[PLF 2025] Suivez en temps réel le projet de loi finance 2025 sur Pappers Politique !

Pappers Politique vous permet de rechercher et surveiller les amendements, rapports, questions, propositions de loi des députés et sénateurs
  • Suivi automatiquement de vos amendements
  • Suivez en temps réel les débats parlementaires
  • Cartographie parlementaire avancée
Réserver une démo

Délibération n° 2021-144 du 2 décembre 2021 portant avis sur un projet de décret modifiant le décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions et le décret n° 2020-1690 du 25 décembre 2020 autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19 (demande d'avis n° 21020478)

Santé
Industrie
Justice et droit
Déposé le 1 décembre 2021 à 23h00, publié le 16 décembre 2021 à 23h00
Journal officiel

Texte

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis concernant un décret modifiant le décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions, et le décret n° 2020-1690 du 25 décembre 2020 autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission, ayant reçu la veille de la séance une saisine rectificative portant sur l'ajout des données relatives à l'enregistrement dans le fichier en cause de données relatives aux vaccinations contre la grippe concomitante à la vaccination contre la covid-19, estime que ces nouvelles dispositions posent des questions délicates. Elles nécessitent que le Gouvernement apporte certaines précisions et que la CNIL dispose d'un temps d'instruction supplémentaire. La CNIL n'étant pas en mesure de rendre un avis éclairé sur cette saisine rectificative dans la présente délibération, elle renvoie cette question à une séance ultérieure et se prononce uniquement sur les dispositions de la saisine initiale.
A titre liminaire et de façon générale, la Commission relève que le décret n° 2020-1690 du 25 décembre 2020 relatif au traitement Vaccin Covid ne réglemente pas la durée de conservation des données qui y sont enregistrées. Quoique ces durées lui aient été présentées lors de la saisine du décret initial créateur du traitement et bien que l'avis rendu à l'époque n'ait pas relevé ce point, la Commission estime qu'il serait préférable que le décret prévoie des durées de conservation obligatoires. Dès lors qu'un traitement est encadré par un acte réglementaire, la Commission estime en effet que cet acte doit fixer, au titre des règles d'organisation du service public en cause, les principales caractéristiques du traitement de données personnelles opéré par l'administration dans le cadre de ses missions. A ce titre, et quoique l'article 35 de la loi « informatique et libertés » ne prévoit pas spécifiquement, pour les traitements qu'il concerne, que l'acte réglementaire d'autorisation du traitement régisse les durées de conservation, la CNIL estime, de doctrine constante, que l'inscription de telles durées constitue en principe une garantie indispensable. Elle invite donc le gouvernement à compléter le décret sur ce point.
Sur la délivrance de justificatifs et la génération de codes QR à partir du traitement SI-DEP et de Vaccin Covid :
Le projet prévoit la modification des dispositions applicables au traitement « SI-DEP », qui contient notamment les résultats de tests à la covid-19, afin de permettre la génération de plusieurs codes QR et certificats.
Ainsi, il modifie les articles 8 et 9 du décret du 12 mai 2020 pour que ce traitement permette la génération et l'envoi d'un justificatif d'absence de contamination au virus SARS-CoV-2 ou un certificat de rétablissement, afin de satisfaire aux obligations mentionnées au II de l'article 1er de la loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire et au chapitre II de la loi n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire.
L'article 9 du décret actuellement en vigueur permet, en cas d'examen de dépistage positif, de faire parvenir à la personne concernée un code QR aléatoire ne concernant aucune information permettant de l'identifier apposé sur les résultats des examens de dépistage. Après modification par le projet de décret, le traitement « SI-DEP » permettrait :



- en cas de résultat négatif d'un examen de dépistage virologique au virus SARS-CoV-2, d'apposer sur tout résultat négatif d'examen de dépistage, les codes QR suivants, contenant des données identifiantes (noms, prénoms et date de naissance de la personne concernée, informations relatives à l'examen de dépistage) :
- un code QR valant justificatif d'absence de contamination par la covid-19 ou certificat de rétablissement, pouvant être présenté pour satisfaire aux obligations mentionnées au II de l'article 1er de la loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire et au chapitre II de la loi n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire ;
- ainsi qu'un code QR permettant l'import de ce justificatif ou certificat dans l'application mobile mentionnée à l'article 1er du décret du 29 mai 2020 susmentionné ;
- en cas de résultat positif d'un examen de dépistage virologique au virus SARS-CoV-2, d'apposer sur tout résultat positif d'un examen de dépistage un code QR ne comportant aucune information permettant d'identifier la personne concernée généré aléatoirement. Ce code QR sera envoyé à la personne concernée afin qu'elle puisse l'ajouter dans l'application « Tous Anti Covid » (TAC) afin d'informer les autres personnes utilisatrices de TAC qu'il existe un risque qu'elles aient été contaminées par le virus SARS-CoV-2 en raison du fait qu'elles se sont trouvées à proximité d'un utilisateur de cette application ayant été diagnostiqué ou dépisté positif à cette pathologie.



