Un décret met en place le système "Contact Covid" de suivi des malades et des contacts
Un décret publié ce 13 mai en application de la loi prolongeant l'état d'urgence sanitaire vient détailler les modalités de mise en œuvre des systèmes d'information (Contact Covid, amelipro, et SI-DEP) pour "l'identification des chaînes de contamination du virus covid-19" et le suivi des personnes, qu'il s'agisse des "patients zéro" ou des "cas contact" : données recueillies, catégories de professionnels y ayant accès, garanties…
A peine publiée la loi du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions (voir nos articles ci-dessous), un décret du 12 mai publié ce 13 mai vient détailler les modalités de mise en œuvre des systèmes d'information "destinés à permettre l'identification des chaînes de contamination du virus covid-19 et assurer le suivi et l'accompagnement des personnes". Le texte porte donc à la fois sur la désignation des responsables de traitements, les catégories de données traitées, les accès et les destinataires, ainsi que sur la durée de conservation des données et les modalités d'exercice, par les personnes concernées, des droits prévus par la réglementation européenne sur le traitement des données à caractère personnel et la libre circulation de ces données.
Une adaptation du système d'information amelipro de la Cnam
Comme prévu, l'article Ier du décret autorise la Cnam (Caisse nationale d'assurance maladie) à "adapter le système d'information 'amelipro', aux fins de mettre en œuvre un traitement de données, dénommé 'Contact Covid'". Les finalités de ce traitement sont celles mentionnées dans l'article 11 de la loi du 11 mai (voir notre article ci-dessous du même jour). Il est également précisé que le fichier ainsi constitué recensera deux catégories de personnes : le "patient zéro" (personne testée positive ou confirmée positive par l'établissement de santé qui a posé le diagnostic) et le "cas contact" (personne qui a eu un contact avec le patient zéro durant la période, qui ne peut être supérieure à quatorze jours avant le diagnostic, pendant laquelle le patient zéro était susceptible d'être contagieux au virus du covid-19). Le décret précise que l''évaluation d'une personne comme "contact à risque de contamination" s'effectue "au regard des recommandations sanitaires du ministre chargé de la santé, prises après avis du Haut conseil de santé publique et rendues publiques".
Curieusement, le décret ne mentionne que les établissements de santé comme susceptibles de poser le diagnostic, alors que le diagnostic initial sera le plus souvent posé désormais par un médecin libéral.
36 données susceptibles d'être conservées
L'article 2 du décret détaille la liste des données sur lesquelles peut porter le traitement. Elle comporte pas moins de 36 items : 16 pour le patient zéro et 20 pour la personne évaluée comme contact à risque de contamination. S'y ajoutent les données d'identification des professionnels de santé – qui réapparaissent donc ici – ou des établissements "assurant l'enregistrement des données et réalisant le suivi".
Parmi les données du patient zéro figurent notamment, outre les données médicales, la déclaration d'un besoin d'accompagnement social et d'appui à l'isolement, la mention de la profession et du lieu d'exercice professionnel, la fréquentation dans les quatorze derniers jours, le cas échéant, de certaines catégories d'établissements (Ehpad, établissements médicosociaux, milieu scolaire, crèches, établissements de santé, établissements pénitentiaires), la participation, le cas échéant, à un rassemblement de plus de dix personnes (avec localisation et date), et surtout, pour le traçage, "les données d'identification et les coordonnées des personnes évaluées comme contacts à risque de contamination (nom, prénom, sexe, date de naissance, numéro de téléphone, adresse électronique)". Figurent aussi, parmi les données recueillies, "le cas échéant, le consentement du patient zéro à la divulgation de son identité à chaque personne évaluée comme étant un contact à risque de contamination" (conformément à la disposition figurant dans la loi du 11 mai).
Les données recueillies pour la personne évaluée comme contact à risque de contamination sont similaires, avec cependant quelques données spécifiques, comme "la confirmation du niveau de risque à la suite de sa réévaluation lors de l'entretien réalisé avec cette personne lors de l'enquête sanitaire", la connaissance éventuelle par cette personne du patient zéro (si ce dernier a consenti à divulguer son identité) ou encore la date du dernier contact avec le patient zéro.
Le décret prévoit, pour le patient zéro comme pour le cas contact, que les données relatives à "la déclaration d'un besoin d'accompagnement social et d'appui à l'isolement" ne peuvent être recueillies qu'avec le consentement des intéressés, même si ces données ne semblent pas les plus intrusives.
Le décret précise aussi qu'en l'absence, dans Contact Covid, des coordonnées des patients zéro et des personnes évaluées comme contact à risque de contamination, "les agents habilités des organismes nationaux et locaux d'assurance maladie peuvent les contacter au moyen des coordonnées administratives provenant de traitements de données déjà mis en œuvre par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie au titre de l'une de leurs missions".
Qui pourra consulter Contact Covid ?
Pour sa part, l'article 3 liste les catégories de professionnels autorisés à consulter les données de Contact Covid, "dans la limite de leurs besoins respectifs d'en connaître", et pour assurer les seules finalités du système d'information prévues par la loi et le décret. Le liste des autorisations varie selon la finalité concernée. Le décret reprend, en les précisant, les catégories qui étaient déjà citées dans la loi du 11 mai.
