Alors que le destin de l'application StopCovid est incertain, le gouvernement prépare une autre stratégie pour le traçage des contacts (contact tracing) en vue d'identifier et suivre les chaînes de transmission du virus. Mais pour cela, des fichiers informatiques sont créés pour traiter les données personnelles des Français. On fait le point.

C’est depuis le 11 mai que s’est mis en place le plan du gouvernement pour organiser le déconfinement progressif du pays, avec une première phase qui s’étale jusqu’au 2 juin — si du moins les voyants restent au vert. Pour autant, les contraintes demeurent fortes, en particulier du fait du maintien de l’état d’urgence sanitaire, qui a été instauré en mars, et qui est parti pour être prolongé au-delà du 24 mai.

En effet, le gouvernement a fait voter un texte qui proroge ce dispositif inédit et, surtout, en complète les dispositions avec de nouvelles mesures. L’exécutif n’avait pas le choix : il lui fallait passer par la loi. Désormais, l’état d’urgence sanitaire perdurera jusqu’au 10 juillet inclus. C’est une échéance imposée par le parlement qui est un peu plus courte que celle voulue par l’exécutif, qui proposait le 23 juillet.

12 articles composent ce texte qui a été promulgué le 12 mai. L’un d’eux toutefois se démarque : il s’agit de l’article 11, qui constitue d’ailleurs à lui seul tout un chapitre de la loi. Il est consacré aux « dispositions relatives à la création d’un système d’information aux seules fins de lutter contre l’épidémie de covid-19 », dans le cadre du traçage des contacts (contact tracing).

Que peut-on dire aujourd’hui de ce nouveau système d’information, ainsi que des données qui seront recueillies et traitées pour identifier et remonter les chaînes de transmission du virus SARS-CoV-2 ? On fait le point.

Olivier Véran, lors d’un point sanitaire le 19 avril 2020. // Source : Capture d’écran Numerama

Quels sont les objectifs de ce plan ?

Ce nouveau système d’information vise à « lutter contre la propagation de l’épidémie de Covid-19 », justifie le gouvernement, une maladie qui a touché en France plus de 130 000 personnes, et dont plus de 25 000 ont péri. En effet, dans le plan du gouvernement pour aboutir au déconfinement, il y a la volonté d’effectuer « un travail d’identification » de tous les cas contact autour d’une personne infectée.

Quatre grandes finalités sont annoncées :

  • L’identification des personnes infectées, via des examens de biologie ou d’imagerie médicale pertinents ainsi que par la collecte de leurs résultats, y compris non positifs, ou par la transmission des éléments probants de diagnostic clinique susceptibles de caractériser l’infection. Ces informations doivent être renseignées par le personnel médical ;
  • L’identification des personnes présentant un risque d’infection, par la collecte des informations relatives aux contacts des personnes infectées, au moyen si besoin d’enquêtes sanitaires en cas de cas groupés, par exemple ;
  • L’orientation et l’accompagnement des personnes infectées et celles susceptibles de l’être, en fonction de leur situation, vers des prescriptions médicales d’isolement pour éviter d’autres contaminations ;
  • La surveillance épidémiologique aux niveaux national et local, ainsi que la recherche sur le virus et les moyens de lutter contre sa propagation, à condition de supprimer les nom et prénoms des personnes, leur numéro d’inscription au répertoire national d’identification des personnes physiques et leur adresse.

Pourquoi le gouvernement va dans cette direction ?

Le gouvernement juge qu’il est nécessaire de créer des systèmes d’information ad hoc, car les dispositifs actuels « ne permettent pas le recensement des cas confirmés à destination d’un dispositif de tracing ni de mettre en œuvre le tracing lui-même », lit-on dans l’étude d’impact. Dans ces conditions, « il n’existait pas d’autre option que de permettre la création » dudit système.

Qu’est-ce que le contact tracing ?

Le traçage des contacts, ou contact tracing, consiste dans les grandes lignes à retracer les chaînes de transmission du virus, en identifiant les personnes qui sont malades ainsi que les individus qui ont été en contact prolongé avec elles. Cette méthode peut être faite par une application mobile, mais elle peut très bien être « artisanale », par exemple avec des enquêtes épidémiologiques menées sur le terrain. Ces moyens humains sont utilisés depuis des décennies.