Le projet modifie l'article 1er du décret du 25 décembre 2020 afin que le traitement « Vaccin COVID » permette la délivrance d'un justificatif de statut vaccinal pouvant être présenté pour satisfaire aux obligations vaccinales ou la présentation du passe sanitaire.
La Commission estime que ces ajouts sont légitimes et permettent de générer au bénéfice des personnes concernées toutes les attestations découlant des informations conservées dans le fichier dont elles auraient besoin au regard de la législation en vigueur.
Sur les autres modifications du traitement « SI-DEP » :
Sur les destinataires :
Le projet de décret modifie l'article 10 du décret du 12 mai 2020 afin de compléter la liste des destinataires de certaines données contenues dans le traitement « SI-DEP ».
D'une part, selon le projet de décret, « les médecins traitants et les professionnels de santé prescripteurs » pourront accéder à certaines informations de SI-DEP. La Commission invite le ministère à préciser que les professionnels de santé prescripteurs visés sont ceux prescrivant les examens de dépistage virologique ou sérologique.
D'autre part, le projet prévoit que la Caisse nationale d'assurance maladie (CNAM) puisse être destinataire de données contenues dans le traitement « SI-DEP » (données d'identification, caractéristiques techniques du prélèvement, informations relatives au résultat des examens de dépistage virologique ou sérologique) afin d'alimenter le dossier médical partagé (DMP) des personnes concernées.
Selon les précisions du ministère, une telle alimentation permettra de conserver l'historique daté des résultats de tests de dépistage afférents. Le ministère indique que, bien que l'article R. 1111-30 du code de la santé publique (CSP) prévoie que les comptes rendus de biologie médicale sont versés dans le DMP, moins de 5 % environ des comptes rendus émanant de laboratoires de biologie médicale prenant directement en charge le patient y sont effectivement versés. Le projet vise donc à assurer la complétude des DMP, par un versement centralisé effectué par la CNAM.
Si ce mode d'alimentation semble acceptable compte tenu des circonstances, la Commission considère, au vu des risques qu'entraînerait cette alimentation dérogatoire du mode de fonctionnement nominal du DMP, qu'elle ne saurait ni être généralisée, ni perdurer au-delà de l'utilisation de SI-DEP, ni être étendue à d'autres flux de données ; elle juge essentiel que le DMP reste alimenté nominalement par les professionnels de santé, conformément aux dispositions du CSP applicables. La Commission invite également le ministère à déterminer une durée de conservation propre aux données de SI-DEP remontées dans le DMP.
Conformément à l'article L. 1111-14 du CSP, le DMP est ouvert automatiquement, sauf opposition de la personne concernée ou de son représentant légal, depuis le 1er juillet 2021. Selon les précisions du ministère, seules les données relatives à des personnes ne s'étant pas opposées à la création de leur DMP pourront y être versées. La Commission invite la CNAM à prendre les mesures nécessaires afin que les données de personnes ne disposant pas d'un DMP soient immédiatement effacées à réception selon une procédure adaptée.
Sur les données d'identification des professionnels de santé :
Le projet modifie l'article 9 du décret du décret afin d'ajouter le numéro ADELI aux données d'identification traitées concernant les professionnels de santé. Le répertoire ADELI recensant les professionnels qui ne sont pas dans le répertoire partagé des professionnels intervenant dans le système de santé (RPPS), cette évolution n'appelle pas d'observations de la part de la Commission.
Sur l'utilisation d'un dispositif automatique connecté à « SI-DEP » par les professionnels :
Le projet modifie l'article 10 du décret afin d'imposer aux professionnels recourant à un dispositif automatique pour renseigner les résultats des examens de dépistage virologique ou sérologique dans le traitement « SI-DEP », que celui-ci figure sur une liste publiée des dispositifs respectant les conditions de sécurité fixées par arrêté du ministre chargé de la santé pris en application du III de l'article 11 de la loi n° 2020-546 du 11 mai 2020. La Commission relève qu'à la date de son avis, l'arrêté n'est pas publié et invite le ministère à le publier dans les meilleurs délais.
La Commission accueille favorablement cette modification, mais relève que la rédaction retenue pourrait laisser entendre que la conformité du dispositif retenu pèse intégralement sur les professionnels utilisateurs. Si, en leur qualité de responsable de traitement, le choix du dispositif leur revient en effet, la Commission suggère néanmoins au ministère de faire apparaître plus clairement que la charge du référencement repose sur les prestataires proposant ces dispositifs, en leur qualité de sous-traitant.
Elle invite donc le ministère à modifier le projet de décret afin qu'il impose aux éditeurs de ces dispositifs automatiques d'obtenir leur référencement sur la liste, préalablement à leur commercialisation.
Sur les modifications du traitement « Vaccin COVID » :
