Le Conseil d’État estime que les conditions de mise en œuvre des fichiers, qui reposeront notamment sur le traitement de données de santé non anonymisées, « le cas échéant sans le consentement des personnes intéressées », « ne portent pas une atteinte disproportionnée au droit au respect de la vie privée ». Le projet de loi est examiné aujourd'hui au Sénat.

Ce samedi 2 mai, Olivier Véran, ministre de la Santé, a présenté en conférence de presse les mécanismes du « contact tracing », et notamment du « système d'information » de ce traçage des chaînes de contamination du coronavirus qui sera mené à partir du 11 mai et utilisé par ce qu'il a qualifié de « brigades d’anges gardiens, parce qu’elles vont venir au contact des malades, des personnes potentiellement malades, pour assurer leur propre protection ». 

« 3 000 à 4 000 salariés » de l’Assurance maladie feront partie de ces « brigades » d’identification des cas contacts de ceux testés positif, selon le ministre. Il précise que le gouvernement pourrait faire appel à la Croix-Rouge ou aux salariés des centres communaux d’action sociale (CCAS) « si on se rendait compte qu’on manquait de personnes capables de faire du tracing ».

Les données récoltées seront réparties dans une sorte de dossier médical partagé, composé de deux fichiers d’information : « SIDEP, dans lequel seront inscrites les informations des laboratoires de biologie médicale lorsqu’un patient aura été testé positif », et le dispositif « Contact Covid, inspiré du site de l’Assurance maladie Ameli, qui permettra notamment d’avoir les coordonnées des personnes à contacter ».

Un « grand nombre d’intervenants » auront accès à des informations « sensibles »

Les médecins généralistes, chargés de recenser les personnes ayant été en contact avec un patient atteint du Covid-19 et ainsi effectuer une première analyse du risque de contamination, recevront un forfait de 55 euros par patient, comprenant à la fois la consultation et la saisie informatique des coordonnées des membres de la cellule familiale.

Pour encourager les médecins à poursuivre l’enquête au-delà du cercle familial, deux euros seront versés pour chaque contact supplémentaire identifié. Ce montant sera porté à quatre euros quand les coordonnées permettant de les joindre seront renseignées, a précisé Nicolas Revel, le directeur de l’Assurance maladie, aux Echos.

Étant donné qu’un « grand nombre d’intervenants », parfois même des personnes qui « ne sont pas des professionnels de santé », auront accès par ce système à des informations « sensibles », à la fois « médicales et non médicales », le gouvernement accompagnera ce « contact tracing » d’une « disposition législative ». 

Le projet de loi débattu au Sénat aujourd’hui prévoit ainsi que l’exécutif pourra prendre « toute mesure relevant du domaine de la loi » par ordonnance afin de « préciser ou compléter (…) l’organisation et les conditions de mise en œuvre des systèmes d’information nécessaires ». Un projet de loi de ratification sera déposé devant le Parlement dans un délai de deux mois suivant la publication de cette ordonnance.

Des données partagées, « le cas échéant sans le consentement des personnes intéressées »

Le projet de loi prorogeant l'état d'urgence sanitaire et complétant ses dispositions, qui sera discuté au Sénat ces 4 et 5 mai, permet en son article 6 « au ministre chargé de la Santé de mettre en œuvre un système d'information aux seules fins de lutter contre la prorogation de l'épidémie de Covid-19 ». Mais également que « cette faculté est limitée à la durée de l'épidémie ou au plus tard à une durée d'un an à compter de la publication de la loi ». 

Il autorise également le ministre chargé de la Santé, à l'Agence nationale de Santé publique, à l'Assurance maladie et les agences régionales de santé le pouvoir « d'adapter aux mêmes fins et pour la même durée des systèmes existants ». Ces derniers, « pouvant comporter des données de santé et d'identification, visent à identifier les personnes infectées ou susceptibles de l'être, à organiser les opérations de dépistage, à définir le cas échéant des prescriptions médicales d'isolement prophylactique et à assurer le suivi médical des personnes concernées, à permettre une surveillance épidémiologique et la réalisation d'enquêtes sanitaires, ainsi qu'à soutenir la recherche sur le virus ».

« Les systèmes d'information existants ne permettant pas le recensement des cas confirmés à destination d'un dispositif de tracing ni de mettre en œuvre le tracing lui-même, il n'existait pas d'autre option que de permettre la création de systèmes et l'adaptation des systèmes existants à cette fin », explique son étude d'impact.

