Dans le cadre des mesures de lutte contre la propagation du virus Sars CoV 2, une loi a été votée le 11 mai 2020 pour proroger l’état d’urgence sanitaire institué depuis le 23 mars.
Elle institue des traitements de données personnelles qui vont centraliser les résultats de test de dépistage du COVID-19 au niveau national et identifier les personnes ayant été en contact avec un malade.
Ceux-ci pourront être poursuivis tant qu’il seront considérés comme nécessaire à la lutte contre la propagation du virus avec comme durée maximum 6 mois après la fin de l’état d’urgence sanitaire, soit, en l’état actuel de la loi, jusqu’au 10 janvier 2021.
DÉPISTAGE DU COVID-19 : UNE DÉROGATION AU SECRET MÉDICAL POUR RETRACER LES CHAINES DE CONTAMINATION
Le décret d’application précisant les contours des traitements a été adopté le 12 mai.
Le dispositif mis en place consiste en deux traitements distincts :
– le fichier CONTACT-COVID
L’objectif du traitement, mis en œuvre par la Caisse Nationale d’assurance Maladie, est d’identifier les personnes contaminées par le COVID-19, retracer et casser les chaînes de contamination.
Contrairement au projet d’application STOP-COVID, il n’est point question de recours aux nouvelles technologies pour retrouver les contacts, mais d’enquêtes effectuées par des fonctionnaires habilités.
La loi exclue d’ailleurs de ce traitement le projet d’application pour téléphone STOP-COVID.
Le principe consiste, une fois une personne dépistée et positive au COVID-19 à procéder à une enquête sanitaire de nature à déterminer les personnes avec lesquelles elle a été en contact dans les 14 jours précédant le diagnostic.
Ce travail est effectué par le médecin traitant.
Les personnes identifiées sont ensuite contactées par le personnel habilité de la Caisse primaire d’assurance maladie pour les informer, et leur demander de se faire dépister.
La personne dépistée et positive peut faire l’objet d’une mesure d’ « isolation prophylactique », c’est à dire d’une demande d’isolation volontaire.
Elle fait également l’objet d’un suivi médical.
Le fichier CONTACT-COVID a également pour finalité de permettre le suivi de la propagation de l’épidémie de COVID-19, et la recherche sur le virus.
– le fichier SI-DEP
L’objectif de ce fichier dont le responsable est le ministère de la santé, est plus spécifiquement de centraliser les résultats des analyses biologiques.
Ces résultats sont ensuite mis à disposition des autorités sanitaires chargées de retracer les chaines de contamination et d’informer les « cas contacts ».
QUI EST CONCERNE : « PATIENT ZÉRO » ET « CAS CONTACTS » (POSITIFS et NÉGATIFS)
L’article 1 du décret définit les catégories de personnes dont les données seront inscrites au fichier :
– Le « patient zéro » : il s’agit des personnes infectées qui se font dépister à l’occasion d’une consultation chez leur médecin traitant ou en laboratoire ;
– Les « cas contact » : ce sont les personnes dont l’enquête a déterminé qu’elles ont été en contact avec une personne infectée dans les 14 jours précédant le diagnostic.
Le fichier comprendra également les données de personnes dont les résultats de dépistage du COVID-19 sont négatifs, et ce à des fins de recherches sur la propagation du virus.
QUELLES DONNÉES SERONT INSCRITES AU FICHIER DE DÉPISTAGE DU COVID-19?
– Des données de santé
Des données de santé seront inscrites au fichier.
Le traitement de ces données est en principe interdit par le Règlement général sur la protection des données (« RGPD »).
Des exceptions sont toutefois prévues et le décret d’application se fonde sur l’article 9 2. i) du Règlement, qui prévoit que le traitement est possible s’il est nécessaire pour des « motifs d’intérêt public dans le domaine de la santé publique ».
Le considérant n°47 du règlement fait d’ailleurs expressément référence au « suivi des épidémies et leur propagation ».
Afin de garantir une limitation au maximum des informations traitées, l’article 5-1. c) du RGPD prévoit que seules les données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités » peuvent être collectées (principe dit de « minimisation des données »).
En l’espèce, et conformément à ce principe, seules les données relatives au statut sérologique ou virologique de la personne à l’égard du SARS CoV 2 seront inscrites au fichier.
Par conséquent, ne figureront pas dans le fichier les facteurs (dits « de comorbidité ») pouvant conduire à une forme sévère de la maladie que peuvent être par exemple une affection telle le diabète, le surpoids, ou une maladie chronique.
– Des données d’identification et d’historique de localisation destinées à l’enquête sociale
De nombreuses autres données seront inscrites au fichier, pour le « patient zéro » comme pour les « cas contact ».
– Celles permettant leur identification : nom, prénom, date de naissance, sexe, numéro de sécurité sociale.
– Des données de contact : adresse, numéro de téléphone, adresse courriel ;
– Les coordonnées et la spécialité du médecin à l origine de l’inscription ;
– Les lieux fréquentés les 14 jours précédant le diagnostic ou le contact avec une personne infectée à savoir :
– Les régions ou États dans lesquels la personne s’est rendue ;
– Les établissements fréquentés: établissements d’hébergement pour personnes âgées dépendantes, établissements médicaux sociaux, école, crèche, ou encore établissement pénitentiaire (cette donnée constituant d’ailleurs une donnée relative à une condamnation pénale dont le traitement est interdit en principe par l’article 10 du RGPD.)
