La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis concernant un projet de décret modifiant le décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions et le décret n° 2020-1690 du 25 décembre 2020 autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19 ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire, notamment son article 7 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission a été saisie d'un projet de décret modifiant les décrets relatifs aux systèmes d'information (SI) Contact Covid, SI-DEP et Vaccin Covid.
Les modifications envisagées visent à :
- adapter le traitement Contact Covid pour prendre en compte les effets de la vaccination ;
- étendre les catégories de destinataires des données contenues dans le traitement Contact Covid à des fins de recherche et d'évaluation ;
- préciser les caractéristiques essentielles des traitements de données à caractère personnels mis en œuvre par les agences régionales de santé (ARS) à des fins de réalisation des enquêtes sanitaires ;
- améliorer le taux de couverture vaccinale.
A titre liminaire, la Commission rappelle que la création de traitements de données placés sous la responsabilité de différents acteurs, qui répondent à des finalités distinctes, portent sur différentes catégories de données et qui ne prévoient pas les mêmes catégories de destinataires, constitue l'une des mesures essentielles avancée par les pouvoirs publics pour garantir le respect de la vie privée des personnes et la protection des données qui les concernent, tout en constituant des moyens de lutter contre la covid-19.
Sur l'information des personnes concernées et les modalités d'exercice des droits :
Au vu de la sensibilité des données recueillies dans ces systèmes d'information, en raison du contexte justifiant leur mise en œuvre ainsi que leur ampleur, la Commission estime nécessaire d'améliorer l'information déjà disponible afin que, conformément à l'article 12 du RPGD, le ministère diffuse une information concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, afin que l'ensemble de la population puisse avoir connaissance de l'existence des différents traitements et appréhender leur étendue ainsi que leurs interconnexions. A cette fin, la Commission invite notamment le ministère à compléter les informations déjà diffusées avec des schémas et des cartographies détaillant les liens entre chacun de ces traitements.
En effet, la multiplication des traitements de données et de leurs interconnexions participe à la création d'un écosystème complexe, nécessitant que les personnes concernées disposent des renseignements nécessaires et des moyens de faire valoir leurs droits.
A cet égard, la Commission souligne avoir été contactée à de nombreuses reprises par des personnes souhaitant exercer leurs droits s'agissant des traitements mis en œuvre dans le cadre de lutte contre l'épidémie. La Commission rappelle la nécessité que les informations rendues publiques par le ministère fassent clairement apparaître les coordonnées auprès desquelles les personnes peuvent obtenir des informations et exercer leurs droits. Sur ce point, la Commission invite d'ailleurs le ministère à simplifier l'exercice des droits des personnes, en permettant par exemple aux personnes de s'opposer une unique fois à l'ensemble des réutilisations des données collectées dans le cadre de ces traitements.
La Commission relève enfin que le projet de décret n'apporte aucune précision s'agissant de l'information des personnes concernant l'évolution des différents systèmes d'information. A l'instar de ce qui était prévu dans les autres projets de décrets modifiant les traitements relatifs à la lutte contre l'épidémie de covid-19, tels que le décret n° 2020-1018 du 7 août 2020, la Commission invite le ministère à compléter le projet de décret afin de détailler la façon dont les personnes dont les données ont été collectées avant sa date d'entrée en vigueur seront informées par les responsables de traitement des modifications de ceux-ci. La Commission prend acte de ce que la CNAM s'engage à mettre à jour et améliorer les différents supports d'information des personnes et à faciliter l'exercice de leurs droits de façon globale, notamment par le biais des personnels soignants.
Sur les modifications apportées au système d'information « Vaccin Covid » (SI « Vaccin Covid ») :
L'article 2 du projet de décret vise à modifier les dispositions relatives au SI « Vaccin Covid » afin d'améliorer la couverture vaccinale en facilitant un accès à la vaccination des personnes les plus à risque, par :
- l'envoi par le service médical de la Caisse nationale d'assurance maladie (CNAM) au médecin traitant de la liste de ses patients vulnérables non vaccinés ;
- l'accompagnement à la vaccination, par le service médical de la CNAM, des personnes non vaccinées présentant des pathologies à risque de forme grave de covid-19.