Des « données relatives aux personnes atteintes par ce virus et aux personnes ayant été en contact avec elles peuvent être partagées, le cas échéant sans le consentement des personnes intéressées » précise-t-elle par ailleurs, mais sans pour autant détailler quelles seront ces « données » collectées.

Une liste ouverte de données, de vastes finalités 

Témoignage de ce flou, l’article 6 du projet de loi indique que les systèmes d’information pourront « notamment » comporter des données de santé et d’identification. L’adverbe laisse donc la porte ouverte à des traitements portant sur de nombreuses informations.

On peut imaginer que cela concerne celles de géolocalisation, issues des transporteurs (par exemple, tous les voyageurs dans une rame TGV où un malade a été identifié), des images issues des caméras de videoprotection… La liste étant ouverte, le champ du possible est infini, pour autant que les traitements collent aux finalités décrites. 

En effet, si ces systèmes « pourront comporter des données de santé et d'identification », pour autant, « leurs finalités sont clairement définies, en lien direct avec la lutte contre l'épidémie de Covid-19 » :

1. l'identification des personnes infectées, par l'organisation des examens de biologie médicale de dépistage et la collecte de leurs résultats ;
2. l'identification des personnes présentant un risque d'infection, par la collecte des informations relatives aux contacts des personnes infectées et, le cas échéant, par la réalisation d'enquêtes sanitaires, en présence notamment de cas groupés ;
3. l’orientation des personnes infectées, et des personnes susceptibles de l'être, en fonction de leur situation, vers des mesures médicales d'isolement prophylactiques, de mise à l'isolement ou en quarantaine (dont la violation sera pénalement sanctionnée), ainsi que le suivi médical et l'accompagnement de ces personnes pendant et après la fin de ces mesures ;
4. la surveillance épidémiologique aux niveaux national et local, ainsi que la recherche sur le virus et les moyens de lutter contre sa propagation.

Combien de personnes auront accès à ces données ?

Lesdites données, à défaut d'être clairement circonscrites, n'en seront pas moins « accessibles aux agents habilités des services d'organismes limitativement identifiés », qui brassent large, à mesure qu'on y retrouve :

• le ministère de la Santé ;
• le service de santé des Armées ;
• l'Agence nationale de santé publique ;
• les organismes nationaux et locaux d'assurance maladie ;
• les agences régionales de Santé ;
• les communautés professionnelles territoriales de Santé ;
• les établissements de Santé ;
• les maisons de Santé ;
• les centres de Santé et les médecins prenant en charge les personnes concernées ;
• les laboratoires autorisés à réaliser les examens de biologie médicale de dépistage sur les personnes concernées.

L'étude d'impact ne dit pas combien de gens, au total, auront accès au fichier. Elle se borne à indiquer qu'un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés (CNIL), « précisera, pour chaque organisme, les services et personnels concernés, les catégories de données auxquelles ils auront accès, ainsi que les organismes auxquels les agents habilités pourront faire appel pour le traitement de ces données, pour leur compte et sous leur responsabilité, dans le respect des dispositions du règlement général sur la protection des données (RGPD) ».

Dans une interview au Parisien, Olivier Véran, ministre de la Santé, précise de son côté que « plus de 3 000 personnes formées de l'Assurance maladie seront chargées de tracer les contacts proches des cas positifs ». Jean-François Delfraissy, président du Conseil scientifique Covid-19, en réclamait de son côté 30 000, lorsqu'il estimait que le nombre de nouvelles contaminations serait de 10 000 à 15 000 par jour, chiffre qui a depuis été revu à la baisse, et que le comité scientifique estime qu'il « pourrait correspondre », lors du déconfinement, entre 1 000 et 3 000 personnes par jour.

• « Contact tracing » : la nécessité (oubliée) de milliers d'enquêteurs

Enfin, souligne l'étude d'impact, « la mise en place et la gestion du système d'information, ainsi que l'utilisation des données, entraîneront une charge de travail supplémentaire pour les organismes concernés, sans ressources nouvelles », mais sans plus de précisions ni d'explications.

Deux fichiers, trois niveaux de « contact tracing »

« Le contact tracing repose sur deux méthodes de recensement complémentaire », adossées à deux fichiers, prévient-elle. Tout d'abord « l'identification des personnes infectées, ce qui suppose de tester et de transmettre les résultats aux organismes du contact tracing » via un « service intégré de dépistage et de prévention (SIDEP) », fichier placé sous la responsabilité de la direction générale de la santé (DGS), dont l'Assistance Publique - Hôpitaux de Paris (APHP) est sous-traitante.

