L’essentiel : La CNIL a émis un avis sur le projet de décret relatif à la conservation des données pseudonymisées dans le cadre de la surveillance épidémiologique liée à la COVID-19. Elle a noté que la durée de conservation de six mois est en adéquation avec les systèmes « Contact Covid » et « SI-DEP ». Toutefois, la Commission a souligné l’absence de précisions sur les données pouvant être collectées, demandant une liste exhaustive pour garantir la conformité avec le principe de minimisation du RGPD. Seules les données nécessaires et pertinentes doivent être transmises aux organismes concernés.

La CNIL a rendu sa Délibération n° 2020-083 du 23 juillet 2020 portant avis sur le projet de décret organisant la sortie de l’état d’urgence sanitaire et relatif à la durée de conservation des données pseudonymisées collectées à des fins de surveillance épidémiologique et de recherche sur le virus de la covid-19. La Commission a relevé que cette nouvelle durée (six  mois) est cohérente avec la durée de vie des systèmes d’information « Contact Covid » et « SI-DEP » (six mois après la fin de l’état d’urgence sanitaire).

La CNIL a été saisie en extrême urgence du projet de décret pris en application de l’article 3 de la loi n° 2020-856 du 9 juillet 2020 organisant la sortie de l’état d’urgence sanitaire. Le projet de décret prévoit d’allonger la durée de conservation des données pseudonymisées collectées dans le cadre des systèmes d’information « SI-DEP » et « Contact Covid » créés par le décret n° 2020-551 du 12 mai 2020  et précise également les modalités d’information des personnes concernées. Le projet de décret prévoit en outre de modifier les articles 3 et 9 du décret du 12 mai 2020 susvisé afin, notamment i) de compléter, pour le système d’information « Contact Covid », la liste des personnes autorisées à enregistrer et consulter les données ; ii) d’ajouter, pour le système d’information « SI-DEP », une nouvelle catégorie de données susceptible d’être enregistrée : « tout autre numéro permettant d’identifier le patient de manière certaine ».

Les données traitées dans le cadre de la surveillance épidémiologique ne pourront pas contenir les nom et prénoms des personnes, leur numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) et leur adresse. A cet égard, le projet de décret mentionne la conservation de données « pseudonymisées », cependant sans précision complémentaire. Or, la Commission relève que les articles 2 et 9 du décret no 2020-551 du 12 mai 2020 modifié listent de multiples données pouvant être enregistrées. Dès lors, elle a réitéré sa demande formulée dans son avis sur un projet de décret relatif aux systèmes d’information mentionnés à l’article 6 du projet de loi prorogeant l’état d’urgence sanitaire (délibération no 2020-051 du 8 mai 2020), afin que le projet de décret dresse la liste exhaustive des données pouvant être collectées en vue du suivi épidémiologique et de la recherche sur le virus.

Conformément au principe de minimisation, prévu à l’article 5 du règlement général sur la protection des données (RGPD), seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées devront être transmises aux organismes en charge de la surveillance épidémiologique ou de la recherche sur le virus.

Q/R juridiques soulevées :

Quelle est la durée de conservation des données pseudonymisées selon la CNIL ?

La CNIL a établi que la durée de conservation des données pseudonymisées collectées à des fins de surveillance épidémiologique et de recherche sur le virus de la covid-19 est de six mois.

Cette durée est jugée cohérente avec la durée de vie des systèmes d’information « Contact Covid » et « SI-DEP », qui est également de six mois après la fin de l’état d’urgence sanitaire.

Cette décision vise à garantir que les données ne soient pas conservées plus longtemps que nécessaire, respectant ainsi le principe de minimisation des données.

Quel est l’objectif du projet de décret soumis à la CNIL ?

Le projet de décret soumis à la CNIL a pour objectif d’organiser la sortie de l’état d’urgence sanitaire et de modifier la durée de conservation des données pseudonymisées.

Il prévoit également des précisions sur les modalités d’information des personnes concernées et l’allongement de la durée de conservation des données collectées dans le cadre des systèmes d’information « SI-DEP » et « Contact Covid ».

De plus, le projet vise à modifier certains articles du décret du 12 mai 2020 pour compléter la liste des personnes autorisées à accéder aux données et introduire de nouvelles catégories de données.

Quelles données ne peuvent pas être traitées dans le cadre de la surveillance épidémiologique ?

Dans le cadre de la surveillance épidémiologique, les données traitées ne peuvent pas inclure les noms et prénoms des personnes, leur numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) et leur adresse.

Le projet de décret mentionne que seules des données « pseudonymisées » seront conservées, mais sans fournir de précisions supplémentaires sur la nature de ces données.

La CNIL a souligné la nécessité d’une liste exhaustive des données pouvant être collectées pour assurer la transparence et la protection des individus.

Quel principe est respecté selon le RGPD concernant la collecte de données ?

Le projet de décret respecte le principe de minimisation des données, tel que stipulé à l’article 5 du règlement général sur la protection des données (RGPD).

Ce principe impose que seules les données adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités de traitement soient collectées.

Ainsi, les organismes en charge de la surveillance épidémiologique ou de la recherche sur le virus ne doivent recevoir que les données strictement nécessaires à leurs missions.