La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis concernant un projet de décret modifiant le décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions et le décret n° 2020-1690 du 25 décembre 2020 autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19 ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2021-1041 du 5 août 2021 relative à la gestion de la crise sanitaire ;
Vu la décision du Conseil Constitutionnel n° 2021-824 DC du 5 août 2021 ;
Après avoir entendu le rapport de Mme Marie-Laure DENIS, Présidente, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie en urgence le 27 juillet 2021 d'un projet de décret modifiant, d'une part, le décret n° 2020-551 relatif aux systèmes d'information « Contact Covid », « SI-DEP » et aux traitements mis en œuvre par les agences régionales de santé (ARS) et, d'autre part, le décret n° 2020-1690 relatif au système d'information « Vaccin Covid ».
Les modifications envisagées visaient à :
- compléter les finalités poursuivies par les systèmes d'information « Contact Covid », « SI-DEP » ainsi que par les traitements mis en œuvre par les ARS pour permettre le suivi et le contrôle du respect des nouvelles mesures d'isolement s'imposant aux personnes dépistées positives à la covid-19 ;
- allonger la durée de conservation de certaines données collectées au sein de « SI-DEP » en application de la loi ;
- compléter les finalités poursuivies par le système d'information « Vaccin Covid » afin de permettre aux agences régionales de santé (ARS) d'être destinataires de la liste des professionnels non vaccinés soumis à l'obligation vaccinale prévue par la loi ;
- ajouter de nouvelles catégories de destinataires aux systèmes d'information précités aux fins de mise en œuvre de ces contrôles.
Concernant les modifications induites par l'ajout d'une finalité relative au suivi et au contrôle des mesures d'isolement, la Commission prend acte de ce que le ministère va modifier le présent projet de décret afin de tenir compte de la décision du Conseil constitutionnel du 5 août 2021 déclarant comme non conformes à la Constitution les articles 7.1° et 9 de la loi relative à la gestion de la crise sanitaire.
L'information des personnes concernées par ces dispositifs et les procédures de contrôle liées constitue une garantie essentielle pour leur permettre de disposer des renseignements nécessaires et des moyens de faire valoir leurs droits. A cet égard, la Commission demande au ministère, à la CNAM ainsi qu'aux ARS d'informer les professionnels concernés par l'obligation vaccinale des modalités de contrôle du respect de cette obligation.
Ainsi, au-delà de son avis sur ce projet de décret, la Commission se montrera particulièrement attentive aux conditions de mise en œuvre de ces traitements qui devront faire l'objet d'analyses d'impact sur la protection des données devant être mises à jour en application de l'article 35 du RGPD.
A cet égard, la Commission relève que la multiplication des traitements de données à caractère personnel de santé liés à la gestion de la crise sanitaire augmente les risques sur la sécurité de ces données et recommande aux différents acteurs concernés (ministère, directions régionales du service médical, ARS) de mener une analyse de risques globale, du type EBIOS-RM, afin de déterminer les mesures techniques et organisationnelles nécessaires afin d'assurer la protection de ces données.
En outre, elle recommande aux différents acteurs de réaliser une revue et une mise à jour fréquente des habilitations des agents concernés, ainsi qu'une purge fréquente et adaptée de leurs messageries et répertoires de travail.
Sur les modifications apportées au système d'information « SI-DEP » portant sur l'allongement de la durée de conservation des données des personnes testées positives à la covid-19
Le projet d'article 11 du décret n° 2020-551 distingue, parmi les données à caractère personnel contenues dans le traitement « SI-DEP » :
- les données relatives à une personne ayant fait l'objet d'un examen de dépistage de la covid-19 concluant à une contamination, qui peuvent être conservées pour une durée de six mois après leur collecte ;
- les autres données, dont la durée de conservation reste inchangée (trois mois).
Cette modification tire les conséquences nécessaires de la loi. L'allongement à six mois de la durée de conservation en cas de test positif est lié à la durée pendant laquelle des certificats de rétablissement peuvent être établis en application de l'article 2-2 du décret n° 2021-699.
Sur les modifications apportées au système d'information « Vaccin Covid » (SI « Vaccin Covid »)
L'article 12 de la loi institue une obligation vaccinale contre la covid-19 pour les professionnels au contact direct, dans l'exercice de leur activité professionnelle, des personnes les plus vulnérables, ainsi qu'à celles qui travaillent au sein des mêmes locaux dont la liste est limitativement énumérée. L'article 13 de la loi prévoit que les professionnels soumis à cette obligation établissent y avoir satisfait en présentant notamment un justificatif de leur statut vaccinal et que ceux qui ne sont pas soumis à cette obligation en raison d'une contre-indication doivent présenter un certificat médical. Lorsqu'ils sont salariés ou agents publics, ces justificatifs ou certificats sont transmis par les professionnels concernés à leurs employeurs. Dans les autres cas, notamment pour les professions libérales, il est prévu que les ARS compétentes accèdent aux données relatives au statut vaccinal de ces mêmes personnes, avec le concours des organismes locaux d'assurance maladie, afin de contrôler le respect de cette obligation. Ces contrôles ne pourront être diligentés qu'à compter de la date de l'entrée en vigueur de l'obligation vaccinale conformément aux dispositions de l'article 14 de la loi.
