Le Conseil constitutionnel a validé le 11 mai 2020 la loi prorogeant l'état d'urgence sanitaire dans ses grandes lignes. Mais il a censuré quelques éléments concernant les fichiers de contact tracing issus des brigades sanitaires, dont l'objectif est de détecter les chaînes de transmission du virus grâce à une récolte d'informations.

Concilier vie privée et santé

Le Conseil rappelle que "la collecte, l'enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d'intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif", et ce d'autant plus lorsqu'il s'agit de données de santé. Les dispositions contestées portent sur le traitement et le partage sans le consentement des intéressés de données relatives à la santé des personnes atteintes par le SARS-CoV-2. "Ces dispositions portent atteintes au droit au respect de la vie privée", tranchent les juges constitutionnels. Mais dans le même temps ils révèlent qu'ils poursuivent l'objectif de "valeur constitutionnelle de protection de la santé". L'objectif est donc de concilier ces deux principes.

En premier lieu, le Conseil estime qu'il est inconstitutionnel que des organismes qui assurent l'accompagnement social des personnes aient accès à des données médicales. Cette loi prévoit qu'un certain nombre d'acteurs du monde médico-social puissent accéder aux informations récoltées par les bridages sanitaires. "Rien ne justifie que l'accès aux données à caractère personnel traitées dans le système d'information ne soit pas subordonné au recueil du consentement des intéressés", estiment les juges. En effet, l'accompagnement social ne relève pas directement de la lutte contre la pandémie.

Par ailleurs, l'institution émet trois réserves d'interprétation. Cette technique permet de déclarer une disposition conforme à la Constitution à la condition qu'elle soit interprétée ou appliquée d'une certaine façon. La première concerne l'exigence de suppression des noms et prénoms des personnes, de leur numéro d'inscription au répertoire national d'identification des personnes physiques et de leur adresse. Pour être conforme à la Constitution, cette suppression doit s'étendre "aux coordonnées de contact téléphonique ou électronique des intéressés".

Le pouvoir réglementaire devra apporter des précisions

De plus, les juges estiment qu'il appartiendra au pouvoir réglementaire de définir les modalités de collecte, de traitement et de partage des informations assurant "une stricte confidentialité" et notamment sur l'habilitation des agents chargés de participer à la mise en œuvre du système d'information. Par une troisième réserve d'interprétation, l'institution note que le législateur a le droit d'autoriser le recours à des sous-traitants pour récolter les données médicales mais à condition qu'ils soient tenus à des exigences de confidentialité.

Enfin, le Conseil rappelle que le dispositif de collecte des informations ne doit pas s'étendre au-delà du temps "strictement nécessaire" à la lutte contre la propagation de la pandémie ou au plus tard, au-delà de six mois après la fin de l'état d'urgence sanitaire. D'autre part, les données à caractère personnel collectées, qu'elles soient ou non médicales, doivent être supprimées trois mois après leur collecte.

La Cnil en tant que garde-fou

Marie-Laure Denis, présidente de la Commission nationale de l'informatique et des libertés, a également donné son avis sur cette récolte d'information. Auditionnée par les députés le 5 mai 2020, elle a déclaré que la Cnil allait être "particulièrement attentive à la durée des données qui seront conservées et à la pertinence". De plus, la présidente considère les bridages devront recevoir "des consignes très claires ce qu’ils peuvent demander puis collecter" auprès des personnes porteuses du virus et "sur ce dont ils n’ont pas à connaître".