L'article 11 contesté prévoit que, par dérogation à l'exigence fixée à l'article L. 1110‑4 du code de la santé publique, les données à caractère personnel relatives à la santé des personnes atteintes par le covid-19 et des personnes en contact avec elles peuvent être traitées et partagées, sans le consentement des intéressés, dans le cadre d'un système d'information ad hoc ainsi que dans le cadre d'une adaptation des systèmes d'information relatifs aux données de santé déjà existants. La collecte, le traitement et le partage d'informations portent donc non seulement sur les données médicales personnelles des intéressés, mais aussi sur certains éléments d'identification et sur les contacts qu'ils ont noués avec d'autres personnes. Ce faisant, les dispositions contestées portent atteinte au droit au respect de la vie privée. Toutefois ce dispositif n'est pas contraire à la Constitution dès lors que : le législateur a entendu renforcer les moyens de lutte contre l'épidémie et poursuit l'objectif de valeur constitutionnelle (OVC) de protection de la santé ; le traitement des données ne peut être mis en œuvre que dans la mesure strictement nécessaire à quatre finalités précisément définies en lien avec cet objectif de valeur constitutionnel ; le champ des données susceptibles de faire l'objet du traitement en cause est circonscrit aux seules données relatives au covid-19 et strictement nécessaires à la poursuite de ces finalités ; le champ des personnes pouvant accéder aux données collectées, bien que large, est proportionné compte tenu de l'étendue des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l'épidémie. Par ailleurs, diverses garanties sont prévues par la loi (secret professionnel, encadrement de l'accès aux données pour les seules finalités dont relèvent les organismes concernés…) ; le traitement de ces données reste soumis aux règles issues du RGPD et de la loi du 6 janvier 1978 dite « Informatique et Libertés » ; ce dispositif ne peut s'appliquer au-delà du temps strictement nécessaire à la lutte contre la propagation de l'épidémie de covid-19 et les données à caractère personnel collectées, qu'elles soient ou non médicales, doivent, quant à elles, être supprimées trois mois après leur collecte ; le décret d'application de la loi est pris après avis public de la Commission nationale de l'informatique et des libertés. Le Conseil constitutionnel émet néanmoins des réserves : l'anonymisation prévue des données nominatives pour ce qui concerne la finalité de surveillance épidémiologique et de recherche contre le virus doit s'étendre aux coordonnées de contact électronique et téléphonique ; le recueil de ces données sans consentement préalable par des organismes d'accompagnement social méconnaît le droit au respect de la vie privée dans la mesure où l'accompagnement ne relève pas directement de la lutte contre l'épidémie ; il appartiendra au pouvoir réglementaire de définir des modalités de collecte, de traitement et de partage des informations assurant leur stricte confidentialité et, notamment, l'habilitation spécifique des agents chargés, au sein de chaque organisme, de participer à la mise en œuvre du système d'information ainsi que la traçabilité des accès à ce système d'information ; le recours à des sous‑traitants, qui agissent pour leur compte et sous leur responsabilité, doit s'effectuer en conformité avec les exigences de nécessité et de confidentialité des données.

Un organisme de représentation professionnelle qui met à disposition des entités indépendantes qu’il représente une plateforme en ligne de publication d’annonces immobilières et d’hébergement des documents annexés à ces annonces via un site web – en tant qu’activité accessoire et non réglementée de cette profession – doit être considéré comme sous‑traitant de ces entités, considérées comme responsable du traitement, dès lors que ces dernières conservent dans ce cadre une entière liberté de choix quant aux moyens mis en œuvre pour exercer cette activité et publier des annonces immobilières, et dans la mesure où elles déterminent seules les finalités et les moyens du traitement.

En outre, lorsque les entités responsables du traitement confient à l’organisme sous‑traitant la charge de publier leurs annonces immobilières et d’héberger les documents annexés à ces annonces sur un site web dont l’organisme sous‑traitant se déclare éditeur, et lorsque l’hébergement, l’exploitation, la maintenance et l’évolution de ce site, qui impliquent le traitement des données personnelles contenues dans les documents annexés aux annonces, ont été confiés par l’organisme sous‑traitant à une autre société, cette dernière intervient dès lors en qualité de sous‑traitant de second rang recruté par l’organisme sous‑traitant.

