II. MAINTENIR LA VIGILANCE SUR LE DÉPLOIEMENT DES SYSTÈMES D'INFORMATION
A. DÉPISTAGE ET TRAÇAGE : DES TRAITEMENTS DE DONNÉES INÉDITS ET ENCADRÉS POUR APPUYER LA LUTTE CONTRE L'ÉPIDÉMIE
Dans le cadre de la stratégie de déconfinement présentée au Parlement à la fin du mois d'avril, le Gouvernement a souhaité instaurer un système de suivi des contacts 9 ( * ) pour identifier et tester les patients atteints de covid-19, retracer leurs « cas-contacts » et leur proposer un accompagnement médical et social. L'objectif, en alertant au plus tôt les personnes susceptibles d'être infectées, est de briser les chaînes de contamination et d'endiguer la propagation exponentielle de la maladie.
Le déploiement de moyens humains pour retracer ces cas-contacts s'est accompagné de la création ou de l' adaptation de systèmes informatiques . Il s'agit ainsi de doter les « brigades sanitaires » d'outils numériques leur permettant de traiter un nombre très élevé de cas et de diminuer le temps de réponse des autorités sanitaires.
La base juridique de ces fichiers et leur fonctionnement concret ont déjà été analysés par le rapporteur lors de l'examen des textes qui les ont institués 10 ( * ) et modifiés 11 ( * ) , et en dernier lieu dans son rapport sur le projet de loi prorogeant le régime transitoire institué à la sortie de l'état d'urgence sanitaire (dont la discussion a été interrompue au profit du présent texte), auquel il est renvoyé 12 ( * ) .
Pour l'essentiel, il s'agit :
- du « système d'information national de dépistage » ( SI-DEP ), mis en oeuvre sous la responsabilité du ministère de la santé, essentiellement par les laboratoires de test et les médecins, qui sert à enregistrer les résultats des laboratoires de tests covid-19 et permet le suivi des opérations de dépistage et la diffusion des résultats des tests ;
- du téléservice « Contact covid », élaboré par l'Assurance maladie, qui permet le suivi des personnes contaminées et des cas-contacts .
Ces systèmes d'information ont été mis en place le 13 mai 2020 13 ( * ) . Selon l'étude d'impact, au 11 octobre 2020, 527 391 patients zéros et 1 518 117 cas-contacts ont été identifiés dans le cadre de ces dispositifs . Témoignant de l'extrême virulence de la reprise de l'épidémie, ces chiffres ont ainsi plus que doublé en seulement un mois (pour mémoire, au 13 septembre, 231 871 patients zéros et 642 295 cas-contacts avaient été identifiés).
Les garanties encadrant le traitement des données de santé par les systèmes d'information destinés au suivi des contacts et à la lutte contre la covid-19
L'article 11 de la loi du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions fixe un cadre juridique général pour les systèmes d'information déployés en appui à la lutte contre la propagation de l'épidémie de covid-19 et que doivent respecter les traitements de données ultérieurement créés ou modifiés.
Il autorise expressément que le partage de données traitées dans le cadre de ces systèmes d'information déroge au secret médical 14 ( * ) et à la nécessité de recueillir le consentement des intéressés.
Eu égard au caractère exceptionnel et particulièrement sensible de ces traitements, le législateur les a assortis d'importantes garanties, qui répondent ainsi aux exigences du Règlement général sur la protection des données (RGPD) :
- limitation du périmètre des données de santé pouvant être traitées (statut virologique ou sérologique de la personne à l'égard du virus et éléments probants de diagnostic clinique et d'imagerie médicale) ;
- double encadrement dans le temps, non seulement pour la durée de vie des systèmes d'information (jusqu'à « six mois à compter de la fin de l'état d'urgence sanitaire »), mais également pour la durée autorisée pour le traitement des données personnelles collectées (« trois mois après leur collecte ») ;
- identification précise des responsables de traitement pour les dispositifs envisagés (ministre chargé de la santé, l'Agence nationale de santé publique, l'Assurance maladie et les agences régionales de santé) et des catégories de personnes pouvant avoir accès à ces informations (agence nationale de santé publique, organismes d'assurance maladie, agences régionales de santé, service de santé des armées, communautés professionnelles territoriales de santé, établissements de santé, maisons de santé, centres de santé et médecins concernés, laboratoires de biologie médicale...) ;
- limitation des finalités poursuivies (identification des personnes infectées et des personnes à risque - « cas-contacts » -, orientation et suivi de ces dernières, recherche et surveillance épidémiologique) ;
- instauration de contrôles spécifiques, par un « comité de contrôle et de liaison covid-19 » (chargé d'associer la société civile et le Parlement aux opérations de lutte contre la propagation de l'épidémie par suivi des contacts ainsi qu'au déploiement des systèmes d'information prévus à cet effet) et l'obligation de remise d'un rapport trimestriel au Parlement rendu après avis public de la CNIL .
C'est au regard de l'ensemble de ces garde-fous, et après leur analyse détaillée, que le Conseil constitutionnel a déclaré les dispositions autorisant ces traitements de données conformes à la Constitution 15 ( * ) .