L’un des enjeux du contact tracing est de déterminer ce qu’est un contact proche entre deux individus et, donc, de classer l’un des deux individus comme un « cas contact » si l’autre est effectivement malade. Deux facteurs jouent principalement : la proximité physique et la durée de cette proximité. Ce n’est pas la même chose de croiser un malade dans la rue que d’être attablé avec un porteur pendant une heure.

Le contact tracing consiste essentiellement à retracer des chaînes de transmission. Il peut se faire sans smartphone. // Source : Claire Braikeh pour Numerama

Comment le contact tracing sera-t-il mis en œuvre ?

Selon le ministre de la Santé, Olivier Véran, l’objectif est donc, dans le cadre du contact tracing, de «  collecter des données d’ordre non médicales et médicales, pour les porter à la connaissance d’un grand nombre d’intervenants ». Il est question de diviser ce travail en trois niveaux de traçage des contacts, sans qu’il ne soit encore très clair sur les tenants et les aboutissants de ces différentes strates.

« Le recueil des résultats des tests par les laboratoires, le tracing de niveau 1 sera opéré par les médecins, le tracing de niveau 2 sera fait par l’assurance maladie, le tracing de niveau 3 est fait par les ARS pour identifier les zones de forte circulation virale, la surveillance épidémiologique locale et nationale sera organisée par Santé publique France et la Direction générale de la Santé ».

Quelle durée d’utilisation ?

L’existence de ce système d’information devra être limitée dans le temps. Aucune échéance n’est gravée dans le marbre, le texte expliquant qu’il sera mis en œuvre « pour la durée strictement nécessaire à [la lutte contre l’épidémie de Covid-19] ou, au plus tard, pour une durée d’un an à compter de la publication de la présente loi ». Le texte devrait être adopté courant mai, ce qui dessine une échéance à mai 2021.

L’expiration de ce dispositif dépendra aussi de plusieurs facteurs sanitaires : quels sont les traitements disponibles et efficaces pour secourir les malades ? Où en est le vaccin pour protéger l’organisme et l’entourage ? Quel est l’état de la courbe des personnes infectées ? En fonction des réponses apportées à ces questions, la date de fin pourrait être avancée ou repoussée.

De quelles données parle-t-on ?

Dans la mesure où il s’agit d’identifier des personnes infectées ou susceptibles de l’être, il est évident que des données à caractère personnel seront recueillies, traitées et stockées. Il y aura aussi des données médicales, puisqu’il est question de savoir la situation sanitaire de différents individus. Or dans la législation, ces éléments bénéficient d’une protection accrue, car il s’agit de données sensibles.

Le détail des données en jeu n’est pas encore connu. Le projet de loi renvoie les modalités d’application à un décret, une fois recueilli l’avis de la Commission nationale de l’informatique et des libertés (CNIL), dont le rôle est de s’assurer que les libertés publiques et individuelles ne sont pas fragilisées et, le cas échéant, que les exceptions soient limitées et temporaires.

Comment seront utilisées ces données ?

Selon le ministre de la Santé Olivier Véran, les données doivent être rassemblées dans un dossier médical partagé dédié au coronavirus.

Celui-ci s’appuiera sur deux fichiers : le fichier Sidep (Système d’Information pour la Déclaration des Essais de Produits), « dans lequel seront inscrites les informations des laboratoires de biologie médicale lorsqu’un patient aura été testé positif », et le système Contact Covid, « inspiré du site de l’Assurance maladie Ameli, qui permettra d’avoir les coordonnées des personnes à contacter », déclarait le ministre le 2 mai.

Le gouvernement prévient que ces données « peuvent être partagées », mais cela ne veut pas dire à n’importe qui. En filigrane, on comprend que cela concernera les fameuses « brigades » qui regrouperont des médecins libéraux et d’autres membres d’équipes de l’assurance maladie, ainsi que des agents habilités de certains services d’organismes issus du secteur de la santé. Cela signifie cependant que du personnel non-médical sera autorisé à manipuler des informations de santé, et cela pose évidemment de nombreuses questions éthiques.

