La CNIL a émis un avis sur le projet de décret relatif à la conservation des données pseudonymisées dans le cadre de la surveillance épidémiologique liée à la COVID-19. Elle a noté que la durée de conservation de six mois est en adéquation avec les systèmes « Contact Covid » et « SI-DEP ». Toutefois, la Commission a souligné l’absence de précisions sur les données pouvant être collectées, demandant une liste exhaustive pour garantir la conformité avec le principe de minimisation du RGPD. Seules les données nécessaires et pertinentes doivent être transmises aux organismes concernés.. Consulter la source documentaire.

Quelle est la durée de conservation des données pseudonymisées selon la CNIL ?

La CNIL a établi que la durée de conservation des données pseudonymisées collectées à des fins de surveillance épidémiologique et de recherche sur le virus de la covid-19 est de six mois.

Cette durée est jugée cohérente avec la durée de vie des systèmes d’information « Contact Covid » et « SI-DEP », qui est également de six mois après la fin de l’état d’urgence sanitaire.

Cette décision vise à garantir que les données ne soient pas conservées plus longtemps que nécessaire, respectant ainsi le principe de minimisation des données.

Quel est l’objectif du projet de décret soumis à la CNIL ?

Le projet de décret soumis à la CNIL a pour objectif d’organiser la sortie de l’état d’urgence sanitaire et de modifier la durée de conservation des données pseudonymisées.

Il prévoit également des précisions sur les modalités d’information des personnes concernées et l’allongement de la durée de conservation des données collectées dans le cadre des systèmes d’information « SI-DEP » et « Contact Covid ».

De plus, le projet vise à modifier certains articles du décret du 12 mai 2020 pour compléter la liste des personnes autorisées à accéder aux données et introduire de nouvelles catégories de données.

Quelles données ne peuvent pas être traitées dans le cadre de la surveillance épidémiologique ?

Dans le cadre de la surveillance épidémiologique, les données traitées ne peuvent pas inclure les noms et prénoms des personnes, leur numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) et leur adresse.

Le projet de décret mentionne que seules des données « pseudonymisées » seront conservées, mais sans fournir de précisions supplémentaires sur la nature de ces données.

La CNIL a souligné la nécessité d’une liste exhaustive des données pouvant être collectées pour assurer la transparence et la protection des individus.

Quel principe est respecté selon le RGPD concernant la collecte de données ?

Le projet de décret respecte le principe de minimisation des données, tel que stipulé à l’article 5 du règlement général sur la protection des données (RGPD).

Ce principe impose que seules les données adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités de traitement soient collectées.

Ainsi, les organismes en charge de la surveillance épidémiologique ou de la recherche sur le virus ne doivent recevoir que les données strictement nécessaires à leurs missions.