Afin de permettre la mise en place de ces actions, qui visent, selon les précisions du ministère, à sensibiliser les personnes concernées et à leur apporter une aide dans la programmation des rendez-vous, l'article 2 du projet de décret ajoute la finalité d'accompagnement des personnes présentant des vulnérabilités particulières à la vaccination au SI « Vaccin Covid ».
Si le Gouvernement fait valoir que la mobilisation conjuguée des médecins traitants et des services de la CNAM vise à éviter que des personnes ne fassent l'objet d'aucune action de sensibilisation dans des cas où elle serait pertinente, la Commission souligne que cela peut néanmoins conduire, dans certains cas, à ce que ces actions soient redondantes et à des sollicitations répétées auprès des mêmes personnes. Elle prend acte de ce que, la vaccination n'étant pas obligatoire, ces sollicitations auront pour objet d'informer et de sensibiliser les personnes et non d'essayer de les convaincre lorsqu'elles indiqueront ne pas souhaiter se faire vacciner. Afin d'éviter tout risque de sollicitations répétées, la Commission invite le ministère à prévoir que l'action de l'Assurance maladie sera exercée prioritairement à l'intention des personnes n'ayant pas désigné de médecin traitant.
Sur l'établissement de listes de patients non vaccinés :
Sur la création et la diffusion de listes de patients :
Selon les précisions du ministère :
- la liste des patients ayant déclaré un médecin traitant et n'étant pas vaccinés sera établie par le rapprochement automatique de la base des personnes ayant déclaré un médecin traitant (base « médecins traitant ») et du SI « Vaccin Covid ». Elle pourra notamment inclure les personnes qui auront été destinataires de bons de vaccination, qui auront exprimé leur droit d'opposition à SI « Vaccin Covid » et qui n'auront pas été vaccinées ;
- le service médical de la CNAM réceptionnera ensuite les différents jeux de données avant de les communiquer aux médecins traitants par la messagerie sécurisée d'Ameli pro puis à, compter de juillet 2021, via l'espace sécurisé d'Ameli pro, accessible par l'utilisation de la carte de professionnel de santé (CPS) du médecin traitant uniquement ;
- l'envoi par le service médical de la CNAM au médecin traitant de la liste des patients non vaccinés permettra au professionnel de santé de mener des actions ciblées d'information et de sensibilisation de sa patientèle qu'il identifie comme fragile ;
- le médecin traitant pourra avoir ainsi communication, dans le cadre du SI « Vaccin Covid », d'informations relatives à ses patients vaccinés ou non ;
- la liste des patients pourra être mise à jour après sollicitation du service médical par le médecin traitant.
Dans cette optique, l'article 2 du projet de décret prévoit d'étendre les catégories de données pouvant être collectées dans le cadre du SI « Vaccin Covid » aux données d'identification de la personne éligible à la vaccination, qu'elle soit vaccinée ou non.
Si la Commission comprend l'objectif de sensibilisation des personnes à risque de forme grave de covid-19, elle tient cependant à rappeler qu'elle n'est en principe pas favorable à la création et la diffusion de listes de personnes non vaccinées, tant au regard du volume et de la sensibilité des données nécessaires à son établissement, qu'au regard de leur caractère intrusif et des craintes de mésusages que ces listes sont susceptibles de générer, notamment chez les personnes ne souhaitant pas se faire vacciner.
De plus, la Commission regrette d'avoir à se prononcer sur la proportionnalité d'une telle mesure sans disposer d'éléments d'enquête préalable permettant d'évaluer la part de médecins traitants n'ayant pas déjà systématiquement contacté leurs patients à risque de forme grave de covid-19, ainsi que la part de médecins traitants désireux de recevoir les listes envisagées.
Eu égard à la crise sanitaire particulièrement grave à laquelle la France est confrontée, au rôle central que joue la vaccination et au fait que celle-ci demeure facultative, des actions de sensibilisation à la vaccination mobilisant des moyens inédits peuvent légitimement être mises en œuvre, à condition d'être entourées de garanties fortes. La Commission estime que la protection du secret médical régi par l'article L. 1110-4 du code de la santé publique n'y fait pas obstacle dès lors que ces informations ne seraient communiquées qu'aux médecins-traitants des patients, et seront traitées par la CNAM qui peut, dans le cadre de sa mission d'information et de sensibilisation des assurés sociaux et sous réserve de respecter les dispositions applicables, accéder et traiter des informations couvertes par le secret médical. La commission formule en revanche un certain nombre de demandes et de réserves dans le présent avis, en particulier afin d'éviter des risques de sollicitations excessives. Elle rappelle que les listes ne devront être conservées sous une forme permettant l'identification des personnes concernées que pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément à l'article 5.1.e du RGPD. La Commission recommande en outre que les listes ne soient établies et transmises aux médecins traitants qu'à leur demande, adressée au service compétent de l'assurance maladie. La Commission invite donc le ministère à modifier le projet de décret en conséquence.