Assurance maladie
L’entrée de la Caisse nationale de l’assurance maladie. // Source : Force Ouvrière

Peut-on refuser ce traitement ?

En l’état actuel des choses, le gouvernement entend effectuer ces traitements «  sans le consentement des personnes intéressées », alors que cette approbation se trouve au cœur du Règlement général sur la protection des données. Une particularité que le Conseil d’État a également vue : ce dispositif sera organisé « sans que les responsables du traitement aient à recueillir au préalable, dans tous les cas, le consentement des intéressés ».

Une erreur ? En fait, le consentement n’est pas le seul critère permettant d’autoriser un traitement de données. Il y a en cinq autres, dont la mission d’intérêt public et l’intérêt légitime. Ce dernier est soumis à trois conditions (légitimité, nécessité et pondération). Si elles sont réunies, un traitement peut être mis en œuvre sans le consentement préalable des personnes.

Cela étant, un décret précise les modalités d’exercice des droits d’accès, d’information, d’opposition et de rectification des personnes concernées,

Qui y aura accès ?

Les « brigades » chargées du contact tracing seront composées de plusieurs milliers de personnes, voire de quelques dizaines de milliers de personnes pour établir un suivi efficace à l’échelon national. Le président du Conseil scientifique Covid-19, le médecin et immunologue Jean-François Delfraissy, a livré un ordre de grandeur : il faudrait 15 000 ou 20 000 personnels, voire peut-être 30 000.

Il n’est pas dit qu’on arrive à ces seuils, du moins dans un premier temps. Olivier Véran a évoqué la mobilisation de 3 000 à 4 000 salariés de l’Assurance maladie, et déclaré qu’il est envisagé de faire appel aussi aux bénévoles de la Croix-Rouge et des employés des centres communaux d’action sociale (CCAS), « si on se rendait compte qu’on manquait de personnes capables de faire du tracing ».

Dans le projet de loi et son étude d’impact, le gouvernement évoque les organismes suivants :

  • le ministère de la Santé ;
  • le service de santé des armées ;
  • l’Agence nationale de santé publique ;
  • les organismes nationaux et locaux d’assurance maladie ;
  • les agences régionales de santé ;
  • les communautés professionnelles territoriales de santé ;
  • les établissements de santé ;
  • les maisons de santé ;
  • les centres de santé et les médecins prenant en charge les patients ;
  • les laboratoires autorisés à réaliser les examens de biologie médicale de dépistage sur les patients.

L’exécutif précise que, pour chaque autorité ou organisme, un décret vient préciser quels services et quels personnels « dont les interventions sont nécessaires » pour le contact tracing et « les catégories de données auxquelles ils ont accès, ainsi que les organismes auxquels ils peuvent faire appel, pour leur compte et sous leur responsabilité, pour en assurer le traitement, dans la mesure où la finalité le justifie ».

Quel lien avec l’application StopCovid ?

Hormis le fait qu’elle propose aussi de réaliser un traçage des contacts dans le contexte de la pandémie de coronavirus, cette initiative n’est pas liée à l’application StopCovid, qui est très controversée. C’est ce que dit l’étude d’impact du gouvernement : « ces systèmes d’information sont techniquement et juridiquement indépendants du projet StopCovid, évoqué par le Premier ministre ».

Même observation du Conseil d’État : en tenant compte de l’étude d’impact et des « précisions apportées par le gouvernement », il est établi que ce dispositif « est totalement distinct du projet Stop Covid, dont l’objectif est de permettre d’identifier les personnes en contact avec une personne infectée par une application téléchargée sur les téléphones portables des intéressés ».

La loi promulguée précise d’ailleurs que « sont exclus de ces finalités le développement ou le déploiement d’une application informatique à destination du public et disponible sur équipement mobile permettant d’informer les personnes du fait qu’elles ont été à proximité de personnes diagnostiquées positives au covid-19 ». En somme, ces fichiers ne seront pas la base ni n’alimenteront StopCovid.

Quelle durée de conservation des données ?