Pour le suivi épidémiologique, il est prévu que seules sont accessibles les données relatives aux personnes infectées et aux personnes contacts, "ayant fait l'objet de mesures adéquates de pseudonymisation permettant d'assurer la confidentialité de l'identité des personnes, notamment par la suppression des noms et prénoms des intéressés, de leur numéro d'inscription au répertoire national d'identification des personnes physiques, de leur adresse et de leurs coordonnées de contact téléphonique ou électronique" (ces deux derniers points étant consécutifs à une réserve du Conseil constitutionnel, voir notre article ci-dessous du 11 mai 2020).
Plus technique, l'article 4 précise les modalités d'identification et d'authentification des personnes autorisées à consulter les données recueillies. L'article 5 introduit les premières garanties pour les intéressés en prévoyant que "les données à caractère personnel contenues dans le traitement 'Contact Covid' ne peuvent être conservées à l'issue d'une durée de trois mois après leur collecte". Afin de garantir le respect de cette règle, les opérations de mise à jour, de suppression et de consultation du traitement font l'objet d'un enregistrement, conservé pendant une durée maximale de six mois à compter de la fin de l'état d'urgence sanitaire.
Des garanties, mais très limitées
L'article 6 prévoit les informations à fournir aux patients zéro et aux cas contacts, telles que définies dans le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Ces informations sont également mises en ligne sur les sites internet du ministère des Solidarités et de la Santé et de la Cnam.
L'article 7 est beaucoup plus restrictif, puisqu'il prévoit que les patients zéro ne peuvent exercer de droit d'opposition, sauf pour la transmission des données au GIP "Plateforme des données de santé". Il s'agit là, à la fois, de l'application de la loi du 11 mai (qui prévoit le recueil des données même sans le consentement du patient) et de l'article 23 du règlement (UE) du 27 avril 2016. Pour leur part, les personnes évaluées comme contacts à risque de contamination "peuvent exercer, pour des raisons tenant à leur situation particulière, leur droit d'opposition au traitement des données les concernant recueillies auprès des patients zéro, à moins que ne prévalent les intérêts impérieux de santé publique mentionnés au I de l'article 11 de la loi du 11 mai 2020". Lorsqu'il est fait droit à leur demande, leurs données sont alors effacées. Les demandes d'effacement, les droits d'accès et de rectification, ainsi que le droit à la limitation, s'exercent auprès du directeur de l'organisme de rattachement des personnes concernées.
Il y a Contact Covid, mais aussi SI-DEP pour le dépistage
Le décret du 12 mai comprend un important chapitre II, intitulé "Traitement SI-DEP" (système d'information national de dépistage) et regroupant les articles 8 à 13. SI-DEP est mis en œuvre sous la responsabilité du ministre de la Santé (direction générale de la santé) et sa gestion est assurée, "en qualité de sous-traitant", par l'Assistance publique-Hôpitaux de Paris.
Ce traitement "a pour finalités de centraliser les résultats d'examens de dépistage du covid-19 afin de les mettre à disposition des organismes chargés de déterminer les personnes ayant été en contact avec des personnes infectées, de réaliser des enquêtes sanitaires en présence de cas groupés pour rompre les chaînes de contamination, d'orienter, de suivre et d'accompagner les personnes concernées, et de faciliter le suivi épidémiologique aux niveaux national et local et la recherche sur le virus de même que les moyens de lutter contre sa propagation".
Les articles 8 à 13 précisent donc les catégories d'information enregistrées dans SI-DEP, les catégories de professionnels de santé ou d'organismes pouvant accéder à ces données, ainsi que les modalités de conservation des informations recueillies (pas plus de trois mois, comme pour Contact Covid). Ces articles posent également les règles – similaires à celles de Contact Covid – sur le droit d'opposition et de rectification des personnes concernées.
Des garanties sur les cellules d'enquête
Enfin, les dispositions communes et finales comportent un article 14 prévoyant que, pour leurs traitements mis en œuvre afin de répondre à la situation d'urgence sanitaire, les agences régionales de santé (ARS) peuvent avoir recours à des sous-traitants pour exercer les missions de réalisation des enquêtes sanitaires, d'orientation, de suivi et d'accompagnement des personnes et de surveillance épidémiologique (les cellules d'enquête et d'appui au dépistage et à l'isolement). Les ARS doivent alors s'assurer notamment que leurs sous-traitants "présentent des garanties de compétence suffisantes pour assurer la mise en œuvre des mesures techniques et organisationnelles appropriées et le respect des règles de confidentialité" (condition posée par une réserve du Conseil constitutionnel).
Pour sa part, l'article 15 assimile les hôpitaux des armées, les autres éléments du service de santé des armées et l'Institution nationale des Invalides à des établissements de santé pour la mise en œuvre des dispositions de la loi et du décret.
Références : Décret n°2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions (Journal officiel du 13 mai 2020). |
La Cnil entend bien veiller au grainDans son avis du 8 mai publié au Journal officiel en même temps que le décret, la Cnil estime les dispositifs de Contact Covid et de SI-DEP "conformes au RGPD si certaines garanties sont respectées". Elle considère en effet que "ces fichiers sont nécessaires à la mise en place de la politique sanitaire envisagée par le gouvernement pour le déconfinement", mais demande toutefois "que cette nécessité soit régulièrement réévaluée".
|