– La participation dans les 14 jours précédents, à un rassemblement de plus de 10 personnes.
– Pour les « cas contacts », la date du dernier contact avec le « patient zéro », et la connaissance, le cas échéant, de l’identité de ce dernier.
L’INSCRIPTION AU FICHIER : UNE OBLIGATION POUR LES MÉDECINS
L’article 11 VI de la loi du 11 mai 2020 prévoit que les médecins auront l’obligation de transmettre les données des personnes dont les tests de dépistage du COVID-19 se révèlent positifs.
L’article 11 I. prévoit d’ailleurs explicitement que l’inscription des données dans le fichier pourra se faire sans le consentement des personnes intéressées.
Cette obligation est une dérogation légale au secret médical, très protégé par le droit français et figurant à l’article L.1110-4 du Code de la santé publique.
LES DROIT DES PERSONNES CONCERNÉES : L’OPPOSITION A L’INSCRIPTION AU FICHIER NE SERA PAS POSSIBLE
– L’information des personnes concernée
Conformément aux dispositions des articles 13 et 14 du RGPD, toutes les personnes concernées seront informées de leur inscription au fichier préalablement à celle-ci.
L’information comprendra notamment :
– l’identité du responsable du traitement ;
– la nature des données collectées ;
– les personnes qui en seront destinataires ;
– la durée de conservation des données ;
– les droits d’accès et de rectification des données si elles sont erronées.
moment de l’information:
Les « patients zéro » seront informés au moment de la collecte des données.
Les « cas contact » le seront lors de la première prise de contact dans le cadre de l’enquête sanitaire.
– Une limitation du droit d’opposition fondée sur l’impératif de santé publique
Les « patients zéro » ne pourront pas s’opposer à ce que leurs données figurent dans le fichier SI-DEP ou CONTACT-COVID.
La loi fait en cela usage de la faculté offerte à l’article 23 du RGPD, qui prévoit que les droits des personnes peuvent être limités dans certains cas précis, dont l’impératif de sécurité publique, lorsqu’une telle limitation « respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique. ».
En l’espèce, le considérant 73 place dans cette catégorie les traitements mis en place pour garantir « la protection de la vie humaine, particulièrement en réponse à des catastrophes d’origine naturelle ou humaine ».
Tout au plus les « patients zéro » pourront-ils, pour des raisons relatives à leur situation particulière, s’opposer à ce que leurs données soient transmises à la « Plateforme des données de santé » pour des fins de recherches ultérieures sur le virus.
Les cas contacts considérés comme « à risque de contamination » en vertu des recommandations sanitaires pourront, quant à eux, s’opposer à ce que leurs données figurent au fichier.
Ils devront pour cela exposer des raisons tenant à leur situation particulière.
L’effacement de leurs données pourra néanmoins être refusé « pour des motifs impérieux de santé publique ».
– Le consentement : uniquement requis pour la divulgation de l’identité des patients zéro.
La loi prévoit que les données d’identification des personnes infectées ne pourront être communiquées aux personnes avec qui elles ont été en contact que si elles y consentent expressément.
QUI AURA ACCÈS AUX FICHIERS DE RÉSULTATS DE DÉPISTAGE DU COVID-19?
Un très grand nombre de professionnels de santé aura accès aux fichiers:
Le médecin généraliste, les techniciens de laboratoire, les fonctionnaires de l’assurance maladie, les pharmaciens,…
La CNIL dans sa délibération du 8 mai 2020 a préconisé un degré d’habilitation limité, pour chaque finalité, au besoin d’en connaitre.
Il s’agit de limiter au maximum l’accès des données aux seules missions pour lesquelles chaque intervenant de santé est habilité.
Par exemple, le décret prévoit que les pharmaciens auront accès au fichier car l’inscription vaut prescription de masque remboursée par le régime d’assurance santé.
Ces professionnels ne verront cependant que les données d’identification et les coordonnées de contact des personnes inscrites, à l’exclusion de tout autre information, dès lors que leur mission ne nécessite pas d’en connaître d’avantage.
Le projet de loi prévoyait, outre les professionnels de santé, l’accès du fichier aux « organismes qui assurent l’accompagnement social des intéressés ».
Le Conseil constitutionnel, dans sa décision du 11 mai 2020, a censuré cette disposition, estimant que l’accompagnement social ne relevait pas directement de la lutte contre l’épidémie.
Il indique que, pour toute transmission de données à ces organismes, le consentement de la personne devra être recueilli.
COMBIEN DE TEMPS LES INFORMATIONS SERONT CONSERVÉES ?
Les informations relatives aux personnes dépistées ainsi qu’à leurs contacts seront conservées pour une durée maximum de trois mois.
A l’issue de cette période, elles devront être détruites.
La présidente de la CNIL a indiqué que des contrôles seront effectués dès les premières semaines de la mise en place de ces deux nouveaux fichiers, afin de vérifier si leur mise en œuvre est conforme aux dispositions du RGPD.