Le projet de décret soumis pour avis à la Commission vise à permettre aux ARS d'accéder à ces données afin de vérifier que les professionnels concernés ont bien satisfait à leur obligation vaccinale.
Sur l'ajout d'une finalité relative à la mise à disposition des agences régionales de santé de la liste des professionnels non vaccinés soumis à l'obligation vaccinale
Le projet d'article 1.7° du décret n° 2020-1690 prévoit que le système d'information « Vaccin-Covid » pourra être mis en œuvre aux fins de « mise à disposition de données permettant le contrôle de l'obligation vaccinale » des professionnels qui ne sont pas salariés ou agents publics.
Les évolutions introduites par ce projet de décret modifient la finalité initiale de ces traitements puisqu'elles permettent d'utiliser les données collectées à des fins de suivi de la vaccination pour contrôler le respect de l'obligation vaccinale des professionnels. Ces contrôles impliquent la mise en œuvre de traitements de données à caractère personnel ultérieurs par plusieurs responsables de traitements.
La Commission estime que les traitements mis en œuvre par le ministère des solidarités et de la santé, la CNAM aux fins de mise à disposition des données nécessaires au contrôle du respect de l'obligation vaccinale par les ARS relèvent du champ d'application du RGPD puisque les suites des contrôles ne seront pas collectées dans ce traitement et que la conséquence directe des traitements consiste en une interdiction d'exercer et non en une sanction pénale.
Sur les catégories de données transmises aux agences régionales de santé
Le projet d'article 3 du décret n° 2020-1690 prévoit que les agents des ARS spécialement habilités par les directeurs généraux de ces agences sont rendus destinataires de certaines données mentionnées aux 1°, 3° et 5° du I de l'article 2 du projet de décret, nécessaires au contrôle de l'obligation vaccinale (nom, prénoms, date et lieu de naissance, NIR ou, le cas échéant, code d'admission au bénéfice de l'aide médicale d'Etat sous la mention immatriculation ; coordonnées postale, électronique et téléphonique de la personne concernée ainsi que, le cas échéant, de son représentant légal, ainsi que certaines données relatives à la réalisation de la vaccination).
Ces données, collectées et enregistrées dans le cadre de soins médicaux, sont protégées par le secret médical. L'article 13 de la loi implique nécessairement que les ARS puissent connaître à cette fin de données en principe couvertes par le secret médical prévu à l'article L. 1110-4 du code de la santé publique. Cette dérogation au principe du secret médical entraîne le partage de données d'une grande sensibilité susceptibles de concerner une partie de la population française ; la Commission insiste donc sur l'importance de la gestion des habilitations, qui devra limiter l'accès à ces données aux seuls agents ayant le besoin d'en connaître, à savoir ceux intervenant pour le contrôle du respect de l'obligation vaccinale.
La Commission comprend des précisions apportées par le ministère que la procédure de contrôle de l'obligation vaccinale sera la suivante :
- les données d'identification contenues dans le système d'information « Vaccin Covid » seront croisées par la CNAM avec les données du fichier national des professionnels de santé (FNPS), créé par une décision de la CNAM, grâce au NIR, afin d'identifier les professionnels soumis à l'obligation vaccinale qui ne se seraient pas acquittés de cette obligation ;
- les listes des professionnels de santé libéraux non vaccinés (comportant le nom, prénoms, adresse d'exercice et numéro RPPS) seront transmises par messagerie sécurisée aux organismes locaux d'assurance maladie (directions régionales du service médical - « DRSM ») ;
- ces organismes transmettront ensuite ces fichiers aux agents spécialement habilités des ARS.
La Commission souligne que ces listes n'ont pas vocation à être envoyées à toutes les ARS : chaque ARS ne devra être rendue destinataire que des données dont elle a effectivement besoin. Ainsi, lorsque le contrôle se traduit uniquement par des échanges avec le professionnel concerné, seule l'ARS territorialement compétente devrait être destinataire d'informations sur son statut vaccinal. Si d'autres actions des ARS, auprès de certains lieux d'exercice ou de certaines professions, devaient être conduites en application de l'article 13 de la loi de gestion de la crise sanitaire, il conviendrait de veiller à ce que les données pertinentes ne soient rendues accessibles, dans la mesure du possible, qu'aux ARS intéressées.
Compte tenu des précisions apportées par le ministère sur, d'une part, la nature des données nécessaires à l'interconnexion du FNPS et du SI « Vaccin-Covid » (le NIR) et à la consultation du statut vaccinal ainsi que, d'autre part, sur la nature des données transmises aux agences régionales de santé (nom, prénoms, adresse d'exercice et numéro d'inscription au répertoire partagé des professionnels de santé - RPPS), la Commission s'interroge sur la pertinence de la collecte des autres données visées par le projet d'article 3 du décret, s'agissant notamment du sexe ainsi que des dates et lieux de naissance des professionnels.