Le projet modifie l'article 3 du décret du 25 décembre 2020 afin de préciser que les professionnels de santé, ainsi que les personnes placées sous leur responsabilité, peuvent accéder à certaines informations du traitement « Vaccin COVID » afin de réaliser le rappel des personnes pour lesquelles l'injection d'une dose complémentaire de vaccin est recommandée et de délivrer les justificatifs de statut vaccinal. La Commission en prend acte.
Le projet de décret modifie également l'article 1er du même décret afin d'élargir l'usage du traitement dans le cadre du contrôle de l'obligation vaccinale des personnes y étant soumises. Le décret, dans sa version en vigueur, prévoit en effet que le traitement « Vaccin COVID » a pour finalité « la mise à disposition de données permettant le contrôle de l'obligation vaccinale des personnes mentionnées au deuxième alinéa du II de l'article 13 de la loi n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire ». Les modifications envisagées, afin de prévoir que « Vaccin COVID » puisse être utilisé à des fins de « contrôle de l'obligation vaccinale des personnes mentionnées au I de l'article 12 de la loi n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire, tel que prévu au II de l'article 13 de la même loi », permettraient une consultation directe de ce traitement par les personnes responsables de la vérification du respect de l'obligation vaccinale.
Par ailleurs, le projet de décret modifie l'article 3 du décret afin d'ajouter parmi les destinataires des données traitées dans « Vaccin COVID » les responsables de structures dans le domaine de la santé mentionnées au 1° du I de l'article 12 de la loi n° 2021-1040 du 5 août 2021 modifiée dont les personnels sont soumis à l'obligation vaccinale, et les agents qu'ils habilitent à accéder à certaines données de ces personnels (identification, coordonnées et données relatives à la réalisation de la vaccination).
La Commission comprend que ces modifications du décret visent à permettre, dans le cadre du contrôle de l'obligation vaccinale, deux types d'accès : l'un direct, pour les employeurs de structures dans le domaine de la santé, et l'un indirect via les agences régionales de santé pour les autres employeurs.
Si la Commission relève que l'article 13 de la loi n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire, modifiée par la loi du 10 novembre 2021, a prévu que les employeurs, et ainsi, les responsables des structures dont les personnels sont soumis à l'obligation vaccinale, pouvaient contrôler le respect de cette obligation, elle souligne que le législateur prévoit qu'il appartient également aux personnes concernées de justifier qu'elles se sont effectivement soumises à leurs obligations.
La Commission rappelle que le dispositif « Vaccin COVID » contient des informations couvertes par le secret médical prévu à l'article L. 1110-4 du CSP. Le législateur a expressément prévu, au II de l'article 13 de la loi précitée, que les dispositions de l'article L. 1110-4 du CSP ne font pas obstacle au contrôle du respect de l'obligation par l'employeur.
La Commission déduit de la combinaison de ces dispositions que le contrôle par la consultation directe du dispositif « Vaccin COVID », qui ne serait en pratique ouvert qu'à certaines catégories d'employeurs particuliers qui ont accès à ce fichier pour d'autres missions, devrait présenter un caractère subsidiaire, notamment lorsqu'aucun justificatif n'a été produit par le salarié, par exemple en cas d'urgence ou de suspicion de faux passe sanitaire.
Elle invite, en tout état de cause, le ministère à prévoir les mesures associées de limitation des accès dans le « Vaccin COVID », et les structures bénéficiant d'un accès direct à « Vaccin COVID » à n'habiliter que des personnes dont les missions sont liées à la gestion des activités du personnel.
Sur l'information des personnes concernées :
Le projet de décret, prévoit dans son article 3, que les personnes dont les données ont été collectées préalablement à son entrée en vigueur sont informées sans délai des modifications intervenues sur les dispositifs concernés par les responsables de traitement qui assurent cette information sur leurs sites web respectifs, ou par tout autre moyen permettant de porter cette information à la connaissance des personnes concernées. La Commission accueille favorablement cette modification.
Sur la sécurité des dispositifs « Vaccin COVID » et « SI-DEP » :
Ces systèmes, mis en place en urgence et n'ayant pas vocation à être mis en œuvre de manière pérenne, ont vu leur existence régulièrement prolongée du fait de la crise sanitaire.
La Commission invite en conséquence les responsables des traitements concernés à relever le niveau de sécurité de ces systèmes afin que les mesures appliquées soient en adéquation avec les menaces actuelles et à venir. La Commission invite également les responsables des traitements concernés à mettre à jour leurs analyses d'impact sur la protection des données.
Enfin, plus spécifiquement, la Commission invite les responsables de traitement à renforcer les mesures de sécurité encadrant les échanges de données et, notamment, à déployer des mécanismes de défense en profondeur en cas de défaillance d'une mesure de sécurité.

La présidente,


M.-L. Denis