Dès lors que, d’une part, aucun acte juridique ne formalise ni les relations entre les responsables du traitement de publication d’annonces immobilières et l’organisme sous‑traitant, ni les relations entre l’organisme sous‑traitant et la société intervenant en tant que sous‑traitant de second rang, et que, d’autre part, aucune autorisation écrite préalable des responsables de traitement ne prévoit le recrutement, par l’organisme sous‑traitant, de la société intervenant en tant que sous‑traitant de second rang, ces faits constituent un manquement à l’article 28 du RGPD.

Si, aux termes de l’article 32 du RGPD, les obligations en matière de sécurité des traitements de données à caractère personnel s’adressent tant au responsable de traitement qu’au sous‑traitant, la répartition des responsabilités entre ces deux acteurs résulte également du contrat de sous‑traitance qu’ils doivent conclure au titre de l’article 28 du RGPD. En ce sens, l’article 28‑3‑f impose que ce contrat prévoit que le sous‑traitant « aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous‑traitant ». La CNIL déduit de la combinaison de ces dispositions qu’il revient au sous‑traitant de proposer au responsable de traitement les solutions techniques et organisationnelles adéquates, notamment en ce qui concerne la sécurité des traitements, et ce, indépendamment des obligations qui pèsent en propre sur le responsable du traitement.

Lorsque des courtiers en données sont en charge de la collecte du consentement aux fins de prospection commerciale pour le compte d'un responsable de traitement, un simple engagement contractuel desdits courtiers visant à « respecter le RGPD et les règles applicables en matière de prospection commerciale » n'est pas une mesure suffisante pour s'assurer que le consentement a été valablement donné par les prospects avant d'être démarchés lorsqu'un tel engagement ne se double pas d'un contrôle des formulaires de recueil utilisés ou d'audits portant sur les sociétés partenaires mobilisées. Une telle insuffisance est susceptible de constituer un manquement du responsable du traitement aux obligations résultant des articles L. 34‑5 du code des postes et des communications électroniques et 7, paragraphe 1, du RGPD, tel qu'éclairé par les dispositions de l'article 4, paragraphe 11 de ce même règlement.

L'absence de contrôle régulier par un responsable du traitement d'un contrôle régulier sur les mesures techniques et organisationnelles prises par son sous-traitant chargé d'assurer la sécurité de son site web a pour conséquence directe la vulnérabilité du système informatique, à l'origine de la violation des données de près de 200 000 clients européens. Le manque de robustesse de la politique de mots de passe de la société, eu égard aux catégories de données traitées qui incluent notamment le numéro de sécurité sociale de ses clients, accroît l'exposition du système à un risque d'attaque informatique. Ces faits sont de nature à caractériser un manquement aux dispositions de l’article 32 du RGPD.

Décret n° 2018‑1254 du 26 décembre 2018 prévoyant l’accès des commissaires aux comptes, dans le cadre de leur mission légale de certification des comptes des établissements publics de santé, et des prestataires extérieurs, aux fins de traitement des données, aux données du dossier médical des patients, lesquelles portent sur l’identité du patient, son lieu de résidence, ses pathologies et les actes de diagnostic et de soins réalisés au cours de son séjour dans l’établissement.

1) Il résulte de l’article L. 823‑9 du code de commerce que les commissaires aux comptes doivent seulement, pour l’accomplissement de leur mission légale de certification des comptes des établissements publics de santé, être en mesure de justifier que les comptes annuels de ces établissements sont réguliers et sincères et donnent une image fidèle du résultat des opérations de l’exercice écoulé ainsi que de leur situation financière et de leur patrimoine.

Il ressort des pièces du dossier, notamment des observations de caractère général présentées par le Haut Conseil du commissariat aux comptes (H3C) en application de l’article R. 625‑3 du code de justice administrative, que l’accès à l’ensemble des données de santé, issues du dossier médical des patients, mentionnées à l’article R. 6113‑1 du code de la santé publique (CSP), est nécessaire à l’accomplissement de cette mission, pour un échantillon de dossiers permettant de vérifier par sondage la fiabilité et la traçabilité des données utilisées pour le calcul des recettes de l’établissement, depuis l’admission du patient jusqu’à la facturation.

