Déconfinement / tracing : des données de santé accessibles au personnel non médical (projet de loi)
Paris - Publié le lundi 4 mai 2020 à 12 h 54 - n° 10899 Un système d’information « créé par décret en Conseil d’ÉtatConseil d’Etat et mis en œuvre par le ministre chargé de la Santé Olivier VéranOlivier Véran [recevra] des données relatives aux personnes atteintes par [le] virus et aux personnes ayant été en contact le cas échéant sans le consentement des personnes intéressées ». C’est ce qu’annonce l’article 6 du « Projet de loi prorogeant l’état d’urgence sanitaire et complétant ses dispositions », présenté en Conseil des ministres le 2 mai 2020.Il est précisé dans le texte que ce système est créé « aux fins de lutter contre la propagation de l’épidémie de covid-19 et pour la durée strictement nécessaire à cet objectif » ou, « au plus tard, pour une durée d’un an à compter de la publication » de la loi. L’étude d’impact souligne que le système d’information sera « techniquement et juridiquement indépendants » du projet de l’application StopCovid.
Le Conseil d’État relève dans son avis sur ce projet de loi que ce dernier « autorise l’accès à des données de santé non anonymisées » collectées aux médecins prenant en charge les personnes concernées mais également à « certains agents » d’autres institutions (ministère, Santé Publique FranceSanté publique FranceSanté publique France, SSASSAService de santé des armées, organismes nationaux et locaux d’Assurance maladie, ARS, laboratoires de biologie médicale…) et qu’il « permet également à ces organismes de déléguer à d’autres organismes, déterminés par décret en Conseil d’État, le traitement de ces données ». Un accès que la haute juridiction estime « justifié ».
À noter : le projet de loi est examiné au Sénat à partir du 4 mai (après-midi).
© Elysee
Un système de suivi en 2 parties
Selon l’étude d’impact, ce système de « contact tracing » (suivi des contacts) repose sur « deux méthodes de recensement complémentaire » :
- un « service intégré de dépistage et de prévention » (Sidep) est chargé de l’identification des personnes infectées,
- c’est-à-dire d'« assurer le retour d’information sur un test positif vers le patient, le médecin prescripteur et le médecin traitant » et de mettre à disposition des organismes intéressés « l’ensemble des résultats des tests colligés » ;
- Le service Ameli.pro / Contact Covid de l’Assurance maladieCaisse nationale d'assurance maladie est chargé de l’identification des cas-contacts,
- c’est-à-dire de « collecter les données des enquêtes sur les personnes qui ont été en contact avec une personne infectée par le Covid-19 ». Le médecin traitant « établit une première liste des contacts », puis les plateformes de l’assurance maladie « vont préciser la liste puis [appeler] les cas-contacts identifiés », enfin les agence régionales de santé (ARS) vont « traiter, avec l’appui des cellules en région de Santé Publique France, les clusters et les chaînes de transmission plus complexes ».
L’accès aux données de santé par des professionnels non médicaux justifié selon le Conseil d’État
Les professionnels médicaux ne peuvent pas réaliser seuls dépistage et tracing
Dans son avis sur le projet de loi, le Conseil d’État estime que « l’accès à des données médicales par des professionnels, pour certains non médicaux », que le texte prévoit « même en l’absence de consentement de l’intéressé » est « justifié » par « l’impossibilité pour les seuls professionnels médicaux de réaliser l’ensemble des nombreuses enquêtes nécessaires au dépistage et à l’identification des chaînes de transmission et cas groupés, qui implique la mobilisation de moyens humains très importants ».
Les modalités d’application de l’article 6 seront fixées par un décret en Conseil d’État après avis de la Cnil
Le projet de loi précise que les modalités d’application de l’article 6 seront fixées par un décret en Conseil d’État après avis public de la CnilCommission Nationale de l'Informatique et des Libertés. Le décret précisera notamment, pour chaque autorité ou organisme, :
- « les services ou personnels dont les interventions sont nécessaires aux finalités mentionnées »
- et « les catégories de données auxquelles ils ont accès, ainsi que les organismes auxquels ils peuvent faire appel, pour leur compte et sous leur responsabilité, pour en assurer le traitement ».