Déployé dans l'ensemble des laboratoires et structures autorisés à réaliser les tests biologiques, SIDEP, « en plus d'assurer le retour d'information sur un test positif vers le patient, le médecin prescripteur et le médecin traitant – s'il n'est pas le prescripteur –, colligera également l'ensemble des résultats des tests et les mettra à disposition des organismes intéressés pour la prise en charge, le contact tracing à ses différents niveaux (sous forme identifiante) mais aussi la surveillance épidémiologique (sous forme agrégée) ».

La seconde méthode est « l'identification des cas-contacts [personnes ayant pu, les jours précédents, avoir été contaminées par les personnes infectées, ndlr], l'analyse les chaînes de transmission et le traitement des foyers d'infection (ou clusters) qui supposent un travail d'enquête ».

Ce sera le rôle du second fichier, « Contact covid », mis en œuvre par l'Assurance maladie (Ameli) et qui « servira à collecter les données des enquêtes sur les personnes qui ont été en contact avec une personne infectée par le Covid-19 ». Trois niveaux de contact tracing seront mis en place :

• le premier correspond au médecin traitant qui établit une première liste des contacts,
• le deuxième aux plateformes de l'assurance maladie qui vont préciser la liste puis appeler les cas-contacts identifiés,
• le troisième aux agences régionales de santé qui vont traiter, avec l'appui des cellules en région de Sante publique France, les clusters et les chaînes de transmission plus complexes.

Ces systèmes d'information seront techniquement et juridiquement indépendants du projet « Stop Covid », conclut l'étude d'impact, confirmant une information déjà donnée vendredi.

Une « atteinte proportionnée au droit au respect de la vie privée », pour le Conseil d'État

Le Conseil d'État, pour sa part, « estime, en l’état des informations qui lui ont été communiquées par le Gouvernement ainsi que des avis scientifiques sur lesquels celui-ci s’est appuyé, que les systèmes d’information autorisés sont nécessaires à la réalisation des finalités poursuivies. Il souligne cependant que cette nécessité devra être réévaluée périodiquement au vu de l’évolution de l’état de l’épidémie ».

Il considère par ailleurs que l’accès à « des données de santé non anonymisées » par « des professionnels, pour certains non médicaux, même en l’absence de consentement de l’intéressé est justifié par l’impossibilité pour les seuls professionnels médicaux de réaliser l’ensemble des nombreuses enquêtes nécessaires au dépistage et à l’identification des chaînes de transmission et cas groupés, qui implique la mobilisation de moyens humains très importants ».

Le Conseil d’État estime par ailleurs que « l’accès de certains professionnels à des données relatives aux personnes avec lesquelles les personnes infectées ont été en contact, alors même que ces dernières n’y auraient pas préalablement consenti, est rendu nécessaire, en dépit de l’atteinte ainsi portée à la vie privée des intéressés, à la réalisation des enquêtes permettant d’identifier de nouveaux cas de contamination ».

Il « appelle toutefois l'attention du Gouvernement sur la nécessité, dans les textes qui assureront la mise en œuvre de ces dispositions, de garantir par des mesures particulièrement rigoureuses le respect de la vie privée et la restriction de ces accès aux plus strictes nécessités de la sécurité sanitaire ».

L’institution « souligne en outre qu’il appartiendra au décret en Conseil d’État auquel renvoie le projet de loi d’écarter tout risque d’utilisation des données contenues dans les traitements de données existants à d’autres fins que les strictes nécessités médicales en lien avec la lutte contre le Covid-19 et de limiter au strict nécessaire la durée de l’accès à ces informations ».

Le Gouvernement « a précisé, à cet égard, que seules les données administratives nécessaires pour l’identification des personnes susceptibles d’être contaminées ainsi que pour la désignation des professionnels de santé qui suivent le patient et celles permettant de les joindre, contenues dans les traitements existants, pourraient être utilisées à cette fin ».

Le Conseil d’État « estime donc, sans préjudice de l’analyse de la conformité des textes mettant en œuvre les dispositions ainsi prévues aux normes juridiques supérieures, notamment au RGPD, que les conditions générales prévues par le législateur pour la mise en œuvre de ces traitements de données à caractère personnel ne portent pas, par elles-mêmes, une atteinte disproportionnée au droit au respect de la vie privée garanti par les articles 2 de la Déclaration de 1789 et 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et ne méconnaissent pas les dispositions du RGPD ».

Notons qu'un avis positif de la juridiction administrative ne signifie pas que le texte respecte les normes fondamentales. Plusieurs fois dans le passé, des dispositions pourtant validées haut la main devant cette juridiction furent décapitées par le Conseil constitutionnel. 