Si l’existence de ce système d’information est limitée dans le temps, qu’en est-il du devenir des données collectées à travers lui ? Elles ne seront pas conservées. L’article de loi énonce que « les données collectées par ces systèmes d’information [aux fins de la lutte contre la pandémie] ne peuvent être conservées à l’issue de cette durée ». En clair, elles devront être détruites.

Au cours de l’examen parlementaire, les élus ont toutefois imposé certains garde-fous. Ainsi, la durée de conservation des données médicales est limitée à trois mois après leur collecte. Il est aussi précisé que les données personnelles concernant la santé sont strictement limitées au statut virologique ou sérologique à l’égard du virus ainsi qu’à des éléments probants de diagnostic clinique et d’imagerie médicale.

Quid du secret médical ?

En France, les médecins et professionnels de santé sont soumis au secret professionnel. C’est le secret médical. Celui-ci couvre l’ensemble des informations concernant le patient dont le médecin a connaissance et lui interdit de les communiquer à des tiers. Dans ces conditions, comment cela va-t-il se passer avec le projet du gouvernement de créer un système d’information qui manipulera des données de santé ?

Le gouvernement a justement prévu le coup. Il prévoit une dérogation à l’article L1110-4 du Code de la santé publique. Celui-ci traite justement des droits des personnes malades et inclut la possibilité de créer par la loi une exception au secret médical. C’est de cette façon que l’exécutif va franchir l’obstacle et éviter de s’exposer ou d’exposer le corps médical à des infractions pénales.

Afin d’éviter des dérives, les parlementaires ont imposé la création d’un comité de contrôle et de liaison covid-19, pour « évaluer l’apport réel des outils numériques à leur action, et de déterminer s’ils sont, ou pas, de nature à faire une différence significative dans le traitement de l’épidémie » et de « vérifier tout au long de ces opérations le respect des garanties entourant le secret médical et la protection des données personnelles ».

En principe, le secret médical interdit aux professionnels de santé de livrer à des tiers des informations sur leurs patients. Mais la loi autorise des exceptions, très encadrées. // Source : Pixabay

Que dit le Conseil d’État ?

Le Conseil d’État a été saisi le 29 avril sur ce projet de loi. Dans son avis, rendu le 1er mai, la plus haute juridiction de l’ordre administratif français « estime que les conditions générales prévues par le législateur pour la mise en œuvre de ces traitements de données à caractère personnel ne portent pas, par elles-mêmes, une atteinte disproportionnée au droit au respect de la vie privée ».

Pour parvenir à cette conclusion, le Conseil d’État observe que le texte « se borne à autoriser le pouvoir réglementaire à créer un ou plusieurs systèmes d’information […], sans en définir l’architecture générale, et à ne prévoir que certaines de ses modalités de mise en œuvre ». Dès lors, en l’état, l’institution ne trouve rien à y redire. Ce qui importe, c’est le contenu du décret d’application.

Dans son avis, le Conseil tient à rappeler que ce dispositif « repose sur un objectif d’intérêt général incontestable », et, qu’en l’état des informations fournies par le gouvernement et vu les avis scientifiques, ces systèmes d’information « sont nécessaires à la réalisation des finalités poursuivies », à condition néanmoins d’en réévaluer la pertinence périodiquement, en fonction de la situation épidémique.

Enfin, l’institution relève que le dispositif « revêt un caractère temporaire », car il arrivera un moment où « le traitement ne pourra plus être mis en œuvre et les données collectées devront être effacées », avec l’extinction de la crise sanitaire. De plus, il lui est confié la tâche « d’écarter tout risque d’utilisation des données […] à d’autres fins que les strictes nécessités médicales » de lutte contre le Covid-19.

Que dit le Conseil constitutionnel ?

Le Conseil constitutionnel a été saisi par les parlementaires et le président de la République et le président du Sénat pour vérifier que la loi prorogeant l’état d’urgence sanitaire et complétant ses dispositions est bien conforme à la Constitution française. Sa décision a été rendue le 11 mai. Elle est critique envers le texte, car trois réserves d’interprétation ont été énoncées, ainsi que deux censures partielles et une censure de certaines dispositions.

