Blog Sciences du vivant

La liste des organismes qui peuvent mettre en œuvre des traitements ayant pour finalité de répondre à une alerte sanitaire est enfin connue

L’article 67 de la loi Informatique et Libertés modifiée dispose que «  les organismes ou les services chargés d’une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l’informatique et des libertés, ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites, au sens de la section 1 du chapitre III du titre Ier du livre IV de la première partie du code de la santé publique, sont soumis aux seules dispositions de la section 3 du chapitre IV du règlement (UE) 2016/679 du 27 avril 2016 ».

Sur le fondement de cet article, un régime de conformité dérogatoire aux principes de protection des données de santé est reconnu à ces organismes qui doivent toutefois procéder à la réalisation d’une étude d’impact. Rappelons que dans le cadre de la crise sanitaire du COVID-19, le ministère chargé de la santé a mis en œuvre plusieurs traitements à caractère personnel, et notamment la création anticipée d’un entrepôt de données au sein du Health Data Hub sur le fondement de cet article. La CNIL avait alors relevé dans sa délibération n° 2020-044 du 20 avril 2020, que les organismes concernés par cette remontée de données ne figurant pas sur la liste déterminée par arrêté (alors encore en cours d’élaboration), ne pourraient poursuivre la mise en œuvre ultérieure de traitements qu’à condition de solliciter une autorisation de la CNIL conformément à l’article 66 de la même loi.

Cette liste est donc aujourd’hui publiée par un arrêté en date du 30 juin 2020 qui apporte peu de précisions - ce qui n’est guère surprenant vu son objet, à l’exception de la condition, pour certains des organismes mentionnés, de ne mettre en œuvre ces traitements qu’à la demande du ministère chargé de la santé.

Il semble d’autre part que cet arrêté ne reprenne pas explicitement les points soulevés par la CNIL dans son avis sur le projet d’arrêté du 11 juin dernier (délibération n°2020-061).

A titre principal, la CNIL relevait que seuls les responsables de traitements (par opposition aux sous-traitant ou aux destinataires) devaient être listés par l’arrêté. La CNIL précisait à ce titre que certains organismes, pourtant listés dans l’arrêté aujourd’hui, agissent comme sous-traitants, comme l’ANS ou le HDH, ce qui est contestable.

En second lieu, la CNIL relevait qu’en l’absence de définition légale de la notion « d’alerte sanitaire », il pourrait être difficile dans certains cas de bien identifier la finalité des traitements concernés et en particulier d’éviter une utilisation trop large de cette notion. C’est pourquoi l’autorité de protection préconisait que « les traitements ne pourront être mis en œuvre que dans le cadre d’une alerte sanitaire lancée par l’ANSP » et dès lors que « les organismes et services énumérés dans le projet d’arrêté ne pourront pas procéder eux-mêmes à l’évaluation de la situation d’alerte sanitaire  ».

Cette notion d’alerte sanitaire n’a pas non plus été explicitée dans l’arrêté du 30 juin 2020 et il convient donc d’en avoir une interprétation stricte pour les organismes listés qui souhaiteraient mettre en œuvre un traitement de données de santé en application de ces dispositions, à savoir, notamment :

  • la direction générale de la santé ;
  • le service de santé des armées ;
  • les agences régionales de santé ;
  • l’Agence nationale de santé publique, dans le cadre de ses missions de gestion et de suivi du risque pour la santé humaine ou des alertes sanitaires ;
  • la Caisse nationale de l’assurance maladie ;
  • certains organismes et services ayant pour objet la recherche dans le domaine de la santé ou contribuant à de telles recherches suivants (et notamment l’Institut Pasteur, les centres hospitaliers universitaires) ;
  • les organismes et services chargés de la remontée des informations ou de la mise en œuvre des traitements de données nécessaires pour répondre à une alerte sanitaire ou en gérer les suites suivants : l’Agence du numérique en santé, la Plateforme des données de santé, l’Agence technique de l’information sur l’hospitalisation ;
  • les organismes ou services chargés de la prévention et de la prise en charge des personnes en situation de handicap ou de perte d’autonomie ou ceux intervenant au soutien et à la protection des personnes vulnérables suivants : les maisons départementales des personnes handicapées, les services des départements, les directions départementales de la cohésion sociale et de la protection des personnes.