cette règle protège non seulement la vie privée mais également contre la stigmatisation et l’exclusion ; elle n’en est pas moins source chez les personnes contactées d’une suspicion délétère qui constitue un moindre mal.

L’ampleur de l’atteinte portée au secret, eu égard à la nature et au nombre d’informations partagées et à la qualité de ceux qui peuvent les consulter, a conduit à donner un caractère exceptionnel aux traitement mis en œuvre. Ils ne peuvent exister en dehors des circonstances qui les ont rendus nécessaires.

B. Précarité des traitements

Parce que les traitements mis en œuvre sur le fondement de l’article 11 de la loi du 11 mai 2020 ne le sont qu’aux seules fins de lutter contre l’épidémie de covid 19, ce texte prévoit, en lien avec les règles de protection des données à caractère personnel [120], qu’ils ne peuvent exister que pour « la durée strictement nécessaire à cet objectif » [121]. Même si cette nécessité devait perdurer, la loi ajoute un délai buttoir. Le traitement ne peut être mis en œuvre au-delà d’une période de six mois à compter de la fin de l’état d’urgence. L’intention du législateur est d’imposer une limite temporelle stricte à l’atteinte portée au secret et qui soit proportionnée à l’objectif poursuivi. Que cette limite soit prévue dans la loi et non par décret est un gage de protection des droits et libertés qui donne à voir la conscience de l’atteinte portée au secret. En outre, tout prolongement du traitement ne pourra se faire sans nouveau débat législatif durant lequel la nécessité pourra notamment être appréciée. D’ailleurs, pour le cas où l’épidémie perdurerait au-delà de cette période sans requérir le maintien de l’état d’urgence sanitaire lui-même subordonné à une nouvelle loi [122], la commission mixte paritaire a ajouté un dernier alinéa à l’article 11, I. Il rappelle une évidence mais tient sans doute à la volonté d’afficher clairement le caractère temporaire du traitement : la prorogation d’un délai que la loi a fixé ne pourra être autorisée que par une autre loi. Cette disposition pourrait encore être la manifestation en creux d’une intention de maintenir ces traitements hors du droit commun : il n’est question que de prorogation d’une dérogation exceptionnelle.

Sans qu’il soit besoin d’attendre le 10 janvier 2021, l’article commenté permet de mettre fin aux traitements s’il n’est plus nécessaire à l’objectif poursuivi, c’est-à-dire si l’avantage qu’ils procurent est moindre que leur coût pour les droits et libertés. À cette fin, deux modes de contrôle et d’évaluation périodiques des traitements mis en œuvre sont instaurés.

Le premier prend la forme d’un « Comité de contrôle et de liaison covid-19 ». Institué sur recommandation du Conseil scientifique Covid-19 [123] par l’article 11, VIII, de la loi du 11 mai 2020, il est « chargé d’associer la société civile et le Parlement aux opérations de lutte contre la propagation de l’épidémie par suivi des contacts ainsi qu’au déploiement des [traitements] prévus à cet effet ». Pour ce faire, il est composé de deux députés et deux sénateurs [124], et de neuf autres membres issus d’organismes ayant à traiter de questions relatives à la santé, au numérique et à l’éthique [125]. Deux missions lui sont attribuées par la loi et doivent être réalisées par des audits réguliers, dont la fréquence n’est pas précisée. D’une part, le comité doit vérifier l’utilité effective des traitements mis en œuvre, « déterminer s’ils sont, ou pas [sic], de nature à faire une différence significative dans le traitement de l’épidémie » [126]. D’autre part, le comité doit s’assurer du « respect des garanties entourant le secret médical et la protection des données personnelles » [127]. Outre qu’il est dérogé audit secret, ce qui prive littéralement le comité de l’une de ses missions, cette instance ne comprend formellement aucun juriste en son sein. Tout au plus peut-on relever la présence d’un membre du Conseil national du numérique. En outre, cette seconde mission réduite à la protection des données double inutilement le second mode de contrôle.

Ce dernier prend la forme d’un contrôle parlementaire renforcé par une information « sans délai » des deux assemblées délibérantes sur les mesures mises en œuvre en application de l’article 11. Le Conseil constitutionnel en a réduit la prégnance en censurant, pour méconnaissance du principe de séparation des pouvoirs et « compte tenu du nombre d’actes en cause et de la nature des données en jeu », la disposition qui prévoyait la communication d’une copie de tous les actes pris en application de l’article 11 et la possibilité pour chacune des assemblées de requérir toute information complémentaire [128]. Le Parlement demeure destinataire d’un rapport détaillé de l’application des mesures adoptées sur le fondement de l’article 11 tous les trois mois et jusqu’à la cessation des traitements. Cette fréquence doit permettre une première évaluation au terme d’un premier cycle d’enquêtes sanitaires. À ce rapport doit s’ajouter un avis public de la CNIL qui a déjà amorcé une campagne de contrôles [129]. Cette dernière est ainsi en mesure d’évaluer régulièrement que les traitements mis en œuvre demeurent nécessaires et proportionnés à la lutte contre l’épidémie de covid-19.