En revanche, il n’en ressort pas que cette mission ne puisse être accomplie à partir de données faisant l’objet de mesures de protection techniques et organisationnelles adéquates, telles que – à défaut du recours, à titre d’expériment, à un médecin responsable de l’information médicale dans un autre établissement – la pseudonymisation des données, dont l’article 25 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) prévoit la mise en œuvre pour protéger les droits de la personne concernée et garantir, à cette fin, que les personnes dont les données sont traitées ne puissent être identifiées.

Par suite, si le décret attaqué a pu, sans méconnaître la portée de l’article L. 6113‑7 du CSP, pour encadrer les conditions dans lesquelles les commissaires aux comptes ont accès à ces données, se borner, d’une part, à prévoir qu’ils peuvent seulement les consulter, dans le cadre de leur mission légale, sans création ni modification de données, avec une information adaptée des patients, en limitant la conservation à la durée strictement nécessaire à cette mission et en rappelant l’obligation de secret à laquelle ils sont soumis, et d’autre part, à limiter leur accès aux seules données « nécessaires… » dans la stricte limite de ce qui est nécessaire à leurs missions, sans exclure par principe leur accès à aucune de ces données, il est en revanche entaché d’illégalité en tant qu’il ne prévoit pas de mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical rappelé par l’article L. 1110‑4 du CSP.

2) En se bornant à prévoir que les prestataires extérieurs qui contribuent au traitement des données à caractère personnel mentionnées à l’article R. 6113‑1 du CSP sont placés sous la responsabilité du médecin responsable de l’information médicale, qu’ils interviennent dans le cadre de leur contrat de sous‑traitance, qu’ils sont soumis à l’obligation de secret, dont la méconnaissance est punie conformément aux articles 226‑13 et 226‑14 du code pénal, qu’ils peuvent accéder « aux seules données à caractère personnel nécessaires… » dans la stricte limite de ce qui est nécessaire à leurs missions et qu’ils ne peuvent conserver les données mises à disposition par l’établissement au-delà de la durée strictement nécessaire aux activités qui leur ont été confiées par contrat, sans prévoir de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiables qui sont nécessaires au regard des finalités du traitement ni de dispositions destinées à garantir qu’ils accomplissent effectivement ces activités sous l’autorité du praticien responsable de l’information médicale, quel qu’en soit le lieu, le décret attaqué n’a pas prévu de garanties suffisantes pour assurer que l’accès aux données n’excède pas celui qui est strictement nécessaire à l’exercice de la mission qui leur est reconnue par la loi.

Secret médical, Accès aux données du dossier médical des patients, commissaires aux comptes, mesures techniques et organisationnelles, prestataires extérieurs, garanties suffisantes, exercice de leur mission

Dans le cadre d'un projet de décret autorisant la mise en œuvre par le ministère de l'éducation nationale d'un traitement ayant pour finalité d'améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, dont des élèves handicapés, compte tenu des données traitées, de la minorité d'un grand nombre de personnes concernées par le traitement, du cadre dans lequel elles sont recueillies et du considérant 38 du RGPD qui indique que « les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel », la CNIL considère que le contrat de sous-traitance devrait prévoir l'interdiction de transférer les données en dehors de l'Union européenne.

Si le responsable de traitement peut décider de recourir à un prestataire spécialisé, en particulier en lui confiant une mission de sous-traitance des données à caractère personnel, au sens du RGPD, il reste tenu de veiller, par des diligences raisonnables, à ce que le respect de la protection des données à caractère personnel soit effectivement assuré. Le caractère suffisant de ces diligences dépend notamment des compétences et des moyens du responsable de traitement. La responsabilité du responsable de traitement peut être retenue du fait de l’absence de mise en œuvre par celui‑ci d’un contrôle régulier sur les mesures techniques et organisationnelles prises par un sous-traitant.