Deux spécificités concernent plus particulièrement l'utilisation de ces fichiers aux fins de surveillance épidémiologique et de recherche sur le virus :
- les données traitées à ces fins doivent être pseudonymisées (les nom, prénoms, adresse et numéro de sécurité sociale des intéressés doivent être supprimés, ainsi que, en application d'une réserve d'interprétation du Conseil constitutionnel 16 ( * ) , leurs coordonnées de contact - téléphone, courriel) ;
- la durée de conservation autorisée pour ces données est allongée 17 ( * ) par rapport aux autres dans la limite de la durée d'autorisation des traitements (soit six mois après la fin de l'état d'urgence sanitaire).
Si la volumétrie prouve à elle seule à quel point ces systèmes d'information sont utiles à l'action des brigades sanitaires sur le terrain, la CNIL pointe une insuffisance regrettable du Gouvernement dans l'évaluation concrète de l'efficacité sanitaire de ces dispositifs : dans son avis accompagnant le rapport remis au Parlement sur les systèmes d'information 18 ( * ) , elle demande ainsi à « disposer d'indicateurs de performance des systèmes d'information déployés, afin de pouvoir mesurer leur efficacité au regard des objectifs poursuivis » et « estime qu'une grille d'analyse devrait être établie au regard d'indicateurs d'efficacité sanitaire ».
* 9 Le suivi de contacts (« contact tracing ») est une politique de santé publique traditionnelle contre les épidémies qui vise à ralentir la propagation de l'agent pathogène. L'utilité de retracer sur plusieurs jours les interactions passées des personnes diagnostiquées positives au virus s'explique par l'existence d'une phase asymptomatique de la maladie : le virus n'est pas détectable aux premiers stades de la contamination, alors que le porteur est déjà contagieux. Il est donc particulièrement utile d'identifier rapidement les personnes avec lesquelles un malade diagnostiqué a pu se trouver en contact pendant la période d'incubation pour éviter que ces dernières ne contaminent à leur tour d'autres gens pendant cette phase asymptomatique.
* 10 Rapport n° 416 (2019-2020) de M. Philippe BAS, au nom de la commission des lois, sur le projet de loi prorogeant l'état d'urgence sanitaire et complétant ses dispositions, consultable à l'adresse suivante : https://www.senat.fr/rap/l19-416/l19-416.html
* 11 Rapport n° 540 (2019-2020) de M. Philippe BAS, au nom de la commission des lois, sur le projet de loi organisant la sortie de l'état d'urgence sanitaire, consultable à l'adresse suivante : https://www.senat.fr/rap/l19-540/l19-540.html
* 12 Rapport n° 9 (2020-2021) de M. Philippe BAS, au nom de la commission des lois, sur le projet de loi prorogeant le régime transitoire institué à la sortie de l'état d'urgence sanitaire, consultable à l'adresse suivante : https://www.senat.fr/rap/l20-009/l20-0091.html#toc21
* 13 Décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions.
* 14 Aux termes de l'article L. 1110-4 du code de la santé publique : « Toute personne prise en charge (...) a droit au respect de sa vie privée et du secret des informations la concernant. / Excepté dans les cas de dérogation expressément prévus par la loi, ce secret couvre l'ensemble des informations concernant la personne venues à la connaissance du professionnel, de tout membre du personnel de ces établissements, services ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s'impose à tous les professionnels intervenant dans le système de santé. »
* 15 Voir la décision n° 2020-800 DC du 11 mai 2020 , Loi prorogeant l'état d'urgence sanitaire et complétant ses dispositions . Selon le considérant de principe énoncé par le Conseil constitutionnel : « Il résulte du droit au respect de la vie privée que la collecte, l'enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d'intérêt général et mis en oeuvre de manière adéquate et proportionnée à cet objectif. Lorsque sont en cause des données à caractère personnel de nature médicale, une particulière vigilance doit être observée dans la conduite de ces opérations et la détermination de leurs modalités ».
* 16 Décision n° 2020-800 DC du 11 mai 2020, précitée, considérant 67.
* 17 Reconnaissant l'utilité pour la recherche et la veille épidémiologique de pouvoir disposer de ces données plus de trois mois après leur collecte (durée au-delà de laquelle elles devraient normalement être détruites), le législateur a autorisé une dérogation de portée limitée à cette obligation dans la loi du 9 juillet 2020 organisant la sortie de l'état d'urgence sanitaire. La conservation reste possible, mais toujours), pour cette seule finalité, pour des données non directement identifiantes, et de façon encadrée par un décret soumis à avis public de la CNIL et du comité de contrôle et de liaison.
* 18 Aux termes du IX de l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions : « Le Gouvernement adresse au Parlement un rapport détaillé de l'application [des] mesures tous les trois mois à compter de la promulgation de la [...] loi et jusqu'à la disparition des systèmes d'information développés aux fins de lutter contre la propagation de l'épidémie de covid-19 ». Le législateur a également prévu que ces rapports successifs soient complétés par un avis public de la Commission nationale de l'informatique et des libertés.