Pour lutter contre la crise sanitaire liée à la
Covid-19, les pouvoirs publics ont recours à des dispositifs numériques
impliquant le traitement de données personnelles et l’application des règles de
protection des données personnelles, que la crise sanitaire n’a pas pour effet
de suspendre. Le Comité européen de la protection des données (CEPD) a en effet
déclaré dès le 19 mars : « l’urgence est une circonstance
juridique susceptible de légitimer des restrictions aux libertés à condition que
ces restrictions soient proportionnées et limitées à la période
d’urgence ».
Les règles à suivre pour la mise en place de dispositifs
en lien avec la pandémie ont été précisées par le CEPD et la Commission
nationale de l’informatique et des libertés (CNIL), laquelle s’est de plus
engagée à traiter en priorité tous les dossiers relatifs à l’épidémie.
La plupart des dispositifs numériques mis en place par
les pouvoirs publics entraînent le traitement massif de données de santé qui,
par exception, sera considéré comme licite s’il est notamment justifié par un
motif d’intérêt public et sans qu’il soit alors nécessaire de recueillir le
consentement de la personne concernée. Ces dispositifs comprennent
l’application de suivi de contacts « StopCovid » (I), la plateforme
des données de santé « Health data Hub » (II), les fichiers COVID et
SI-DEP (III), et les caméras thermiques (IV), dont le présent article propose
d’analyser certains aspects.
L’application StopCovid
L’application mobile StopCovid est un dispositif de
déconfinement disponible depuis le 2 juin et dont l’objectif est d’alerter
les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité
d’un autre utilisateur diagnostiqué positif.
L’application repose sur le volontariat des personnes et
utilise la technologie Bluetooth (sans géolocalisation).
La CNIL a rendu dans l’urgence deux avis sur cette
application dans lesquels elle précise : « le dispositif projeté ne
serait admissible que si le gouvernement disposait d’éléments suffisants de
nature à établir son utilité pour la gestion de la crise, notamment dans le
cadre du déconfinement ». Or, trois semaines après sa mise en service,
l’application aurait été activée par moins de 2 % de la population. Le
gouvernement précise que l’outil pourrait démontrer son utilité en cas de
deuxième vague.
Une cartographie de la chaîne de contamination n’est
possible que si l’application est massivement utilisée. La CNIL recommande
d’écarter le consentement pour « permettre en toute sécurité juridique […]
les éventuelles incitations des pouvoirs publics à une telle utilisation »
et précise ensuite que l’usage volontaire de l’application est compatible avec
le choix du consentement comme base légale. Or le consentement n’est valable
que s’il est libre. Le CEPD dans ses Guidelines sur le consentement précise
qu’« en règle générale, le RGPD prescrit que si la personne concernée (…)
se sent obligée de consentir (…) alors le consentement ne sera pas
valable ». On comprend donc que si la démarche volontaire est largement
influencée ou encouragée, elle nuit alors au caractère libre du consentement.
Ainsi, l’invitation de l’ancien Premier ministre aux citoyens d’installer
l’application StopCovid et la phrase d’accueil de l’application (« avec
StopCovid, participez à la lutte contre l’épidémie en limitant les risques de
transmission ») font de l’utilisation de l’application un acte socialement
responsable pour encourager ou à tout le moins influencer le comportement des
individus. Or, cette influence affecte la faculté des citoyens de faire un
libre choix exprimé par le consentement.
D’aucuns ont en outre indiqué que l’application
collecterait plus de données qu’annoncé et que la fonction Bluetooth d’Android
utiliserait des données de localisation. Le Conseil de l’Ordre des avocats de Paris
a alerté sur les « risques réels de fuite de données médicales et
professionnelles, mais également des risques d’atteinte aux droits
fondamentaux ».
Dans une mise en demeure du 15 juillet, la CNIL pointe
des irrégularités dans le fonctionnement de l’application (information
incomplète des utilisateurs sur les destinataires tels que l’INRIA, contrat de
sous-traitance avec l’INRIA incomplet, analyse d’impact fournie à la CNIL
incomplète et collecte de données pour évaluer le comportement de l’utilisateur
non précédée par un consentement éclairé de ce dernier) et donne un mois au
gouvernement pour y remédier.
Le Health Data Hub
Le déploiement du Health Data Hub (« HDH ») a
été anticipé pour les besoins de la gestion de l’urgence sanitaire et de
l’amélioration des connaissances sur la Covid-19. Les données traitées dans ce
cadre sont très variées et sensibles (données de pharmacie, de prise en charge
en ville, de télémédecine, de résultats d’examens biologiques…).
Dans ses avis sur le HDH, la CNIL s’inquiète du risque
d’exportation de données non anonymisées et de la possibilité de transférer des
données en dehors de l’UE. En effet le contrat d’hébergement existant entre le
HDH et Microsoft prévoit la possibilité de transferts hors de l’UE pour les
opérations de maintenance et de résolution d’incidents techniques. La CNIL
rappelle que le CEPD s’est déjà inquiété des dispositions du Cloud Act,
permettant aux autorités américaines d’accéder aux données à des fins de
sécurité nationale, alors que le RGPD interdit toute demande d’accès d’une
autorité d’un pays tiers adressée à des entreprises soumises au RGPD. La CNIL
exprime son souhait que l’entrepôt de données de santé et les services de
gestion du HDH soient hébergés par des entités relevant exclusivement des
juridictions européennes, et rappelle qu’à l’expiration de la période d’état
d’urgence sanitaire, la centralisation de données au sein du HDH nécessitera
son autorisation préalable.