Les personnes intervenant dans l'accompagnement devront donc être sensibilisées à la nécessité d'éviter les sollicitations multiples, à plus forte raison s'agissant des personnes qui se seraient opposées au traitement de données les concernant dans SI « Vaccin Covid ».
Sur la réutilisation de la base « médecins traitants » pour la constitution de ces listes :
Selon les indications du ministère, la base « médecins traitant » est créée par l'article L. 162-5-3 du code de la sécurité sociale (CSS) ainsi que par le décret n° 2015-390 du 3 avril 2015 autorisant les traitements de données à caractère personnel par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions d'affiliation, d'immatriculation, d'instruction des droits aux prestations et de prise en charge des soins, produits et services.
Selon le décret n° 2015-390 du 3 avril 2015, la base « médecins traitants », tout comme les autres traitements mis en œuvre par les organismes gestionnaires de régimes obligatoires de base de l'assurance maladie, permet notamment :
- l'immatriculation, l'affiliation, l'instruction, la gestion et le contrôle des droits des bénéficiaires ;
- l'acquisition, le contrôle, le traitement et l'enregistrement des informations utiles ;
- la gestion individualisée de la relation avec les bénéficiaires ;
- le suivi et le traitement des procédures amiables, recours gracieux, actions contentieuses et actions de prévention et de lutte contre les fautes, abus et fraudes ;
- le transfert des informations en cas de changement d'organisme gestionnaire ;
- la production de statistiques.
La Commission relève que l'utilisation de ces traitements, dont fait partie la base « médecins traitants », afin d'identifier des patients et de mener des actions ciblées d'information et de sensibilisation via les médecins traitants n'y figure pas. Elle s'interroge donc sur la compatibilité de cet objectif avec les finalités prévues par l'article 1er du décret n° 2015-390 du 3 avril 2015 et invite le ministère à modifier le décret n° 2015-390 si nécessaire.
Sur l'accès à certaines bases de données contenant des informations médicales :
Afin d'obtenir la liste des personnes les plus à risque de forme grave de covid-19 devant être accompagnées, le service médical accèdera au SI « Vaccin Covid » afin de croiser les données des personnes non vaccinées mais ayant reçu des bons de vaccination dans le cadre de la première campagne de vaccination, avec d'autres bases de données comportant des données médicales :
- la base « Hippocrate », permettant d'identifier les assurés ayant des affections longue durée ;
- une base relative aux versements des indemnités journalières dérogatoires aux personnes vulnérables ;
- une base relative à l'invalidité.
Le ministère n'ayant pas précisé le fondement et le régime juridique applicable à ces traitements, la Commission rappelle que l'objectif poursuivi doit être compatible avec les finalités des fichiers consultés et appelle, le cas échéant, à apporter les modifications nécessaires aux textes encadrant ces fichiers.
Sur le rôle du service médical de la CNAM :
Le service médical de la CNAM serait, d'une part, chargé de la constitution des listes à destination des médecins traitants, l'article 3 du décret n° 2015-390 du 3 avril 2015 prévoyant que les agents de la CNAM habilités intervenant dans la prise en charge des assurés peuvent accéder aux données de la base « médecins traitants », à raison de leurs attributions et dans la limite du besoin d'en connaître. D'autre, part, certains de ces agents, rattachés au service médical de la CNAM, participeraient également à l'accompagnement à la vaccination des personnes les plus à risque de forme grave de covid-19.
La Commission invite le ministère à porter une attention particulière à l'articulation entre les textes régissant les missions confiées à ce service, en particulier l'article L. 315-1 du code de la sécurité sociale, et celles qui lui seraient dévolues dans le cadre du présent projet.
