De très nombreuses PME-TPE étaient effrayées par l’arrivée du RGPD, de nombreuses voix n’y voyaient qu’un carcan inflexible . Or avec la pandémie, la CNIL a su voir dans le RGPD une grande adaptabilité. Cette souplesse est à rappeler aux entreprises qui pensent manquer de ressources pour se mettre en conformité.
Si le Conseil constitutionnel contrôle la loi adaptant en droit interne un règlement de l’Union européenne[1], il a maintenu jusqu’ici sa jurisprudence traditionnelle lorsqu’il examine une loi sur le fondement des articles 61 et 61-1 de la Constitution. Le Conseil constitutionnel ne procède pas au contrôle de sa compatibilité avec les engagements internationaux et européens de la France « un tel moyen ne saurait être regardé comme grief d’inconstitutionnalité et relève de la compétence des juridictions administratives et judiciaires [2] ».
Avec la pandémie, l’accès aux juges administratifs et judiciaires étant fortement perturbé, le Conseil constitutionnel aurait donc pu à plus forte raison examiner au regard du RGPD la loi du 11 mai 2020 prorogeant l’état d’urgence. Peut-être que l’existence de la loi de 1978 modifiée par ce règlement a évité cet examen ou peut-être qu’il est apparu préférable de laisser au Conseil d’Etat [3]cette confrontation quitte à en fixer les premières limites ? Peu importe finalement les motivations, notons simplement que le règlement du 27 avril 2016 n’est mentionné qu’une seule fois dans la décision du 11 mai 2020 à propos « des principes régissant les traitements des données à caractère personnel et aux droits reconnus aux personnes dont les données sont collectées, notamment leurs droit d’accès, d’information et de rectification »[4] mais pour ne pas y voir d’atteinte.
C’est donc sans l’appui du RGPD, que le Conseil constitutionnel retient le 11 mai 2020 « l’objectif de valeur constitutionnelle de protection de la santé », ( points 63, 64 ) pour enfermer strictement le champ des données à caractère personnel …aux seules données strictement nécessaires à la poursuite des quatre finalités de la loi, – démarche très RGPD compatible – , ajoutant d’ailleurs pour celle relative à la surveillance épidémiologique et à la recherche contre le virus la suppression des coordonnées des contacts téléphoniques ou électroniques des intéressés. De même, le Conseil constitutionnel retient le respect de la vie privée pour censurer l’emploi à l’accompagnement social des données personnelles recueilles sans consentement ( point 70), exiger des mécanismes d’habilitation des agents pour l’accès à ces données (point 74), et limiter leur conservation au-delà des trois mois après leur collecte ( point 76).
C’est essentiellement à la CNIL de veiller au respect du RGPD en lui reconnaissant une étonnante adaptabilité à cette situation de pandémie.
Le RGPD est compatible avec une pandémie, « Certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine » ( considérant 46 ). Et quitte même à prévoir des aménagements avec le secret professionnel comme le prévoit la loi avec celui des personnels de santé « Le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel » (Article 9. 2 i).
Le 8 mai, la CNIL délibère sur SI-DEP et Contact – Covid et les 24 avril et 25 mai pour StopCovid. N’oublions pas que dès le 20 avril, la CNIL s’était prononcée sur des données des patients sur le Hub santé.
Il ne s’agit pas ici de reprendre ces différents avis et délibérations. Limitons-nous à une observation très générale sur ces différents dispositifs de traitements des données personnelles. Tous sont soumis aux mêmes exigences du RGPD par la CNIL bien que seuls les deux premiers aient nécessité une loi d’urgence sanitaire. Le RGPD n’a que faire de la séparation constitutionnelle entre pouvoir législatif (article 34) et les attributions réglementaires (article 37), et la CNIL exercer son contrôle sans distinguer entre la loi et la voie réglementaire !
- La CNIL confronte dans les mêmes termes du RGPD les trois dispositifs même si les parlementaires ont exclu des dispositifs techniques requis par l’urgence sanitaire l’information des contacts des personnes infectées par application mobile.
La loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions initiales n’a créé que deux traitements d’informations dénommés au décret du 12 mai SI-DEP, les données des personnes infectées, et Contact-Covid pour les personnes en contact avec celles identifiées par le premier système informatique. Ces deux traitements ne requièrent pas l’emploi d’une application mobile. Le fichier des personnes infectées est rempli par les médecins et les responsables des laboratoires d’analyse biologique et d’imagerie médicale. Quant aux informations relatives aux personnes en contact avec des personnes infectées, elles sont saisies par ces mêmes professionnels de la santé, par différents personnels d’organismes publics spécialement habilités ou proviennent du traitement des informations de SI-DEP. Très clairement, la loi en son article 11 écarte le recours à une application mobile de type Stop Covid : « Sont exclus de ces finalités le développement ou le déploiement d’une application informatique à destination du public et disponible sur équipement mobile permettant d’informer les personnes du fait qu’elles ont été à proximité de personnes diagnostiquées positives au Covid-19 ». Dans sa décision, le 11 mai 2020, le Conseil constitutionnel prend acte de cette exclusion.
