L’article 67 de la loi Informatique et Libertés modifiée dispose que « les organismes ou les services chargés d’une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l’informatique et des libertés, ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites, au sens de la section 1 du chapitre III du titre Ier du livre IV de la première partie du code de la santé publique, sont soumis aux seules dispositions de la section 3 du chapitre IV du règlement (UE) 2016/679 du 27 avril 2016 ».
Sur le fondement de cet article, un régime de conformité dérogatoire aux principes de protection des données de santé est reconnu à ces organismes qui doivent toutefois procéder à la réalisation d’une étude d’impact. Rappelons que dans le cadre de la crise sanitaire du COVID-19, le ministère chargé de la santé a mis en œuvre plusieurs traitements à caractère personnel, et notamment la création anticipée d’un entrepôt de données au sein du Health Data Hub sur le fondement de cet article. La CNIL avait alors relevé dans sa délibération n° 2020-044 du 20 avril 2020, que les organismes concernés par cette remontée de données ne figurant pas sur la liste déterminée par arrêté (alors encore en cours d’élaboration), ne pourraient poursuivre la mise en œuvre ultérieure de traitements qu’à condition de solliciter une autorisation de la CNIL conformément à l’article 66 de la même loi.
Cette liste est donc aujourd’hui publiée par un arrêté en date du 30 juin 2020 qui apporte peu de précisions - ce qui n’est guère surprenant vu son objet, à l’exception de la condition, pour certains des organismes mentionnés, de ne mettre en œuvre ces traitements qu’à la demande du ministère chargé de la santé.
Il semble d’autre part que cet arrêté ne reprenne pas explicitement les points soulevés par la CNIL dans son avis sur le projet d’arrêté du 11 juin dernier (délibération n°2020-061).
A titre principal, la CNIL relevait que seuls les responsables de traitements (par opposition aux sous-traitant ou aux destinataires) devaient être listés par l’arrêté. La CNIL précisait à ce titre que certains organismes, pourtant listés dans l’arrêté aujourd’hui, agissent comme sous-traitants, comme l’ANS ou le HDH, ce qui est contestable.
En second lieu, la CNIL relevait qu’en l’absence de définition légale de la notion « d’alerte sanitaire », il pourrait être difficile dans certains cas de bien identifier la finalité des traitements concernés et en particulier d’éviter une utilisation trop large de cette notion. C’est pourquoi l’autorité de protection préconisait que « les traitements ne pourront être mis en œuvre que dans le cadre d’une alerte sanitaire lancée par l’ANSP » et dès lors que « les organismes et services énumérés dans le projet d’arrêté ne pourront pas procéder eux-mêmes à l’évaluation de la situation d’alerte sanitaire ».
Cette notion d’alerte sanitaire n’a pas non plus été explicitée dans l’arrêté du 30 juin 2020 et il convient donc d’en avoir une interprétation stricte pour les organismes listés qui souhaiteraient mettre en œuvre un traitement de données de santé en application de ces dispositions, à savoir, notamment :