En conclusion, les traitements Contact Covid et SIDEP font l’objet d’un encadrement qui, au regard de la finalité poursuivi, leur permet, dans l’abstrait et malgré quelques défauts, d’emporter une ingérence nécessaire et proportionnée dans les droits et libertés des personnes concernées. Cela tient aux incertitudes des connaissances relatives au virus qui permettent uniquement d’estimer l’efficacité du dispositif et, ce faisant, sa nécessité et sa proportionnalité. Seule l’application concrète de ces dispositions permettra de confirmer ou d’infirmer ce constat. Et plus précisément, il est certain que le maintien de tels traitements alors qu’ils n’auraient pas une contribution significative à la lutte contre l’épidémie constituerait une violation des droits au respect de la vie privée et à la protection des données à caractère personnel [130].

 

[1] Décret n° 2020-650 du 29 mai 2020, relatif au traitement de données dénommé « StopCovid » (N° Lexbase : Z368819U).

[2] Elle s’ajoute à l’application Stop Covid et au recours local aux drones de surveillance (M.-Ch. de Montecler, Ô drone, suspends ton vol !, AJDA, 2020, p. 1031 ; O. Tambou,  Que faire face au développement des drones ? Libres propos autour de l’ordonnance du Conseil d’État, Dalloz Actualité, 25 mai 2020).

[3] C. civ., art. 9 (N° Lexbase : L3304ABY) ; CESDH, art. 8 (N° Lexbase : L4798AQR) ; Charte des droits fondamentaux de l’Union européenne, art. 7 (N° Lexbase : L0230LGM).

[4] CSP, art. L. 1110-4 (N° Lexbase : L1611LII).

[5] Charte des droits fondamentaux de l’Union européenne, art. 8.

[6] CNIL, délibération n° 2020-056, 25 mai 2020 (N° Lexbase : X0427CKZ) ; v. également, B. Py, Secret professionnel, que n’avons-nous pas retenu de l’expérience du sida ?, Dalloz Actualité, 26 mai 2010.

[7] V., sous l’angle du secret médical, B. Py, loc. cit..

[8] V., par ex., l’article 11, I, alinéa. 6, de la loi du 11 mai 2020 discuté plus bas.

[9] Projet de loi prorogeant l’état d’urgence, art. 6, V.

[10] Loi n° 2020-546, art. 11, II, al. 3. Pourtant, ces deux modes de suivis des contacts sont complémentaires sur le plan de la lutte contre l’épidémie, l’application devant permettre de combler les angles morts du traçage par les brigades sanitaires (transport en commun par ex.).

[11] Cons. constit., décision n° 2020-800 DC, du 11 mai 2020 (N° Lexbase : A32573L9), cons. 60 et s..

[12] Étude d’impact du projet de loi prorogeant l’état d’urgence sanitaire et complétant ses dispositions, 2 mai 2020, p. 38.

[13]  Loi n° 2020-546, art. 11, I, al. 1er.

[14] O. Beaud et C. Guérin-Bargues, L’état d’urgence sanitaire : était-il judicieux de créer un nouveau régime d‘exception ?, D., 2020, p. 891 ; P. Cassia, L’état d’urgence sanitaire : remède, placebo ou venin juridique ?, Blog Mediapart, 24 mars 2020 ; A. Levade, État d’urgence sanitaire : à nouveau péril, nouveau régime d’exception, JCP éd. G, 2020, 369 ; X. Dupré de Boulois, Éloge d’un état d’urgence sanitaire en « co-construction, JCP éd. G, 2020, 622.

[15] CSP, art. L. 3131-12 (N° Lexbase : L5643LWW) et s.

[16] Comp., à propos de l’application Stop Covid, CNDCH, avis sur le suivi numérique des personnes, 28 avril 2020, pts. 22 et s..

[17] Plan de préparation de sortie du confinement, J. Castex, 27 avril et 6 mai 2020.

[18] Étude d’impact précitée, p. 36.

[19] Sur le recours au féminin, « Le covid 19 ou La covid 19 », Académie française, 7 mai 2020, en ligne.

[20] Loi n° 2020-546, art. 11, I, al. 1er.

[21] B. Py, loc. cit..

[22] CE avis, 1er mai 2020, n° 400104 (N° Lexbase : A19403LG).

[23] Cons. constit., préc., cons. 67, 70, 73, 74, 77, 78 et 82.

[24] Décret n° 2020-551 du 12 mai 2020, relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions.