Bien que soumis à deux régimes juridiques différents par leur origine, ces trois dispositifs sont traités de manière analogue par la CNIL.
Dès son avis du 8 mai, la CNIL rappelle les exigences applicables aux deux premiers dispositifs autorisés par la loi « La Commission rappelle que, quel que soit le contexte d’urgence, des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel doivent être apportées. Ainsi, au-delà de son l’avis sur ce projet de décret, la Commission se montrera attentive aux conditions de mise en œuvre de ces traitements, notamment en ce qui concerne les mesures de sécurité prévues. A ce titre, elle demande à être informée des conditions de leur déploiement par la CNAM et le ministère, notamment dans le cadre de la réalisation et de l’évaluation des analyses d’impact relatives à la protection des données (AIPD) qui devront, pour chacun des traitements, être réalisées en application de l’article 35 du RGPD. La Commission demande à ce que celles-ci lui soient transmises dans leur version définitive ainsi que, le cas échéant, leurs mises à jour. »
- L’avis de la CNIL retient comme base légale à Stop Covid la mission d’intérêt public de lutte contre la pandémie et non une quelconque urgence qui avait habilitée le gouvernement à intervenir par ordonnance.
Le 27 mai, les parlementaires ne votent pas sur une nouvelle loi relative à l’état d’urgence. Ils se prononcent sur une déclaration du gouvernement « relative aux innovations numériques de la lutte contre l’épidémie ». Dans cet intitulé, l’urgence n’apparait pas. Quand le secrétaire d’État au numérique précise que « l’application pouvait être déployée à droit constant sans modifier aucunement la législation existante », il se réfère à l’avis de la CNIL dont la base légale est la mission d’intérêt public de lutte contre la pandémie. A l’Assemblée nationale, les prises de parole opposent les libertés publiques à l’épidémie sans citer en tant que telle l’urgence même si celle-ci est sous-entendue « s’il ne devait sauver qu’une seule vie humaine, cela justifierait son existence » .
L’urgence et les mesures prises en son nom ne sont pas loin. Stop Covid interagit avec les deux traitements SI-DEP et Contact-Covid. Mais n’est-ce pas d’ailleurs ce que demande la CNIL son déploiement doit s’inscrire dans un plan d’ensemble et « mettant en garde le gouvernement contre la tentation du « solutionnisme technologique » Informée par son mobile d’un contact avec un patient contaminé, la personne présumée infectée aura un avantage à se voir inscrire dans le fichier Contact-Covid pour obtenir le remboursement des tests effectués en laboratoire de biologie médicale et pour la délivrance de masque en officine.
Cette interaction entre Stop Covid et les deux traitements est un point de vigilance de la CNIL qui a par avance indiqué qu’aucune conséquence négative ne devait être attachée à l’absence de téléchargement ou l’utilisation de l’application. Stop Covid se fonde sur le volontariat des utilisateurs quand les deux traitements sont obligatoires. En séance, le gouvernement a pris l’engagement d’inclure Stop Covid dans la mission d’évaluation des outils numériques du Comité de contrôle et de liaison créé par la loi du 11 mai. Et dans son avis du 26 mai, la CNIL admet que le caractère temporaire de l’application est respecté quand celle-ci voit sa durée calquée sur celle prévue pour les traitements SI-DEP et Contact- Covid. A cette application qui ressemblerait de plus en plus aux deux traitements qui n’ont été autorisés que par la loi sur l’état d’urgence sanitaire, la CNIL a néanmoins voulu voir dans le projet de décret qui lui était soumis, l’exclusion de certaines finalités des deux traitements : « soit expressément exclues des finalités poursuivies par le traitement : les opérations de recensement des personnes infectées, d’identification des zones dans lesquelles ces personnes se sont déplacées, de prise de contact avec la personne alertée ou de surveillance du respect des mesures de confinement ou de tout autre recommandation sanitaire. Le traitement ne doit pas non plus permettre de réaliser le suivi des interactions sociales des personnes ». A nouveau, les deux avis de la CNIL dessinent le fil rouge des libertés publiques et de la vie privée.
Aux trois dispositifs de données personnelles en relation avec la pandémie, issus de la loi ou de la voie règlementaire, et sans distinguer selon cette origine, la CNIL oppose le RGPD et les principes fondamentaux des libertés publiques.
[1] Décision n°2018-765 DC du 12 juin 2018
[2] Décision n° 2010-605 DC du 12 mai 2010 cons. 11 et 12 ; n° 2014-694 DC du 28 4, Loi relative à l’interdiction de la mise en culture des variétés de maïs génétiquement modifié, cons. 2.
[3] Voir par exemple au point 71 de la décision du 11 main
[4] Point 75