Le gouvernement publie un décret autorisant le système d’information « Vaccin Covid »

Le décret n°2020-1690 du 25 décembre 2020 autorise un traitement de données personnelles relatif aux vaccinations contre la Covid-19. Ce traitement a pour finalité d’assurer l’organisation et le suivi de la campagne vaccinale, motif d’intérêt public justifiant le traitement de données de santé au sens de l’article 9 du RGPD. Le décret assure notamment le droit à l’information des personnes concernées et l’exercice, sous conditions, de leur droit d’opposition. Le droit à l’effacement des données est néanmoins inapplicable à ce traitement.

Pour lire le décret sur Légifrance

La CNIL sanctionne deux médecins libéraux

Le 7 décembre 2020, la formation restreinte de la CNIL a infligé des amendes respectives de 3 000 et 6 000 euros à deux médecins, à la suite de la découverte de milliers d’images médicales de leurs patients accessibles en ligne. La CNIL leur a notamment reproché de ne pas lui avoir notifié cette violation de données dès qu’ils en ont eu connaissance avant de souligner que la sensibilité des données concernées appelait "une vigilance toute particulière".

Pour lire la première et la seconde délibérations de la CNIL

La CNIL publie sa position sur l’application « TousAntiCovid »

Le 23 octobre 2020, la CNIL a indiqué que le déploiement de l’application de traçage des cas contacts, remplaçant "StopCovid", "ne nécessitait pas de saisine obligatoire de la CNIL dès lors qu’aucune modification substantielle touchant au traitement de données personnelles n’a été mise en œuvre dans le cadre de l’utilisation [de la nouvelle application]". Celle-ci reprend en effet le protocole antérieur "conçu dans une logique de minimisation des données et de protection dès la conception".

Pour lire le communiqué de la CNIL

   

Application « StopCovid » : la CNIL met en demeure le Ministère des Solidarités et de la Santé

Le 16 juillet 2020, à la suite de trois contrôles portant sur le traitement des données personnelles dans le cadre de l’application "StopCovid", la CNIL a mis en demeure le Ministère des Solidarités et de la Santé de se conformer au RGPD. La CNIL a notamment constaté des manquements aux obligations "de traiter les données conformément au décret du 29 mai 2020", "d’informer les personnes concernées et d’obtenir [leur consentement]" et "d’encadrer par un acte juridique formalisé les traitements effectués par les sous-traitants".

Pour lire la décision de la CNIL

Une commune enjointe de cesser d’utiliser des caméras thermiques

Par ordonnance du 26 juin 2020, le Conseil d’État a considéré que les données recueillies par caméras thermiques, dès lors qu’elles concernent des personnes identifiables et qu’elles permettent d’apprécier leur état de santé, constituent des données personnelles. Il a donc ordonné à une commune, qui ne démontrait pas l’existence d’un intérêt public important et n’avait pas recueilli le consentement libre, spécifique et éclairé de ses administrés, de mettre fin à leur utilisation.

Pour lire la décision du Conseil d’État

Le fonctionnement du Health Data Hub validé par le Conseil d’État

Le 19 juin 2020, le Conseil d’État, saisi en référé, a jugé que l’arrêté autorisant la Plateforme des données de Santé à recevoir des données relatives à la santé des personnes concernées pour faire face à l’épidémie de Covid-19 dans le cadre de l’état d’urgence sanitaire ne porte pas d’atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles. Néanmoins, le Health Data Hub devra fournir à la CNIL tous éléments relatifs aux procédés de pseudonymisation utilisés.

Pour lire la décision du Conseil d’État

Deux traitements de données personnelles autorisés pour identifier et suivre les personnes infectées

Le décret n°2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire a été publié. Il autorise les traitements "Contact Covid" et "SI-DEP" permettant d’identifier les chaînes de contamination au Covid-19 et d’assurer le suivi des personnes infectées. Saisie pour avis, la CNIL avait jugé le projet de décret conforme au RGPD sous réserve du respect de certaines garanties de protection de la vie privée et d’une réévaluation régulière du dispositif.

Pour lire le décret sur Légifrance et l’avis de la CNIL

La température corporelle des employés constitue une donnée sensible de santé

Le 7 mai 2020, la CNIL a indiqué que les employeurs ne peuvent traiter que les données strictement nécessaires à la mise en place de mesures organisationnelles. Les employeurs ne peuvent pas utiliser des caméras thermiques ni constituer des fichiers relatifs à la température corporelle de leurs employés. Ils peuvent toutefois prendre ces températures au moyen d’un thermomètre manuel sans aucune conservation ou traitement du résultat obtenu. Les tests de dépistage sont soumis quant à eux au secret médical.

 Pour lire l'article de la CNIL

Le Health Data Hub autorisé à collecter davantage de données de santé pour lutter contre le Covid-19

L’arrêté du 21 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de Covid-19 dans le cadre de l’état d’urgence sanitaire établit les catégories de données personnelles que le Health Data Hub et la Caisse nationale de l’assurance maladie sont autorisés à se faire transmettre. Il s’agit notamment des données de pharmacie, de certains résultats d’examens biologiques, des diagnostics ou des données déclaratives de symptômes.

Pour lire l’arrêté sur Légifrance

Publication de lignes directrices sur la recherche scientifique et le traçage de proximité

Le 21 avril 2020, le Comité Européen de la Protection des Données a adopté des lignes directrices sur le traitement de données de santé dans le cadre de la recherche scientifique sur l’épidémie de Covid-19 et sur l’utilisation des données de géolocalisation et de suivi des contacts. Les premières abordent "la base légale du traitement, la mise en œuvre de garanties adéquates (…) et l’exercice des droits des personnes concernées", et les secondes clarifient "les conditions d’une utilisation proportionnée des données de géolocalisation".

Pour lire les lignes directrices du CEPD (en anglais)