[25] Le Conseil constitutionnel, dans sa décision sur la loi prorogeant l’état d’urgence et complétant ses dispositions, a censuré la disposition prévoyant que l’avis préalable de la CNIL devait être conforme (Cons. constit., préc., cons. 77).

[26] Délib. précitée.

[27] O. Tambou, En attendant Stop Covid… Vive Contact Covid et SI-DEP : les nouveaux outils numériques accompagnant le déconfinement, blog du Coronavirus.

[28] RGPD, art. 5.

[29] Il s’agit des « données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne » (RGPD, art. 1, 15°).

[30] Loi n° 2020-546, art. 11, VI.

[31] RGPD, art. 6.1, e.

[32] RGPD, art. 9, 2, i.

[33] RGPD, cons. 39.

[34] Elle porte sur l’identité du responsable, les coordonnées du délégué à la protection des données, les finalités, la base juridique et les destinataires du traitement ainsi que la durée de conservation des données, les modalités d’exercice des droits de la personne concernée dont celui d’introduire une réclamation auprès d’une autorité de contrôle et la source de l’obligation de fournir des données.

[35] À moins qu’il ne s’agisse de l’insuffisante page sur les « outils numériques » de lutte contre la Covid-19, [en ligne] (consultée le 6 juin 2020).

[36] Disponible sur www.ameli.fr (consulté le 6 juin 2020).

[37] Décret n° 2020-551, art. 1er, III, et 8, al. 2.

[38] RGPD, art. 89.1.

[39] Amendement n° CL371.

[40] Amendement n° 606 ; v. CSP, art. L. 1461-4 (N° Lexbase : L6061LRW).

[41] V. infra.

[42] Loi n° 2020-546 art. 11, II, al. 3.

[43] Décret n° 2020-650 du 29 mai 2020.

[44] RGPD, art. 51, c

[45] RGPD, art. 9.1.

[46] Cons. constit, préc., cons. 61.

[47] Décret n° 2020-551, art. 2, II, 1°, e et f, et 2, II, 2°, e et f.

[48] Il s’agit de celles relatives à la qualité d’ancien cas contact (art. 2, II, 1°, m), à la « confirmation du niveau de risque à la suite de sa réévaluation » (art. 2, II, 2°, m) et aux « dates de prélèvement et les résultats des tests » (art. 2, II, 2°, q).

[49] Décret n° 2020-551, art. 2, II, 1°, g, et 9, 2°.

[50] Contra C. Zorn, État d’urgence pour les données de santé (II) : sidep et contact covid, Dalloz Actualité, 26 mai 2020.

[51] Délib. préc..

[52] Décret n° 2020-551, art. 5, I, et 11, I.

[53] Cons. constit, préc., cons.73.

[54] Décret n° 2020-551, art. 5, II, et 11.

[55] Décret n° 2020-551, art. 5, II, al. 1er, et 11, II, al. 1er.

[56] RGPD, art.5.1, f ; v. également RGPD, art. 32.

[57] RGPD, art.32.

[58] Voir infra.

[59] Délibération de la CNIL préc..

[60] CSP, art. L. 1110-4-1 (N° Lexbase : L6017LRB).

[61] Décret n° 2020-551, art. 4, II.

[62] Loi n° 2020-546, art. 11, IX, al. 2.

[63] Arrêté du 23 mars 2020, prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire (N° Lexbase : L5523LWH) ; arrêté du 21 avril 2020, complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire (N° Lexbase : L7202LWN).

[64] Décret n° 2020-551, art. 6, VI, 3°, et 10, III, 3°.

[65] CNIL, délibération n° 2020-044 du 20 avril 2020 (N° Lexbase : X0156CKY).

[66] Loi n° 2020-546, art. 11, I, al. 5 et décret n°, art. 13, al. 3.

[67] Décret n° 2020-551, art. 5, II, et 11, II.

[68] Décret n° 2020-551, art. 4, I, et 10, I, al. 2.

[69] Délibération précitée.

[70] Cons. constit, préc., cons.74.

[71] Décret n° 2020-551, art. 8, al. 2.

[72] Décret n° 2020-551, art. 9.

[73] Décret n° 2020-650, art. 6.

[74] Décret n° 2020-551, art. 10, II, 3°.

[75] RGPD, art.15.

[76] RGPD, art.16.

[77] RGPD, art.18.

[78] RGPD, art. 21.

[79] Décret n° 2020-551, art. 10, III, 3°.

[80] RGPD, art.17.3, c.

[81] Il est renvoyé à l’article 17.1, c, qui vise l’exercice du droit d’opposition de l’article 21, lequel est en principe exclu. Pour sortir du cercle vicieux, il faudrait retenir que cet exercice du droit à l’effacement ne vise que les données transmises dans les conditions de l’article 10, III, 3°, du décret du 12 mai 2020 lorsque la personne concernée aura fait opposition conformément à l’article 13, alinéa 1er, de ce même texte.