Un déluge d'amendements visant les traitements automatisés

Selon le dernier décompte, 164 amendements ont été déposés, dont 54 au sujet de cet article 6. Nathalie Goulet (Union centriste) propose un laconique « Supprimer cet article », au motif que « cet amendement se justifie de lui-même ». 

Dany Wattebled (indépendant) veut quant à lui « rétablir la nécessité du consentement des individus pour l'utilisation ou la communication de leurs données de santé », mais également de lui permettre d'« être employé tant qu'il est nécessaire, c'est-à-dire tant que l'épidémie est en cours », à mesure qu'« il est à craindre que cette épidémie dure plus d'un an ».

Des élus LR proposent eux aussi de supprimer cet article 6. « Étendre la manipulation de données confidentielles d’ordre médical à un nombre d’agents habilités aussi important présente des risques considérables, et crée un précédent très malvenu en matière de levée du secret médical ».

Selon eux, « il apparaît peu sérieux de proposer au législateur d’adopter un dispositif aussi important et aussi flou pour l’heure (…) dans un délai aussi réduit ne permettant pas un travail effectif des sénatrices et sénateurs pour examiner les tenants et les aboutissants d’un tel système et les implications inquiétantes sur nos droits fondamentaux ». Amendement similaire déposé par le groupe communiste.  

Plusieurs sénateurs LR souhaitent restreindre les accès et le traitement des données médicales « aux plus strictes nécessités de la sécurité sanitaire », mais également que SIDEP soit « hébergé dans le respect de la souveraineté nationale dans la mesure où il y a une levée du secret médical ». Des élus centristes proposent pour leur part de réécrire la disposition en faisant disparaitre toute dimension de suivi et d’identification des personnes.  

Nicole Duranton (LR) demande de « préciser les conditions d’hébergement de ces données personnelles particulièrement sensibles » de sorte qu'elles soient « hébergées dans des serveurs situés sur le territoire national », afin d'éviter qu'elles puissent « être détournées de leur objectif initial, ni utilisées à des fins commerciales ou conservées par un autre État ».

Des sénateurs socialistes comptent faire préciser que le système d’information « exclut la mise en place d’application technologique de traçage des activités sociales, temporelles et spatiales au moyen d’une application numérique mobile ». L’enjeu ? Refuser que l’article 6 ne serve de base légale à StopCovid. Une rustine identique a été déposée par la majorité LR ou encore Philippe Bas, président de la commission des lois.

Sans surprise, plusieurs élus LR ne veulent pas d’une habilitation par ordonnance qui « aboutit à déposséder le Parlement de son pouvoir de contrôle de l'exécutif sur la mise en œuvre d’un dispositif dont il aurait présenté les contours sans en déterminer précisément le contenu et la portée alors que se trouvent en jeu des implications touchant aux libertés individuelles ».  

La CNCDH craint « un effet cliquet »

Dans un courrier adressé ce jour au Premier ministre, Jean-Marie Burguburu, président de la Commission nationale consultative des droits de l'homme (CNCDH), fait part de « ses préoccupations concernant plusieurs dispositions du projet de loi présenté à l'issue du conseil des ministres extraordinaire du 1er mai 2020 ».

Évoquant l’article 6, elle craint « un effet cliquet par l’accoutumance au recours aux outils numériques légitimés dans le contexte de protection de la santé publique, ouvrant à l’avenir l’usage de ce même type de mesures pour d’autres fins et justifiant une critiquable interconnexion élargie des fichiers ».

La Commission rappelle en outre que « l’éventuelle conformité à la réglementation sur la protection des données à caractère personnel n’équivaut pas à un respect des droits et libertés fondamentaux. Les mesures de suivi numérique et la constitution des fichiers mentionnés seraient susceptibles de présenter un risque transversal d’atteinte aux droits de l’homme. Outre les risques induits par la multiplicité d’acteurs qui pourront accéder aux fichiers, les données sensibles collectées pourront être partagées sans le consentement des personnes intéressées, ce qui appelle un contrôle indépendant et un suivi dans le temps de ces mesures ».

Au surplus, écrit Burguburu, « les mesures d’identification des personnes présentant un risque d’infection notamment par collecte des informations relatives aux contacts présentent un fort risque de stigmatisation et d’atteinte aux droits et libertés fondamentaux ». La CNCDH « regrette enfin que le projet de loi envisage l’habilitation du gouvernement à prendre par ordonnance des mesures dérogeant à la loi informatique et libertés et à certaines règles relatives aux dossiers médical et pharmaceutique ».