Un arrêté publié le 2 juillet au Journal officiel autorise différents organismes et institutions publics à « mettre en œuvre des traitements de données à caractère personnel dans le domaine de la santé ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites ». Cependant « l’arrêté ne détaille pas les données concernées ».
En plus de la direction générale de la santé (DGS), du service de santé des armées (SSA), des agences régionales de santé (ARS) et de Santé publique France « dans le cadre de ses missions de gestion et de suivi du risque pour la santé humaine ou des alertes sanitaires », « les organismes suivants peuvent également traiter ces données “à la demande du ministère chargé de la santé” :
- la Caisse nationale de l’assurance maladie (Cnam)
- l’Institut Pasteur
- l’Inserm
- les CHU
- l’Ecole des hautes études en santé publique (EHESP)
- l’Agence du numérique en santé (ANS, ex-Asip santé)
- la Plateforme des données de santé (PDS, ou Health Data Hub), à condition de pseudonymiser les données
- l’Agence technique d’information sur l’hospitalisation (ATIH)
- les services des départements chargés de la prévention et de la prise en charge des personnes en situation de handicap ou de perte d’autonomie ou ceux intervenant au soutien et à la protection des personnes vulnérables, dont les maisons départementales des personnes handicapées (MDPH) et les directions départementales de la cohésion sociale et de la protection des personnes (DDCSPP) ».
Selon la Commission nationale de l’informatique et des libertés (Cnil), « plusieurs de ces institutions “ne devraient pas figurer dans l’arrêté” ». Dans « une délibération sur le projet d’arrêté datée du 11 juin et publiée le 2 juillet au Journal officiel », la Cnil « vise les organismes et services de recherche, les DDCSPP, l’ANS, la PDS et l’ATIH, au motif qu’ils agissent en tant que sous-traitant ou destinataire des données au sens du règlement général sur la protection des données (RGPD) ».
Par ailleurs la Commission note que « “la notion d’alerte sanitaire n’est pas définie dans les textes législatifs ou réglementaires”, et qu’il revient à Santé publique France de lancer une alerte sanitaire ». Ainsi « les traitements ne pourront être mis en œuvre que dans le cadre d’une alerte sanitaire lancée par l’ANSP ».
« Un certain nombre de projets récemment soumis pour autorisation et liés à la Covid-19, qui constitue un exemple d’alerte sanitaire, ne remplissent pas les critères énoncés » indique la Commission qui « rappelle que près d’un tiers des projets de recherches n’impliquant pas la personne humaine liés à la Covid-19 a fait l’objet d’avis réservés ou défavorables du Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (Cesrees), le plus souvent en raison de lacunes ou de difficultés méthodologiques ».
Pour aller plus loin :
Contre l’avis de l’Ordre des médecins, le Sénat autorise la conservation prolongée des données
Données de santé Covid-19 livrées au Health Data Hub : un recours déposé auprès du Conseil d’Etat
Données de santé et état d’urgence sanitaire : le Sénat pose des limites
Tic Santé, Léo Caravagna (17/07/2020)