[82] L’article 1, II, 1° et 2°, du décret du 12 mai 2020 pose la définition de ces deux catégories de personne.

[83] Cela ressort de la définition du « patient zéro » (art. 1, II, 1°), première des deux catégories principales de personnes concernées par le traitement.

[84] Décret n° 2020-551, art. 2, II, 1°, k et l, et art. 2, II, 2°, k et l.

[85] Décret n° 2020-551, art. 2, II, 2°, p.

[86] Décret n° 2020-551, art. 2, II, 2°, o.

[87] Décret n° 2020-551, art. 1, II, 3°.

[88] HCSP, avis du 7 mai 2020, relatif à la conduite à tenir en cas de contact d’une personne ayant des antécédents évocateurs de Covid-19 avec une personne malade du Covid-19.

[89] RGPD, art. 6.1, c.

[90] Délibération précitée.

[91] Décret n° 2020-551, art. 2, II, 1°.

[92] Décret n° 2020-551, art. 2, II, 3°, b.

[93] RGPD, art. 6.1, e, et 9, 2, i.

[94] Décret n° 2020-551, art. 2, IV.

[95] Décret n° 2020-551, art. 3, I.

[96] Décret n° 2020-551, art. 2, II et III.

[97] Loi n° 2020-546, art. 11, IV.

[98] Cons. constit., préc., cons. 70.

[99] Décret n° 2020-551, art. 7, I, al. 2.

[100] Décret n° 2020-551, art. 7, I, al. 1er.

[101] Décret n° 2020-551, art. 2, I.

[102] Délibération précitée.

[103] Amendements n° 406 et 603.

[104] Loi n° 2020-546, art. 11, II, 1° et décret n° 2020-551, art. 10, I.

[105] CSP, art. D. 3113-6 (N° Lexbase : L2357LKI).

[106] CSP, art. R. 3113-2 (N° Lexbase : L2241LK9).

[107] Décret n° 2020-551, art. 4, I, et 10, I, al. 2.

[108] Loi n° 2020-546, art. 11, II, al. 1er. 1°.

[109] Voir art. 11, III, de la loi du 11 mai 2020 et supra.

[110] CE, avis préc., pt.19.

[111] Loi n° 2020-546, Art.11, I, al. 1er.

[112] S. Godelick, La porte d’entrée pour tester, tracer, isoler, ce sera le médecin, Les Échos, 4 mai 2020.

[113] Amendement n°CL207.

[114] Art.11, VII, de la loi du 11 mai 2020.

[115] Les médecins au cœur du circuit de « contact tracing » des patients du Covid-19, Ameli.fr, 14 mai 2020, [en ligne] (consulté le 6 juin 2020).

[116] Décret n° 2020-551, art. 3, II, et 10, I, al. 2.

[117] Comp., S. Bourgeois-Gironde et B. Deffains, Big data, Nudging et Contrat Social dans le « monde d’après », Le club des juristes, 28 mai 2020 ; plus largement, A. Alemando, G. Helleringer et A.-L. Sinoby, Brève introduction à l’analyse comportementale du droit, D., 2016, p. 911.

[118] Décret n° 2020-551, art. 6 et RGPD, art. 13.2, e.

[119] Décret n° 2020-551, art. 2, II, 1°, o.

[120] RGPD, art. 6.1, e, et 9.2, g.

[121] Loi n° 2020-546, art. 11, I, al. 1er.

[122] Loi n° 2020-290 du 23 mars 2020 d’urgence pour faire face à l’épidémie de covid-19, art. 4 et loi n° 2020-546, art. 1er

[123] Comité scientifique Covid-19, avis n° 6, 20 avril 2020, « Sortie progressive de confinement. Prérequis et mesures phares ».

[124] Loi n° 2020-546, art. 11, VIII, al. 3.

[125] Décret n° 2020-572 du 15 mai 2020, relatif au Comité de contrôle et de liaison covid-19 (N° Lexbase : L9248LWG), art. 1, I.

[126] Loi n° 2020-546, art. 11, VIII, al. 2, 1°.

[127] Loi n° 2020-546, art. 11, VIII, al. 2, 2°.

[128] Cons. constit., préc., cons. 79 à 82.

[129] « SI-DEP, Contact Covid et StopCovid : la CNIL lance sa campagne de contrôles » (CNIL, communiqué du 4 juin 2020).

[130] Un premier bilan, à prendre avec précaution car publié dix jours après la mise en œuvre des traitements, fait état d’un « démarrage […] étonnamment calme » (E. Pineau et Ch. Kecketsweier, Coronavirus : après 10 jours de contact tracing, les enquêteurs de l’Assurance-maladie ne voient pas arriver de rebond, La Matinale du Monde, 23 mai 2020.

newsid:473614