Après le « feu vert » donné, pour l’essentiel de la loi votée, par le Conseil constitutionnel dans sa décision 2020-800 DC du 11 mai 2020, la loi n° 2020-546 du même jour prorogeant l’état d’urgence sanitaire et son décret d’application n° 2020-551 du 12 mai 2020 ont prévu la mise en place de deux systèmes de traitement de données afin d’assurer le suivi épidémiologique du Covid-19 et la lutte contre la maladie.

Le premier traitement, dénommé « SI-DEP », concerne les données recueillies relativement aux personnes infectées (« patient 0 »).  Il fait l’objet des articles 8 à 13 du décret. Le second traitement, dénommé « Contact Covid », fait l’objet de ses articles 1 à 7. Il concerne les données recueillies relativement aux personnes avec qui le « patient 0 » a été en contact dans les 14 jours précédant l’infection.

Ces deux systèmes de traitement sont en vigueur pour une durée de six mois au maximum après la fin de l’état d’urgence sanitaire, soit, en l’état, jusqu’au 10 janvier 2021. Le premier est un système de traitement nouveau créé par le ministère de la santé. Le second est une déclinaison particulière effectuée à partir du système de traitement « AMELI pro » géré par la Caisse nationale d’assurance maladie des travailleurs salariés (CNAMTS).

Selon une matrice commune, le décret du 12 mai 2020 précise, pour chacun des deux traitements :

  • L’entité en charge du traitement (articles 1er et 8) ;
  • Les finalités du traitement (articles 1er et 8) ;
  • L’objet du traitement et les catégories de données traitées (articles 2 et 9) ;
  • Les personnes habilitées à enregistrer les données et les personnes habilitées à les consulter (articles 3 et 10) ;
  • Les personnes destinataires et le mode de transmission (anonymisation) des données (articles 3 et 10) ;
  • Les modalités d’enregistrement des données (articles 4 et 10) ;
  • La durée de la période de conservation, qui ne saurait excéder trois mois, ainsi que la durée de conservation des mises à jour, suppressions et consultations fixée à 6 mois après la fin de l’état d’urgence sanitaire (articles 5 et 11) ;
  • Les modalités de mise en œuvre de la procédure d’information des personnes relativement au traitement des données les concernant, telle que prévue à l’article 13 du règlement général européen sur la protection des données (RGPD) (articles 6 et 12) ;
  • Les modalités d’exercice du droit d’opposition prévu à l’article 21 du RGPD (articles 7 et 13).

Trois questions ont particulièrement fait débat à l’occasion de la mise en place de ce dispositif : celle de son utilité ; la question de l’application « Stop Covid » et enfin la question de la liste des personnes habilitées à consulter les informations enregistrées dans l’un et l’autre de chacun des deux fichiers qui, pour la plupart, ne sont pas tenues par le secret médical.

Un dispositif inutile ?

Les détracteurs des traitements en cause font grief aux pouvoirs publics d’avoir mis en place une « usine à gaz » particulièrement lourde et consommatrice de main d’œuvre sous sa forme « manuelle » ou attentatoire à la liberté individuelle sous sa forme électronique (voir ci-dessous). Ils soutiennent que les dispositions des articles D 3113-6 ou D 3113-7 du code de la santé publique (CSP) pouvaient être aisément modifiées par un décret simple pris après avis du Haut conseil de santé publique (HCSP) pour porter de 36 à 37 le nombre des maladies à déclaration obligatoire (MDO), à la condition que cette modification du CSP s’accompagne d’une active campagne de dépistage. De fait, il est de notoriété publique que le taux de dépistage en France est nettement inférieur à celui de ses principaux voisins. Au 2 mai, les taux de dépistage communiqués par les agences nationales étaient de 11 pour 1000 en France, contre 35 pour mille en Italie, 30 pour mille en Allemagne et en Belgique ou encore 29 pour mille en Espagne. Après la pénurie de masques, ce serait donc la pénurie de tests qui expliquerait seule la stratégie retenue par la France.

STOP COVID : l’électronique au service de la protection de la santé ou le retour de « Big Brother » ?

Courant avril, le Gouvernement envisage d’identifier les personnes ayant été en contact avec une personne infectée et donc, du fait ce contact, potentiellement à risque, au moyen d’une application à charger sur son téléphone portable qui, sans procéder à leur géolocalisation, identifie les téléphones portables des personnes ayant été à proximité du « patient 0 », pour peu que lui aussi ai installé l’application.

Devant l’émoi soulevé, un débat est annoncé à l’Assemblée Nationale pour le 28 avril, à l’occasion de la présentation à l’Assemblée du « plan de déconfinement » du Gouvernement, présentation qui doit être suivie d’un vote.