Sur les interconnexions entre Contact Covid, SI-DEP et SI « Vaccin Covid » :
Le projet d'article 1er du décret du 25 décembre 2020 ajoute une finalité au SI « Vaccin Covid » afin d'adapter les mesures médicales d'isolement prophylactiques pour les personnes vaccinées identifiées comme cas contact ou personnes co-exposées en application des dispositions de l'article 1er du décret du 12 mai 2020 créant SI-DEP et Contact Covid. La Commission comprend que cette finalité vise à permettre le versement de données de SI « Vaccin Covid » dans Contact Covid, afin que les mesures sanitaires adéquates soient mises en œuvre, notamment en évitant le placement en quarantaine de personnes vaccinée, et considère que cette finalité est pertinente.
La Commission tient toutefois à souligner que chacun de ces systèmes d'information, qui s'inscrit dans la lutte contre l'épidémie de covid-19, poursuit des finalités propres, définies à l'article 11 de la loi du 11 mai 2020 et aux articles 1er et 9 du décret du 12 mai 2020 pour les traitements Contact Covid et SI-DEP, et définies à l'article 1er du décret du 25 décembre 2020 pour le SI « Vaccin Covid ».
Sur le recueil de données issues de SI-DEP dans le SI « Vaccin Covid » :
Le projet d'article 2 du décret du 25 décembre 2020 prévoit le versement dans le SI « Vaccin Covid » de la date d'une infection par le virus du SARS-CoV-2 datant de moins de six mois, issue de SI-DEP. La Commission rappelle toutefois que, à l'exception de la conservation à des fins de recherche et de suivi épidémiologique, la durée de conservation des données de SI-DEP prévue par l'article 11 de la loi n° 2020-546 du 11 mai 2020 est de trois mois à compter de leur collecte. Elle invite donc le ministère à modifier le projet de décret sur ce point.
Sur le recueil de données issues du SI « Vaccin Covid » dans Contact Covid et SI-DEP :
S'agissant de Contact Covid :
La Commission relève que le projet d'article 2.I.5° du décret du 12 mai 2020 prévoit que Contact Covid sera alimenté par les données issues du SI « Vaccin Covid ». Le ministère a précisé que cette transmission d'informations porterait uniquement sur le statut vaccinal, le nom du vaccin et la ou les dates d'injection visés au projet d'article 2.II.e afin de s'assurer de la protection des personnes présentant un risque de contamination (cas contact et personnes co-exposées) et d'adapter l'orientation des personnes susceptibles de l'être en fonction de leur schéma vaccinal.
La Commission estime que ces données relèvent des catégories visées à l'article 11.I de la loi du 11 mai 2020, pouvant être traitées et partagées, le cas échéant, sans le consentement de la personne. Elle estime également que leur collecte est pertinente pour la conduite d'une enquête sanitaire, puisque l'évaluation d'un risque de contamination ou la reconstitution d'une chaîne de transmission du virus varie selon que les personnes sont ou non vaccinées. La Commission invite en revanche le ministère à indiquer précisément dans le décret les catégories de données provenant du SI « Vaccin Covid » qui seront collectées au sein de Contact Covid, ainsi que les personnes concernées.
S'agissant de SI-DEP :
Le projet d'article 9.2° prévoit la collecte des données suivantes : « statut vaccinal, nom du vaccin et la ou les dates d'injection ». La Commission prend acte de ce que le ministère a précisé que ces données proviennent du SI « Vaccin Covid ». Elle invite donc le ministère à le mentionner expressément dans le projet.
La Commission relève en outre que le ministère entend justifier cette collecte par la réalisation de recherches portant sur les effets de la vaccination et, notamment, sur les risques de contamination avant ou après la finalisation du schéma vaccinal. La Commission attire l'attention du ministère sur la nécessité de ne collecter que des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Elle rappelle à cette fin que l'utilisation des données des systèmes d'information SI-DEP, Contact Covid et « Vaccin Covid » à des fins de recherche est d'ores et déjà prévue par les textes, notamment par leur versement à la CNAM et à la Plateforme des données de santé (PDS), en vue de leur mise à disposition auprès des chercheurs. Dès lors, afin de garantir le respect de la vie privée des personnes et la protection des données qui les concernent, elle invite le ministère à ne pas dupliquer les données structurées, en faisant de SI-DEP une nouvelle base de recherche, en plus des entrepôts de la CNAM et de la PDS.
