L’examen par la CNIL de la loi sur l’extension du passe sanitaire

Suite à la publication de la loi relative à la gestion de la crise sanitaire n°2021-1040 du 5 août 2021 et à la demande du gouvernement, la CNIL s’est prononcée sur l’extension du passe sanitaire, multipliant les mises en garde quant aux modalités du dispositif.

Source : Délibération n° 2021-097 du 6 août 2021 portant avis sur un projet de décret modifiant le décret n° 2021-699 du 1er juin 2021

 

La loi n°2021-1040 du 5 août 2021 portant sur la gestion de la crise sanitaire organise :

 

  Une extension du passe sanitaire qui concerne désormais de nombreuses activités dont certaines ont trait à la vie quotidienne (restaurants, débits de boissons, transports publics interrégionaux de longue distance, etc.) et qui s’impose désormais à de nouvelles catégories de personnes (salariés des lieux concernés par l’obligation du passe sanitaire, etc.) (I.) ;

 

  Un allongement de la durée de conservation des données du fichier contenant la centralisation des tests de dépistage (SI-DEP), pour permettre la production des certificats de rétablissement (II.) ;

 

  Un accès par les agences régionales de santé (ARS) aux données relatives à la vaccination des professionnels placés sous leur contrôle, dans le cadre de l’obligation vaccinale de certaines professions (médecin, chirurgien-dentiste, infirmier diplômé d’État, etc.) (III).

 

Ainsi, le contrôle du passe sanitaire pourra se faire en ligne à l’aide de nouveaux dispositifs alternatifs à l’application TousAntiCovid, les données accessibles aux contrôleurs dans le cadre de certains déplacements étant élargies aux informations relatives à l'examen de dépistage ou au vaccin réalisé, et certaines informations étant conservées temporairement par ces dispositifs.

 

Dans son avis du 6 août 2021, la CNIL rappelle au préalable que le contexte sanitaire actuel justifie des mesures exceptionnelles uniquement si elles restent limitées dans le temps et si elles sont nécessaires pour lutter contre le rebond épidémique.

 

Cependant, et outre le respect des textes en vigueur en matière de protection des données à caractère personnel, notamment le RGPD, ces mesures doivent aussi prévoir des garanties complémentaires permettant d’assurer leur transparence.

 

I – Sur le contrôle du passe sanitaire

 

La loi et ses décrets d’application prévoient un accès élargi aux informations relatives à l'examen de dépistage ou au vaccin réalisé pour certains contrôles du passe sanitaire.

 

Si ce dispositif est justifié par le fait que les règles imposées par les pays étrangers sont variables et peuvent fréquemment évoluer, la CNIL considère que cela devrait être limité à certains déplacements à l’étranger, la conservation temporaire des données devant se limiter au résultat de la lecture du passe

 

La possibilité de vérification du passe sanitaire en ligne peut, dans certains cas, justifier la conservation d’informations résultant d’un tel contrôle jusqu’à ce que la personne concernée puisse effectuer son déplacement ou accéder au lieu où elle souhaite se rendre.

 

La CNIL invite ici le gouvernement à limiter la conservation temporaire au seul résultat de la vérification opérée conformément au principe de minimisation des données.

 

Afin de faciliter le séjour en France des Français de l’étranger et des touristes étrangers, le Gouvernement a mis en place un portail dédié, connecté au « convertisseur de certificats », permettant la génération d’un passe sanitaire valable en France.

 

Ce passe est généré par des agents habilités sur la base d’informations transmises par les demandeurs.

 

La CNIL rappelle la nécessité de sécuriser l’envoi des informations nécessaires à la génération du certificat au format européen et de s’assurer de la suppression des informations une fois le certificat transmis à leurs détenteurs.

 

Quand à cette mesure, elle précise que le prestataire en charge de convertir les résultats doit être une société relevant exclusivement de la compétence des juridictions de l’Union européenne, afin de garantir leur conformité au RGPD en matière de transferts de données.

 

II – Sur la durée de conservation des données

 

Partant du constat qu’il existait un décalage entre la durée de conservation des données du fichier contenant la centralisation des tests de dépistage (SI-DEP), qu’il avait précédemment fixé à 3 mois à compter de leur collecte et la durée de validité des certificats de rétablissement (6 mois à compter de la contamination), le législateur a décidé d’allonger la durée de conservation des données des personnes testées positives à la COVID-19 jusqu’à 6 mois après leur collecte. Le projet de décret reprend à l’identique les dispositions législatives sur ce point.

 

III – sur un accès par les agences régionales de santé (ARS) aux données relatives à la vaccination des professionnels

 

Pour contrôler le respect de l’obligation vaccinale de certains professionnels (médecins, chirurgiens-dentistes, infirmiers diplômés d’État, pédicures-podologues, etc.), la loi autorise les Agences Régionales de Santé (ARS) à accéder, avec le concours des organismes d’assurance maladie, aux données relatives à la vaccination des professionnels placés sous leur contrôle.

 

La loi aménage ainsi une dérogation au secret médical au bénéfice des ARS, puisque les données relatives aux personnes vaccinées figurant dans « Vaccin covid », qui sont couvertes par le secret médical, n’étaient accessibles qu’aux professionnels de santé participant à la réalisation de la vaccination de la personne concernée et à certaines autorités sanitaires pour l’exercice de leurs missions.

 

Ici, la CNIL multiplie les mises en garde concernant :

 

  Le respect de la compétence territoriale et matérielle des ARS en demandant à ce qu'elles reçoivent uniquement les données des professionnels exerçant à titre libéral et dans leur territoire de compétence ;

 

  La gestion des habilitations d’accès des agents des ARS en recommandant que ces accès soient limités aux seuls agents ayant comme mission le suivi et le contrôle de l’obligation de vaccination des professionnels ;

 

  Les catégories de données qui seront transmises aux ARS en demandant qu’une liste précise des données soit mentionnée dans le décret.

 

La CNIL a aussi émis des remarques sur les durées de conservation des listes par les ARS et les organismes d’assurance maladie :

 

  La possibilité de conserver ces listes seulement jusqu’à la fin de l’obligation vaccinale ;

 

  Un effacement des listes par les organismes d’assurance maladie dès leur accusé de réception par les ARS ;

 

  Une transmission régulière et une conservation par les ARS uniquement de la liste la plus récente.