Des organisations professionnelles ont déposé un
référé-liberté devant le Conseil d’État pour demander la suspension d’un arrêté
qui autorise l’hébergement par Microsoft des données du HDH. Pour écarter cette
demande, le juge des référés a notamment considéré que conformément au Privacy
Shield, toujours en vigueur, les États-Unis assurent un niveau adéquat de
protection, que Microsoft figure bien sur la liste des organisations adhérant
au Privacy Shield et que, si le Cloud Act peut s’appliquer à Microsoft, les
requérants ne démontrent pas pour autant que les données de santé pseudonymisées
que Microsoft héberge seraient susceptibles de faire l’objet d’une demande
d’accès d’un juge américain pour les besoins d’une enquête criminelle. Le juge
des référés a néanmoins ordonné à HDH de fournir à la CNIL tous les éléments
relatifs aux procédés de pseudonymisation utilisés pour vérifier leur
conformité.
Bien que le HDH soit déjà déployé, sa légalité sera
encore discutée. Espérons qu’un éventuel demi-tour sera possible sans séquelles
pour les droits et libertés des personnes concernées.
Les fichiers COVID et SI-DEP
Le fichier SI-DEP mis en œuvre par le ministère de la
Santé doit centraliser les résultats des tests de Covid-19, transmis par les
médecins et les laboratoires d’analyse, tandis que le fichier Contact Covid,
établi par la Caisse nationale d’assurance maladie (CNAM) doit centraliser les
informations issues du fichier SI-DEP et des brigades des enquêtes sanitaires.
Ces deux fichiers dérogent au secret médical, garanti par le Code de la santé
publique, mais sont autorisés par la loi du 11 mai prorogeant l’état
d’urgence et justifiés par la nécessité de faire face à l’épidémie.
La CNIL précise également que le refus de participer aux
enquêtes sanitaires ne saurait entraîner de conséquences de quelque ordre que
ce soit, et que compte tenu de leur caractère temporaire, les deux systèmes
d’information devraient rester indépendants d’autres traitements. La CNIL
demande la transmission de l’évaluation des analyses d’impact de protection des
données réalisée pour ces deux traitements et annonce qu’elle sera très
attentive aux mesures de sécurité prévues.
Les caméras thermiques
Afin d’évaluer le risque de contagion lors du
déconfinement, certaines organisations publiques ont mis en place des
dispositifs de prise de température automatique (caméras thermiques) dans les
lieux ouverts au public.
La CNIL a constaté qu’une grande partie de ces
dispositifs ne respectaient pas le cadre légal, alors que ces derniers
impliquent le traitement de données de santé.
La Ligue des droits de l’Homme a intenté une action
contre la commune de Lisses pour le retrait des caméras thermiques portables,
mises en place à l’entrée des écoles pour contrôler la température corporelle
des élèves, enseignants et personnels municipaux, et inviter ceux pour lesquels
un écart anormal de température était constaté, à quitter l’établissement. Le
26 juin 2020, le juge des référés a ordonné à la commune de mettre fin à
l’usage de ces caméras au motif qu’en l’absence de texte régissant ces
dispositifs et faute de montrer que le consentement au traitement des données
de santé avait été effectivement recueilli, les conditions permettant le
traitement n’étaient pas remplies. Il précise que le consentement n’est pas
libre si l’accès à l’école est subordonné à l’acceptation de la prise de
température et si la conformité aux règles de protection des données
personnelles du formulaire de consentement envoyé à chaque famille n’est pas
démontrée. Le juge conclut que la réalisation d’une analyse d’impact aurait
permis d’établir ces manquements et que son absence suffit à elle seule à
entraîner l’illégalité du traitement.
La CNIL avait indiqué dès le 7 mai que la
température n’est pas un symptôme systématique de la Covid-19 et que le Haut
Conseil de la Santé Publique recommandait de ne pas mettre en place un
dépistage par prise de température dans la population.
En raison des incertitudes liées à l’évolution de
l’épidémie, la sortie du régime d’exception instauré par l’état d’urgence
sanitaire est progressive. Un nouveau régime transitoire ad hoc a été instauré
et devrait prendre fin le 30 octobre.
Les choix réalisés par le gouvernement en termes
d’outils de gestion de la crise sanitaire, même motivés par les circonstances
exceptionnelles et guidés par l’urgence, poseront les jalons des outils
numériques du système de santé français de demain. Il faut donc être vigilant,
car la réflexion du gouvernement se poursuivra au moins aussi longtemps que les
recherches en cours d’un vaccin contre le coronavirus n’auront pas abouti.
Elsa Malaty,
Avocate en droit
des données personnelles,
Hughes Hubbard
& Reed LLP