Sur le versement de données du SI « Vaccin Covid » dans le Système national des données de santé (SNDS) :
La Commission estime que, en application de l'article 7 de la loi du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire, l'ajout de données, issues du SI « Vaccin Covid », à Contact Covid et SI-DEP aura pour conséquence de les intégrer au SNDS.
Tout en observant que certaines catégories de données de ce système d'information pourraient relever des catégories de données mentionnées à l'article L. 1461-1 du CSP, la Commission s'interroge sur la possibilité de prévoir par voie réglementaire le versement des données du SI « Vaccin Covid » dans le SNDS, alors même que le versement des données des SI « Contact Covid » et SI-DEP a été prévu par la loi et dans les conditions précisées par le décret n° 2021-848 du 29 juin 2021 relatif au SNDS.
La Commission demande que le décret relatif au SI « Vaccin Covid » soit modifié afin de faire expressément mention de l'intégration de certaines de ses données au SNDS. Elle souligne par ailleurs que les responsables des traitements Contact Covid, SI-DEP et SI « Vaccin Covid » seront respectivement tenus d'en informer individuellement et sans délai toutes les personnes concernées par cette évolution ainsi que des modalités selon lesquelles elles pourront exercer leurs droits.
Sur les modifications apportées à Contact Covid et SI-DEP :
Sur l'ajout dans Contact Covid de nouvelles catégories de destinataires des données à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé :
D'une part, le projet d'article 1er-IV prévoit d'autoriser les organismes d'assurance maladie et la Caisse nationale militaire de sécurité sociale à recourir à des sous-traitants à des fins de surveillance épidémiologique, de recherche sur le virus et sur les moyens de lutter contre sa propagation.
La Commission prend acte des précisions du ministère selon lesquelles :
- cette modification permettra à certains organismes gestionnaires d'un régime obligatoire d'assurance maladie, et plus particulièrement la mutuelle sociale agricole (MSA) et la mutuelle générale de l'éducation nationale (MGEN) d'intervenir pour la mise en œuvre de cette finalité, notamment pour l'envoi aux personnes concernées d'informations relatives à des programmes de recherche ;
- seules les données d'identification des personnes seront communiquées à ces organismes d'assurance maladie, afin qu'ils identifient les assurés concernés et collectent leurs coordonnées directement depuis leurs systèmes d'information.
D'autre part, le projet d'article 3-VIII du décret du 12 mai 2020 prévoit d'autoriser l'accès par les organismes nationaux et locaux d'assurance maladie, leurs sous-traitants et les personnes mises à dispositions de ces organismes par des entreprises de travail temporaire, aux données d'identification et aux coordonnées des personnes concernées par Contact Covid, à des fins d'évaluation du dispositif de suivi de contacts (« contact tracing »).
La Commission prend acte des précisions du ministère selon lesquelles :
- la mise en œuvre de cette évaluation serait assurée par la CNAM, qui sélectionnera un panel de personnes et leur transmettra par courrier électronique un lien vers le questionnaire d'évaluation ;
- seules les coordonnées électroniques des personnes seront utilisées par la CNAM à cette fin. Elle invite donc le ministère à modifier le projet d'article en conséquence.
La Commission remarque que ces deux modifications permettront aux organismes précités et à leurs sous-traitants d'avoir accès à des données directement identifiantes, dont le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR), et aux coordonnées des personnes à des fins de surveillance épidémiologique et de recherche sur le virus.
A cet égard, la Commission relève que :
- l'article 11 de la loi du 11 mai 2020 permet la réutilisation des données de Contact Covid et de SI-DEP « à des fins de surveillance épidémiologique aux niveaux national et local, ainsi que la recherche sur le virus et les moyens de lutter contre sa propagation, sous réserve, en cas de collecte d'informations, de supprimer les nom et prénoms des personnes, leur numéro d'inscription au répertoire national d'identification des personnes physiques, leur adresse et leurs coordonnées de contact téléphonique et électronique ». A cet égard, il doit être relevé qu'il résulte des débats parlementaires ayant précédé l'adoption de la loi précitée que les données d'identification et les coordonnées des personnes ne sont collectées qu'à des fins d'identification des personnes contaminées et/ou des personnes présentant un risque de contamination ainsi que d'orientation de ces personnes vers les mesures les plus adaptées ;
- l'article 3-VI du décret du 12 mai 2020 prévoit que seules les données ayant fait l'objet « de mesures adéquates de pseudonymisation permettant d'assurer la confidentialité de l'identité des personnes » peuvent être transmises à des fins de recherche.
