La Commission a été saisi en extrême urgence d’un projet de décret relatif à la durée de conservation des données pseudonymisées collectées à des fins de surveillance épidémiologique et de recherche sur le virus de la covid-19.
S’agissant de la prolongation de la durée de conservation des données issues des systèmes d’information « Contact Covid » et « SI-DEP », l’article 1er du projet de décret prévoit que les données peuvent être conservées pour une durée de six mois à compter de la fin de l’état d’urgence sanitaire « à la seule fin de surveillance épidémiologique aux niveaux national et local ». La CNIL estime cette durée cohérente avec celle prévue à l’article 11 de la loi du 11 mai 2020 qui limite également la durée de vie des systèmes d’information Contact Covid et SI-DEP à six mois après la fin de l’état d’urgence.
S’agissant de la surveillance épidémiologique, des recherches sur le virus et sur les moyens de lutter contre sa propagation, la CNIL réitère la demande formulée dans un précédent avis (délibération n° 2020-051 du 8 mai 2020), afin que le projet de décret dresse la liste exhaustive des données pouvant être collectées en vue du suivi épidémiologique et de la recherche sur le virus. Elle rappelle à cet égard que conformément au principe de minimalisme inscrit dans le RGPD, « seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées devront être transmises aux organismes en charge de la surveillance épidémiologique ou de la recherche sur le virus ».
S’agissant de la conservation des données par la plateforme des données de santé et la Caisse nationale d’assurance maladie, la Commission précise que les données issues de ces systèmes d’information n’auront vocation à intégrer le Système national des données de santé (SNDS) ou un entrepôt pérenne de la PDS que dans l’hypothèse où le droit commun l’autoriserait. Dès lors, « sous réserve des modifications qui pourraient être apportées au cadre juridique applicable à la PDS et au SNDS à l'issue de la durée de conservation prévue par le projet de décret, l'ensemble des données collectées pendant cette période devra être détruit ». De plus, la Commission considère que les traitements réalisés à partir des données transmises à la CNAM et à la PDS ne pourront pas être mis en œuvre après le 30 octobre 2020 si, au terme de ce délai la poursuite des traitements ne disposent plus de base légale. La Commission considère, de plus, que les traitements réalisés à partir des données transmises à la CNAM et à la PDS ne pourront être mis en œuvre après le 30 octobre 2020 si, au terme de ce délai, la poursuite des traitements ne dispose plus de base légale.
S’agissant des modalités d’information des personnes, la Commission relève qu’il est prévu que les personnes dont les données ont été collectées avant l’entrée en vigueur du décret, devront être informées de la nouvelle durée de conservation des données pseudonymisées, sans délai, par les organismes responsables des traitements mis en œuvre à des fins de surveillance épidémiologique, de recherche sur le virus et les moyens de lutter contre sa propagation.
S’agissant enfin de l’ajout de numéros d’identification dans la liste des données du système d’information SI-DEP, la Commission rappelle que cette donnée ne pourra figurer que dans les données traitées dans le cadre du système d’information Covid Contact.