Le requérant qui demandait l'accès à une information nominative le concernant dans l'exercice de sa profession était en droit d'adresser cette demande soit auprès de la société qui l'employait, soit à la société à laquelle la mise en œuvre du traitement automatisé avait été confiée, en vertu d'un contrat de prestation de service passé entre les deux sociétés, sans que la clause de confidentialité figurant dans la convention entre ces deux sociétés puisse lui être opposée.

Dans le cadre d'un projet de décret autorisant la mise en œuvre par le ministère de l'éducation nationale d'un traitement ayant pour finalité d'améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, dont des élèves handicapés, compte tenu des données traitées, de la minorité d'un grand nombre de personnes concernées par le traitement, du cadre dans lequel elles sont recueillies et du considérant 38 du RGPD qui indique que « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel », la CNIL considère que le contrat de sous-traitance devrait prévoir l'interdiction de transférer les données hors de l'Union européenne.

Si un responsable de traitement peut se prévaloir d'une exemption à l'information et au recueil du consentement lorsque les opérations de lecture/écriture effectuées dans le terminal d'un utilisateur ont pour seule finalité la sécurisation d'un mécanisme d'authentification au bénéfice des utilisateurs, il en va autrement lorsque ces opérations poursuivent également d'autres finalités complémentaires qui ne sont pas strictement nécessaires à la fourniture d'un service. Ainsi, un mécanisme de reCAPTCHA n'a pas pour seule finalité la sécurisation du mécanisme d'authentification au bénéfice des utilisateurs mais permet tant par ailleurs des opérations d'analyse de la part d'une société tierce qui doit faire l'objet d'une information des utilisateurs et du recueil de leur consentement.

1) Pour vendre les données à des partenaires afin qu'ils les utilisent pour de la prospection commerciale par voie électronique, un responsable du traitement doit recueillir, sur le support de collecte des données, le consentement libre, spécifique, informé et univoque par lequel les personnes concernées acceptent, par une déclaration ou un acte positif clair, une telle transmission de leurs données.

2) Le consentement à la revente des données ne dispense pas que le consentement des personnes soit également recueilli, en application de l'article L.34-5 du code des postes et des communications électroniques (CPCE), pour l'utilisation de leurs données à des fins de prospection commerciale par voie électronique. Ce consentement à la réception de prospection peut être recueilli par les opérateurs ayant acheté ou reçu les données et qui les utiliseront concrètement pour envoyer des messages de prospection, soit par le primo‑collectant qui souhaite les transmettre à des partenaires. Dans ce dernier cas, ce consentement peut alors être recueilli globalement pour la transmission et la prospection commerciale, mais cela implique que le primo‑collectant puisse fournir la liste exhaustive des partenaires ainsi autorisés, comme responsables de traitement, à utiliser les données pour de la prospection électronique.

Le Conseil d'État (section de l'intérieur), saisi d'un projet de décret relatif au « système API - PNR France » et modifiant le code de la sécurité intérieure (partie réglementaire), lui donne un avis favorable, sous réserve des dispositions relatives à la collecte et au traitement des données d'enregistrement et d'embarquement (données API) des membres d'équipage.

Il relève que si la directive (UE) 2016/681 relative à l'utilisation des données des dossiers passagers (PNR), autorise expressément la collecte des données API, seules les données des passagers dont le personnel d'équipage est expressément exclu sont concernées conformément à la définition donnée par l'article 3.

Le Conseil d'État estime que s'il est loisible au Gouvernement de créer, par voie réglementaire, un traitement automatisé de données à caractère personnel relatives aux données des membres d'équipage, seule une modification de nature législative serait de nature à mettre à la charge des transporteurs aériens l'obligation de transmettre de telles données.

1) Le prononcé d’une sanction par la formation restreinte de la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable du traitement ou de son sous‑traitant, par le président de la CNIL. 2) Alors même que le rapporteur n’a pas voix délibérative, le moyen tiré de la méconnaissance du principe d’impartialité par le rapporteur est de nature, s’il s’avère fondé, à entraîner l’annulation de la sanction prononcée par la formation restreinte de la CNIL.