Si Commission comprend l'utilité de disposer de données directement identifiantes pour pouvoir informer les personnes de la réalisation de projets de recherche, les inviter à y participer et évaluer le fonctionnement du dispositif, elle attire néanmoins l'attention du ministère sur le fait que le législateur a entendu limiter les réutilisations des fins de recherche à des données pseudonymisées. Par conséquent, elle s'interroge sur la compatibilité des modifications envisagées, prévues par une norme de nature règlementaire, avec les dispositions législatives relatives à Contact Covid.
Par ailleurs, les personnes concernées n'ayant pas été préalablement informées de l'utilisation de leurs données nominatives à des fins de recherche, la Commission recommande que les personnes soient mises en mesure de s'opposer à la réutilisation de leurs données avant toute réutilisation à cette fin.
S'agissant du recours à des sous-traitants par les organismes d'assurance maladie à des fins de surveillance épidémiologique, de recherche sur le virus et sur les moyens de lutter contre sa propagation :
La Commission estime donc que la modification envisagée par le projet d'article conduira à transmettre à des organismes tiers des données directement identifiantes à des fins de recherche, ce qui n'apparaît pas conforme aux dispositions de l'article 11 de la loi du 11 mai 2020. Elle considère en effet que seule la CNAM disposant des données directement identifiantes et des coordonnées des personnes, en sa qualité de responsable de traitement de Contact Covid, devrait pouvoir accéder à ces données. Dès lors tout projet de recherche qui nécessiterait l'utilisation de telles données ne pourra intervenir que sous la responsabilité, le cas échéant conjointe, de la CNAM.
S'agissant des destinataires des données pour l'évaluation du fonctionnement du dispositif Contact Covid :
La Commission prend acte de ce que le ministère a indiqué que :
- la mise en œuvre de cette évaluation sera effectuée en deux temps : d'abord la réutilisation des coordonnées électroniques des personnes à des fins d'envoi du questionnaire d'évaluation du dispositif, puis la réalisation de l'évaluation par les personnes contactées qui le souhaitent ;
- le questionnaire ne contiendra aucun champ libre.
La Commission estime que cette évaluation est compatible avec les finalités de Contact Covid mentionnées à l'article 1er-III du décret du 12 mai 2020 et plus particulièrement celle relative à la surveillance épidémiologique, la recherche sur le virus et les moyens de lutter contre sa propagation.
Elle considère que cette évaluation, qui suppose la mise en œuvre d'un traitement distinct de Contact Covid, devra faire l'objet de formalités auprès de la Commission si ledit traitement poursuit des finalités d'évaluation dans le domaine de la santé au sens des articles 72 et suivants de la loi « informatique et libertés ». Elle rappelle cependant que ces formalités ne seront pas requises si le traitement est réalisé dans les conditions prévues à l'article 65-6° de cette même loi.
Concernant l'information des personnes, le ministère a indiqué que :
- les personnes seront invitées à participer à l'évaluation par l'envoi d'un courrier électronique renvoyant au lien du questionnaire ;
- ce courrier électronique sera accompagné d'une notice d'information sur les finalités du questionnaire.
La Commission en prend acte et attire l'attention du ministère sur le fait que le courrier électronique d'invitation et la notice d'information ne devront pas permettre de déduire d'informations sur l'état de santé de la personne destinataire.
En outre, elle recommande l'utilisation de la messagerie de l'espace sécurisée du compte Ameli afin de limiter les risques pour la vie privée des personnes.
Sur les traitements mis en œuvre par les ARS :
La Commission relève que l'article 14 du décret du 12 mai 2020 autorisant les ARS à recourir à des sous-traitants pour la réalisation des enquêtes sanitaires, d'orientation de suivi et d'accompagnement des personnes et de surveillance épidémiologique, est abrogé et est remplacé par un projet de chapitre 3 relatif aux traitements mis en œuvre par les ARS.
