Un arrêté autorise la collecte de données de santé en cas d’ »alerte sanitaire »

Tic Santé - Extrait - juillet 2020

Un arrêté publié le 2 juillet au Journal officiel autorise de nombreux organismes et institutions publics à « mettre en oeuvre des traitements de données à caractère personnel dans le domaine de la santé ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites ».

Sont concernés:

  • la direction générale de la santé (DGS)
  • le service de santé des armées (SSA)
  • les agences régionales de santé (ARS)
  • Santé publique France « dans le cadre de ses missions de gestion et de suivi du risque pour la santé humaine ou des alertes sanitaires ».

Les organismes suivants peuvent également traiter ces données « à la demande du ministère chargé de la santé »:

  • la Caisse nationale de l’assurance maladie (Cnam)
  • l’Institut Pasteur
  • l’Inserm
  • les CHU
  • l’Ecole des hautes études en santé publique (EHESP)
  • l’Agence du numérique en santé (ANS, ex-Asip santé)
  • la Plateforme des données de santé (PDS, ou Health Data Hub), à condition de pseudonymiser les données
  • l’Agence technique d’information sur l’hospitalisation (ATIH)
  • les services des départements chargés de la prévention et de la prise en charge des personnes en situation de handicap ou de perte d’autonomie ou ceux intervenant au soutien et à la protection des personnes vulnérables, dont les maisons départementales des personnes handicapées (MDPH) et les directions départementales de la cohésion sociale et de la protection des personnes (DDCSPP).

Dans une délibération sur le projet d’arrêté datée du 11 juin et publiée le 2 juillet au Journal officiel, la Commission nationale de l’informatique et des libertés (Cnil) estime que plusieurs de ces institutions « ne devraient pas figurer dans l’arrêté ».

Elle vise les organismes et services de recherche, les DDCSPP, l’ANS, la PDS et l’ATIH, au motif qu’ils agissent en tant que sous-traitant ou destinataire des données au sens du règlement général sur la protection des données (RGPD).

« Dans l’hypothèse où le gouvernement souhaiterait maintenir [l’autorisation de] ces organismes, ils devront être expressément chargés, au moyen d’une lettre de mission par exemple, de participer à la gestion d’une alerte sanitaire afin de mettre en oeuvre de tels traitements » comme l’a été l’Institut Pasteur avec le projet Covid-télé, juge la Cnil.

Par ailleurs, « les traitements ainsi mis en oeuvre ne devront pas prévoir de sous-finalités qui ne rempliraient pas l’ensemble des critères mentionnés. Par exemple, devraient être exclus du périmètre […] les traitements ayant pour objet la constitution d’entrepôts visant à permettre la réalisation de traitements ultérieurs ».

La Cnil constate également que « la notion d’alerte sanitaire n’est pas définie dans les textes législatifs ou réglementaires », et qu’il revient à Santé publique France de lancer une alerte sanitaire.

« La Commission considère que les traitements ne pourront être mis en oeuvre que dans le cadre d’une alerte sanitaire lancée par l’ANSP » et que « les organismes et services énumérés dans le projet d’arrêté ne pourront pas procéder eux-mêmes à l’évaluation de la situation d’alerte sanitaire ».

Elle souligne qu' »un certain nombre de projets récemment soumis pour autorisation et liés à la Covid-19, qui constitue un exemple d’alerte sanitaire, ne remplissent pas les critères énoncés » et « rappelle que près d’un tiers des projets de recherches n’impliquant pas la personne humaine liés à la Covid-19 a fait l’objet d’avis réservés ou défavorables du Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (Cesrees), le plus souvent en raison de lacunes ou de difficultés méthodologiques ».

Newsletter

Inscrivez-vous pour recevoir nos dernières actualités.

Catégories