Cette non-conformité partielle concerne notamment le traçage des contacts. En effet, le Conseil constitutionnel a censuré l’obligation de l’avis conforme de la CNIL sur le décret d’application, qui complète l’article 11. L’institution note que la Constitution n’autorise pas le parlement à subordonner l’exercice du pouvoir réglementaire du Premier ministre à l’avis d’une autre autorité de l’État.

Le Conseil constitutionnel a aussi censuré une partie de l’article 11 qui porte sur l’accès aux données médicales recueillies grâce au traçage, car elle « méconnaissait le droit au respect de la vie privée ». Cela concerne « les organismes qui assurent l’accompagnement social des intéressés », car ceux-ci proposent des prestations et des services qui ne « relèvent pas directement de la lutte contre l’épidémie ».

Conseil constitutionnel justice
Le Conseil constitutionnel a censuré partiellement deux dispositions concernant les traitements de données à caractère personnel de nature médicale aux fins de « traçage » et énonce trois réserves d’interprétation. // Source : ActuaLitté

Dans ces conditions, ajoute le Conseil, « rien ne justifie que la communication des données à caractère personnel traitées dans le système d’information ne soit pas subordonnée au recueil du consentement des intéressés ». En clair, il faut ici obtenir l’accord des individus, à la différence d’autres dispositions qui peuvent passer outre du fait de la situation sanitaire et des exceptions permises par la loi.

De façon générale, le Conseil admet que les dispositions autorisant le traitement et le partage de données personnelles, sans le consentement des personnes, dans le cadre de ce système d’information « portent atteinte au droit au respect de la vie privée », d’autant qu’il s’agit d’informations sensibles, du fait de leur caractère médical. Mais, ajoute-t-il, la protection de la santé est aussi un objectif constitutionnel.

« En adoptant les dispositions contestées, le législateur a entendu renforcer les moyens de la lutte contre l’épidémie de covid-19, par l’identification des chaînes de contamination. Il a ainsi poursuivi l’objectif de valeur constitutionnelle de protection de la santé », est-il écrit. En clair, enfreindre une liberté constitutionnelle pour un objectif de valeur constitutionnelle est acceptable, s’il est bien encadré par la loi.

Le texte a été ensuite jugé conforme par le Conseil constitutionnel.

Que dit la CNIL ?

La Commission nationale de l’informatique et des libertés (CNIL) s’est prononcée le 8 mai sur le projet de décret qui accompagnera l’article 11 du texte de loi. Dans sa délibération, publiée au Journal officiel le 13 mai, elle valide l’encadrement juridique des deux fichiers qui seront mobilisés (Sidep et Contact Covid), mais réclame des garanties supplémentaires au regard de la sensibilité du dispositif.

La CNIL admet que ces dispositions se justifient au regard de la situation sanitaire et de la politique de déconfinement enclenchée par le gouvernement. Néanmoins, l’institution veut que la nécessité de ce contact tracing soit régulièrement évaluée. En outre, le dispositif est à ses yeux conforme au Règlement général sur la protection des données (RGPD), mais si certaines garanties sont respectées.

La CNIL observe que ses demandes de précision juridique ont été prises en compte dans le décret paru le 13 mai. Cela concernait la minimisation des données, la garantie des droits des personnes au sujet de leurs données personnelles et les restrictions d’accès au strict nécessaire. Elle a aussi appelé à une formation spécifique des personnes qui manipuleront ces fichiers et à un outil de traçabilité pour savoir qui consulte quoi.

La CNIL déclare avoir formulé des conseils pour l’emploi de ces systèmes d’information, en particulier au sujet de leur sécurité (authentification par mot de passe ou la traçabilité des actions, pour savoir qui consulte quoi) et de la responsabilisation des personnes accédant aux fichiers. Des contrôles de la CNIL vont par ailleurs débuter peu après la mise en place de ces fichiers.

Quelles suites ?

Une fois la loi votée, le gouvernement est habilité, dans un délai de trois mois après la promulgation du texte, à prendre par ordonnance « toute mesure […] ayant pour objet de préciser ou compléter l’organisation et les conditions de mise en œuvre des systèmes d’information », mais dans les limites de l’article. Cette ordonnance devra être validée par le parlement.

(mise à jour avec la délibération de la CNIL)

Partager sur les réseaux sociaux