La Commission prend acte de ce que les traitements visés par ce projet de chapitre 3 renvoient à des traitements déjà mis en œuvre par les ARS sur le fondement de l'arrêté du 30 juin 2020 fixant la liste des organismes ou services chargés d'une mission de service public pouvant mettre en œuvre des traitements de données à caractère personnel ayant pour finalité de répondre à une alerte sanitaire, dans les conditions définies à l'article 67 de la loi « informatique et libertés », qui vont prendre fin un an après leur création.
Sur les catégories de destinataires :
La Commission relève que les catégories de données collectées par les ARS dans le cadre de leurs enquêtes sanitaires seront identiques à celles collectées au sein du Contact Covid et SI-DEP. Elle relève en outre que les destinataires de données pseudonymisées à des fins de recherche entre Contact Covid, SI-DEP et des traitements mis en œuvre par les ARS sont identiques.Par ailleurs, la Commission prend acte des précisions du ministère selon lesquelles les données issues des traitements mis en œuvre par les ARS ont vocation à intégrer le SNDS.
La Commission estime que seules les données pseudonymisées collectées par les ARS dans le cadre de leurs enquêtes sanitaires pourront être transmises à la CNAM et à la PDS et pourront être versées au sein du SNDS.
En outre, la Commission invite le ministère à compléter le projet d'article 14-2 afin de préciser, à l'instar l'article 11 de la loi du 11 mai 2020, de l'article 3-VI relatif à Contact Covid et de l'article 10-III relatif à SI-DEP, les données qui devront être supprimées lors du processus de pseudonymisation.
Sur l'information et l'exercice des droits :
La Commission relève qu'aucune disposition du projet de chapitre 3 ne détaille les conditions dans lesquelles les personnes concernées seront informées de la mise en œuvre de traitements par les ARS. Elle rappelle que des non-conformités aux modalités d'information des personnes ont donné lieu à des mises en demeure d'ARS dans le cadre de ses précédentes missions de contrôle.
Elle signale que les ARS, en qualité de responsables des traitements qu'elles mettent en œuvre, sont tenues d'informer individuellement les personnes concernées dans les conditions prévues par les dispositions des articles 13 et 14 du RGPD. A cet égard, elles ne sauraient se prévaloir de l'information délivrée aux personnes par les responsables de Contact Covid et SI-DEP et devront informer spécifiquement les personnes de la réutilisation de leurs données, le cas échéant.
La Commission demande donc que le projet de chapitre 3 soit complété en ce sens.
Le projet d'article 14-4 prévoit que le droit d'opposition n'est pas applicable aux traitements mis en œuvre par les ARS, à l'exception des données pseudonymisées transmises à la PDS et à la CNAM à des fins de recherche. La Commission relève à ce titre que les personnes pourront exercer leurs droits « auprès de l'agence régionale de santé ». Elle invite le ministère à préciser les critères de compétence territoriale et matérielle des ARS dans les documents d'information remis aux personnes.
Afin de favoriser et de faciliter l'exercice par les personnes concernées de leurs droits, la Commission estime que dès lors qu'une personne a exercé son droit d'opposition auprès du responsable de traitement de Contact Covid ou de SI-DEP, pour la transmission de ses données à la PDS ou à la CNAM à des fins de recherche, la mention de cette opposition devrait être reportée sur les données transmises aux ARS.
Sur la sécurité des systèmes d'information :
La Commission souligne qu'elle a été saisie d'un projet de texte qui n'était accompagné d'aucun détail sur les modalités techniques de mise en œuvre des traitements envisagées, tant du point de vue fonctionnel ou que de celui de la sécurité des systèmes d'information. La Commission rappelle que la fourniture d'une analyse d'impact sur la protection des données est indispensable à l'appréciation des conditions de mise en œuvre des traitements dont elle est saisie. Elle invite donc le ministère à lui transmettre ce document dans les meilleurs délais.
Si la Commission ne remet pas en cause l'intérêt de ces traitements mis en œuvre afin de lutter contre la covid-19, elle relève que les évolutions introduites par ce projet de décret, d'une part, visent à rassembler les données de différents traitements existants et à en créer de nouveaux, portant sur des catégories de données similaires mais poursuivant des finalités différentes et, d'autre part, multiplient les interconnexions ainsi que les flux de données entre ces systèmes d'informations. Elle ne peut donc que regretter ne pas avoir eu communication de la documentation technique correspondante, afin d'apprécier les risques que ces évolutions sont susceptibles de générer.