Conformément au principe de minimisation prévu à l'article 5 du RGPD, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées pourront être transmises aux agents des ARS. En application de ce principe et à des fins de transparence vis-à-vis des personnes concernées, la Commission demande au ministère de préciser dans le décret la liste précise des données pouvant être transmises aux ARS dans ce cadre.
S'agissant de la réutilisation du fichier national des professionnels de santé
Ce fichier a été créé par une décision du 17 mars 2004 du président du conseil d'administration de la CNAM, qui détermine les caractéristiques essentielles du traitement mis en œuvre.
Concernant les finalités, le FNPS a été créé à des fins de gestion des informations nominatives relatives aux professionnels de santé pour la tarification de leurs prestations, du suivi de l'application des conventions, de gestion du risque, d'information des usagers sur la prise en charge des actes ainsi que d'automatisation de l'indemnisation des frais de formation.
La Commission estime que, dès lors que le fichier du FNSP est encadrée par des règles fixées par une décision de la CNAM, il est nécessaire que la CNAM vérifie la conformité de l'utilisation qu'il est projeté d'en faire avec ces règles. En l'état des informations dont elle dispose, la Commission estime que la CNAM doit a minima modifier la décision du 17 mars 2004 avant d'utiliser ce fichier pour constituer des listes de personnes non vaccinées. Cette utilisation devra en outre être documentée dans le registre des traitements de données à caractère personnel de la CNAM.
Concernant les données réutilisées, la Commission prend acte de ce que seules les données suivantes du FNPS seront réutilisées à des fins de constitution des listes des professionnels non vaccinés :
- le numéro RPPS. A cet égard, elle attire l'attention du ministère sur le fait que cette donnée n'est pas visée par la décision précitée ;
- l'adresse d'exercice professionnel du lieu d'établissement principal du professionnel.
Concernant les destinataires du FNPS, la Commission relève que si les organismes locaux d'assurance maladie sont qualifiés de destinataires du FNPS, tel n'est pas le cas des ARS. Elle considère toutefois que, compte tenu du contexte sanitaire actuel et des obligations introduites par des dispositions législatives, les ARS peuvent, à titre temporaire et pour une durée strictement nécessaire pour le contrôle du respect de l'obligation vaccinale des professionnels de santé, être destinataires des données conservées dans ce traitement.
Concernant les modalités d'information des professionnels concernés, la Commission relève que :
- le système d'information « Vaccin-Covid » ne comporte que les données des personnes éligibles à la vaccination (sauf opposition de la personne concernée en application de l'article 5-II 1° du décret n° 2020-1690) et les personnes vaccinées ;
- l'article 10 de la décision créant le FNPS prévoit qu'elle est portée à la connaissance des professionnels de santé au moyen de « publications qui leur sont régulièrement adressées ».
Les personnes concernées par ces deux traitements n'étant pas identiques, en considération de la sensibilité de la finalité poursuivie et eu égard au rapprochement de ces deux systèmes d'information, la Commission insiste sur la nécessité que la CNAM, en sa qualité de responsable de traitement du FNPS, et les ARS, en leur qualité de destinataires de données, informent tous les professionnels de santé de l'utilisation de ce fichier à des fins de constitution de liste permettant aux ARS de veiller au respect de l'obligation vaccinale. Elle demande à ce que l'article 3 du projet de décret soit complété en ce sens.
La Commission demande au ministère et à la CNAM d'informer les personnes concernées par le FNPS de la réutilisation de leurs données en conformité avec les dispositions du RGPD. Enfin, elle attire leur attention sur la nécessité de prévoir les modalités d'exercice des droits des professionnels concernés par ces traitements.
Sur la durée de conservation des données
La Commission rappelle que les listes des professionnels non vaccinés ne devront être conservées sous une forme permettant l'identification des personnes concernées que pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément à l'article 5.1.e du RGPD. Conformément aux dispositions de l'article 13 de la loi, les ARS peuvent conserver les résultats des vérifications de satisfaction à l'obligation vaccinale contre la covid-19 jusqu'à la fin de l'obligation vaccinale.
Dès lors que les listes des professionnels non vaccinés seront transmises par messagerie sécurisée, elle recommande qu'une attention particulière soit portée aux procédures et à la sensibilisation des agents des directions régionales du service médical (DRSM) et des ARS qui devront respecter les durées de conservation des données, notamment par la purge adéquate des messageries et des répertoires de stockage des fichiers des listes. En particulier, elle considère que les agents des DRSM devront effacer les listes dès leur accusé de réception par les ARS destinataires.
Enfin, elle comprend des échanges avec le ministère que les listes des professionnels non vaccinés seront transmises automatiquement aux ARS selon une fréquence à définir. Au regard de l'avancée quotidienne de la vaccination, la Commission estime nécessaire de réaliser un envoi régulier des listes, en s'assurant que seule leur version la plus récente soit conservée par les destinataires, afin que le statut vaccinal des professionnels visés soit le plus à jour possible et de ne pas solliciter des professionnels venant d'être vaccinés.