Le 28 avril, à l’occasion de cette présentation, le Premier ministre annonce que l’application n’est pas opérationnelle et que, en conséquence, le débat annoncé est reporté. Il aura lieu lorsque l’application sera prête à l’emploi. Le samedi 2 mai, le Conseil des ministres adopte le projet de loi prorogeant l’état d’urgence sanitaire dont l’article 6 habilite le Gouvernement à adopter, dans les trois mois suivant la promulgation de la loi, une ordonnance telle que prévue à l’article 38 de la Constitution ayant pour objet de préciser ou de compléter le système d’information partagé prévu au même article du projet de loi. Le système doit alors être créé par décret en Conseil d’Etat et géré par le ministre de la santé.

Cette habilitation a-t-elle été soumise au Conseil d’Etat ? Pas certain, si l’on s’en tient à l’avis rendu par la Commission permanente le 1er mai et qui n’en souffle mot.

Quoi qu’il en soit, l’habilitation à légiférer en lieu et place du Parlement prévue dans le projet de loi ne résiste pas à la fronde parlementaire qu’elle soulève et l’article 11 de la loi n° 2020-546 du 11 mai 2020 qui ne contient aucune habilitation donnée au Gouvernement prévoit un dispositif relativement protecteur des libertés individuelles et qui surtout prévoit expressément que le traitement des informations institué n’a pas pour finalité « le développement ou le déploiement d’une application informatique (…) disponible sur équipement mobile permettant  d’informer les personnes du fait qu’elles ont été à proximité de personnes diagnostiquées positives au covid-19 », ce que le Conseil constitutionnelexpressément rappelé au point 65 de sa décision. Une information régulière du Parlement est prévue et un « comité de contrôle et de liaison » est institué qui doit associer les parlementaires et des représentants de la société civile au suivi du dispositif. Aux termes du décret n° 2020-572 du 15 mai 2020, ce comité comprendra, outre les quatre parlementaires prévus par la loi, neuf personnalités.

Saisi de façon tout à fait inhabituelle par le Président de la République, le Président du Sénat et les oppositions parlementaires, le Conseil constitutionnel, on l’a dit, a validé pour l’essentiel le dispositif ainsi mis en place dans sa décision n° 2020-800 DC du 11 mai 2020, son attention ayant principalement été attirée par la question de la protection du secret médical, comme on le verra ci-dessous.

En dépit de ce dispositif législatif particulièrement rigoureux, le ministre de la santé est toujours soupçonné de vouloir déployer l’application « Stop Covid » à partir du 2 juin 2020.

De fait, le Journal officiel du 17 mai a publié un arrêté conjoint du ministre de la santé et du ministre des comptes publics daté du 11 mai, c’est-à-dire du jour même de la promulgation de la loi, qui a pour objet d’élargir la liste des types de projet que les subventions de l’Agence du numérique en santé (ANS) peuvent avoir pour objet de favoriser, liste qui avait établie en 2009. Or, parmi les projets désormais éligibles aux subventions de l’ANS figurent désormais ceux ayant pour objet « l’échange et le partage sécurisé des données de santé ». Difficile de croire à une pure coincidence.

Le secret médical, un secret « partagé » ?

On l’a vu précédemment, le dispositif mis en place est extrêmement consommateur de main d’œuvre et l’électronique avait sans nul doute pour objectif prioritaire de soulager les administrations et structures concernées. Cette mobilisation d’une main d’œuvre abondante pose une question centrale, celle de son accès à des informations couvertes par le secret médical et pourtant divulguées sans le consentement de la personne concernée. Le Conseil constitutionnel a certes restreint la liste des personnes disposant du droit d’accès, comme celle des données transmises. Les Sages ont, en effet, d’une part, jugé que les accompagnateurs sociaux[1] ne pouvaient avoir accès aux dispositifs et, d’autre part, restreint la liste des données communiquées en en excluant le numéro de téléphone personnel et l’adresse électronique[2]. Le Conseil constitutionnel estime donc que la censure prononcée et les réserves d’interprétation émises assurent à suffisance le respect de la Constitution dès lors que les destinataires des informations « sensibles » sont tenues au secret professionnel dont la violation est un délit[3] et qu’il appartiendra au pouvoir réglementaire de définir les modalités spécifiques d’habilitation de ces agents[4]. De la même façon, le recours aux sous-traitants, expressément prévu pour les ARS par l’article 14 du décret, doit se faire dans le respect des principes de nécessité et de confidentialité[5]. Rappelons néanmoins que les catégories de personnes disposant du droit d’accès, énumérées par le Conseil constitutionnel lui-même au point 68 de sa décision, sont au nombre de…16 !


[1] Conseil constitutionnel, décision n° 2020-800 DC du 11 mai 2020, point 70.

[2] Conseil constitutionnel, décision n° 2020-800 DC du 11 mai 2020, point 67.

[3] Conseil constitutionnel, décision n° 2020-800 DC du 11 mai 2020, point 72.

[4] Conseil constitutionnel, décision n° 2020-800 DC du 11 mai 2020. Point 73.

[5] Conseil constitutionnel, décision n° 2020-800 DC du 11 mai 2020, point 74.

You are currently viewing COVID-19 : partager les données pour isoler le virus ?

Vos dernières actualités