Article en accès libre Article n° 11226
  Article en accès libre Article n° 11226
Début

Urgence sanitaire : un arrêté précise qui pourra lancer des projets sans passer par la Cnil

Paris - Publié le jeudi 2 juillet 2020 à 15 h 16 - n° 11226 Les noms des organismes autorisés à lancer des projets dans le cadre d’une situation d’urgence sanitaire sans passer par la CnilCommission Nationale de l’Informatique et des Libertés viennent d'être dévoilés. Plus précisément, l’arrêté du 30 juin 2020 publié au Journal officielJournal OfficielJournal Officiel (JO) du 1er juillet livre une liste, prévue par l’article 67 de la loi « relative à l’informatique, aux fichiers et aux libertés », des « organismes ou services chargés d’une mission de service public  » autorisés par dérogation à mettre en œuvre des « traitements de données à caractère personnel dans le domaine de la santé », sans demande d’autorisation (ou déclaration de conformité à un référentiel) à la Cnil, dès lors qu’ils ont « pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites ».

Les organismes et services en question sont les suivants :

• la Direction générale de la santéDirection générale de la santéDirection générale de la santé (DGS) ;
• le Service de santé des arméesService de Santé des ArméesService de Santé des Armées ;
• les Agences régionales de santé ;
• l'Agence nationale de santé publiqueSanté publique FranceSanté publique France (Santé publique FranceSanté publique France), « dans le cadre de ses missions de gestion et de suivi du risque pour la santé humaine ou des alertes sanitaires » ;
• la Caisse nationale de l’assurance maladieCaisse nationale d’assurance maladie (Cnam) ;
• les « organismes et services ayant pour objet la recherche dans le domaine de la santé ou contribuant à de telles recherches » que sont :
- l’Institut PasteurInstitut PasteurInstitut Pasteur ;
- l’InsermInsermInserm ;
- les CHU ;
- l'EHESPEcole des Hautes Etudes en Santé PubliqueEcole des Hautes Etudes en Santé Publique ;
• les « organismes et services chargés de la remontée des informations ou de la mise en œuvre des traitements de données nécessaires pour répondre à une alerte sanitaire ou en gérer les suites » que sont :
- l’Agence du numérique en santéAgence du numérique en santé (ex Asip Santé)Agence du numérique en santé (ex Asip Santé) ;
- la plateforme des données de santé ou Health Data HubHealth Data HubHealth Data Hub ;
- l’Agence technique de l’information sur l’hospitalisationAgence Technique de l’Information sur l’Hospitalisation (Atih) ;
• Les « organismes ou services chargés de la prévention et de la prise en charge des personnes en situation de handicap ou de perte d’autonomie » ou « intervenant au soutien et à la protection des personnes vulnérables » que sont :
- les maisons départementales des personnes handicapées ;
- les services des départements ;
- les directions départementales de la cohésion sociale et de la protection des personnes.

L’article 2 du décret précise :

• que la Cnam et les 3 derniers organismes listés ci-dessus (dernier point) ne peuvent mettre en œuvre des traitements de données « qu'à la demande du ministère chargé de la Santé  » ;
• que les services des départements et les directions départementales de la cohésion sociale et de la protection des personnes « ne peuvent traiter » le numéro d’inscription au répertoire d’identification des personnes physiques (ou NIR) ;
• que le Health Data Hub ne peut recueillir le NIR dans ce cadre « que s’il a fait l’objet préalablement d’une opération cryptographique » substituant à ce numéro « un code statistique non signifiant » ;
• que tout traitement mis en œuvre dans les conditions de l’article 67 de la loi informatique et libertés « fait l’objet d’une analyse d’impact relative à la protection des données effectuée préalablement à la mise en œuvre du traitement » et « est inscrit dans le registre des activités de traitement », conformément au RGPD.
© Journal officiel
© Journal officiel

Les remarques de la Cnil sur la notion d’alerte sanitaire après la crise Covid-19

La Cnil relève dans sa délibération publiée au même JO que « la notion d’alerte sanitaire n’est pas définie dans les textes législatifs ou réglementaires ». Elle estimait que les traitements ne devraient pouvoir être mis en œuvre que « dans le cadre d’une alerte sanitaire lancée par l’ANSP (Santé publique FranceSanté publique France) ».

Covid-19 : plusieurs projets ne remplissent pas les critères énoncés à l’article 67

La commission attire l’attention du ministère en charge de la Santé sur le fait qu'« un certain nombre de projets récemment soumis pour autorisation et liés à [au] covid-19 », qui « constitue un exemple d’alerte sanitaire », ne remplissent pas les critères énoncés à l’article 67 car « bien que réalisés pendant l'état d’urgence sanitaire », ils « ne visaient pas directement à apporter, en situation d’urgence, des réponses à la crise sanitaire ».

Elle estimait en conséquence que les traitements mis en œuvre dans le cadre de l’arrêté ne devraient pas « prévoir de sous-finalités qui ne rempliraient pas l’ensemble des critères mentionnés ». « Par exemple, devraient être exclus du périmètre de la dérogation les traitements ayant pour objet la constitution d’entrepôts visant à permettre la réalisation de traitements ultérieurs », indique-t-elle.

La Cnil attirait enfin l’attention du ministère sur le fait que, dans le cadre de la procédure d’instruction par ses services des demandes d’autorisation relatives à des projets liés au Covid-19, chacun des projets a fait l’objet, dans des délais très brefs, d’un accompagnement conséquent afin de permettre la délivrance d’une autorisation, et que cet accompagnement « a permis aux responsables de traitement concernés, dans la majorité des cas, de modifier les projets présentés » afin de respecter les principes relatifs au traitement de données à caractère personnel ou les dispositions du Code de santé publique.

La Cnil demande un texte pour faire de certains organismes destinataires des responsables de traitement

La Cnil estime parallèlement que les organismes ou les services chargés d’une mission de service public « agissant en tant que sous-traitant ou en tant que destinataire » n’ont « pas vocation à figurer » dans l’arrêté. Elle vise notamment l’Agence du numérique en santé, le Health Data Hub et l’Atih, qui « ne semblent pas agir en qualité de responsable de traitement » .

La commission juge que ne devraient figurer sur la liste que des organismes investis de la mission de répondre à une alerte sanitaire ou d’en gérer les suites en cas d’urgence, «  en application d’un texte législatif ou réglementaire ou dans le respect des missions confiées par les autorités compétentes ».

Elle demandait que les organismes visés ne soient maintenus dans le texte final qu’à condition qu’ils soient « expressément chargés, au moyen d’une lettre de mission par exemple, de participer à la gestion d’une alerte sanitaire afin de mettre en œuvre de tels traitements » comme l’a été l’Institut Pasteur dans le cadre du projet « Covid-Tele ». La disposition de l’article 2 du décret énonçant que certains organismes ne peuvent mettre en œuvre des traitements de données « qu'à la demande du ministère chargé de la santé » répond en partie à cette requête.

Fin
loader mask
1