24 heures après la loi du 11 mai 2020 qui a autorisé ces traitements, le décret fixe les règles applicables aux traitements de données de santé dans le cadre de la lutte contre l’épidémie de coronavirus.
*Décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions.
L’article 11 de cette loi permet au ministre chargé de la santé de mettre en œuvre un système d’information aux seules fins de lutter contre la prorogation de l’épidémie de la covid-19 « pour la durée strictement nécessaire à cet objectif ou, au plus, pour une durée de six mois à compter de la fin de l’état d’urgence sanitaire ».
Si le gouvernement a pu aller aussi vite c’est que le décret a été préparé en amont de l’examen de la loi. La Commission nationale de l’informatique et des libertés (CNIL) a en effet été préalablement consultée et ses recommandations ont été suivies. La CNIL a jugé le dispositif conforme au règlement général sur la protection des données (RGPD). Elle a été convaincue « qu’en l’état des analyses scientifiques recueillies par le gouvernement, le dispositif d’enquêtes sanitaires et de suivi épidémiologique envisagé est nécessaire au déconfinement ». Elle a précisé qu’elle contrôlera « étroitement le dispositif ».
Les deux systèmes d’information concernés :
Le traitement « Contact Covid » : contiendra des informations sur les patients et leurs contacts. Il sera géré par la Caisse nationale d’assurance maladie (CNAM). Il s’agit à chaque fois de voir depuis chaque patient zéro ou personne évaluée comme contact à risque de contamination et de suivre le tracing avec un accès limité par l’article 3 du décret.
Le système d’information national de dépistage (SI-DEP) : centralise les résultats d’examens de dépistage de la covid-19. La gestion est confiée à l’Assistance publique-Hôpitaux de Paris en qualité de sous-traitant ; sous la responsabilité du ministre chargé de la santé.
(à ne pas confondre avec la possible future application StopCovid sur smartphone…)
Les données à caractère personnel collectées par ces systèmes d’information ne peuvent être conservées à l’issue d’une durée de trois mois après leur collecte.
