RGPD : le Conseil d’Etat définit pour la première fois la notion de traitement des données de santé

Juil 13, 2020Droit des associations et des ESMS, RGPD

}

Temps de lecture : 13 minutes

Par ordonnance en date du 26 juin 2020, le juge des référés du Conseil d’Etat a donné une première définition des données de santé et décidé que la captation de l’image thermique des personnes peut constituer un traitement de données de santé dès lors que ces personnes sont identifiées par le personnel qui utilise ces caméras. Une analyse d’impact relative à la protection des données (AIPD) s’imposait dans ce cas.

.

  1. Les faits

Pour assurer la reprise des activités de service public dans le cadre des mesures de déconfinement, une Commune déploie, dans un bâtiment municipal, une caméra thermique fixe permettant de signaler une température corporelle excessive de toute personne se plaçant dans son axe de mesure. Par ailleurs, elle dote de caméras thermiques portables des agents municipaux travaillant dans les écoles élémentaires, afin qu’à l’entrée et pendant le temps scolaire ils puissent mesurer une température corporelle excessive des élèves, des enseignants ou des personnels municipaux intervenant en milieu scolaire.

La Ligue des droits de l’homme (LDH), informée de cette pratique, considère qu’elle porte atteinte aux libertés fondamentales et décide d’agir en justice.

2. La procédure

La LDH saisit le président du Tribunal administratif statuant en matière de référé-liberté. Elle lui demande de bien vouloir, d’une part ordonner la suspension de l’exécution des décisions ayant conduit au déploiement de ces caméras thermiques, d’autre part enjoindre à la Commune de procéder au retrait des matériels.

Le juge des référés du Tribunal admet la recevabilité du référé-liberté. Il considère ensuite que ces caméras thermiques constituent des traitements au sens du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le RGPD). Néanmoins, il déboute la requérante de ses prétentions.

La LDH interjette alors appel.

3. La solution

Devant le juge des référés du Conseil d’Etat, l’appelante faits valoir les moyens suivants :

  • le juge du premier degré n’a pas communiqué à la requérante le mémoire de la Commune, alors que la solution adoptée confirme qu’il s’est fondé sur ce mémoire ;
  • l’ordonnance n’a pas pris en compte la demande subsidiaire de la requérante tendant à ce que, dans le cas où le juge des référés aurait admis la légalité du dispositif contesté, il soit enjoint à la Commune de mettre en place une signalétique adaptée pour informer les personnes que la prise de température par la caméra thermique demeure facultative ;
  • les données susceptibles d’être utilisées revêtent un caractère personnel en matière de santé au sens du RGPD ;
  • le traitement litigieux n’a été prévu par aucun texte, en violation des articles 9 du RGPD et 6 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique et aux libertés ;
  • le juge administratif a statué en considérant que la prise de température des personnes reposait sur leur volontariat, alors qu’il était établi en faits que cette prise de température était en réalité obligatoire ;
  • la prise de température par caméra thermique constitue un traitement de données à caractère personnel qui, faute d’avoir reçu un consentement explicite et libre ou, en tout état de cause, d’avoir été autorisé par un texte, est interdit par les articles 6, 7 et 9 du RGPD.

Intimée, la Commune conclut :

  • que l’ordonnance attaquée n’est entachée d’aucune irrégularité ;
  • que la LDH ne justifie pas d’un intérêt lui donnant qualité pour agir ;
  • que la condition d’urgence particulière requise pour la recevabilité du référé-liberté n’est pas satisfaite ;
  • qu’aucune atteinte grave et manifestement illégale n’a été portée à une liberté fondamentale.

Informés par le greffe, ni le Premier ministre, ni le ministre des solidarités et de la santé, ni le ministre de l’intérieur ne produisent d’observations.

Le juge des référés du Palais-Royal confirme d’abord la recevabilité de la procédure de référé-liberté instituée par l’article L. 521-2 du Code de justice administrative (CJA). En effet, le droit au respect de la vie privée, le droit à la protection des données personnelles et la liberté d’aller et venir constituent des libertés fondamentales.

Il confirme ensuite l’intérêt pour agir de la LDH pour deux raisons. D’abord, parce que les caméras thermiques sont déployées à l’entrée de locaux affectés au service public et ouverts à ses usagers. Ensuite, parce que leur mise en oeuvre peut être regardée comme celle d’un traitement de données personnelles à caractère sensible. Dès lors, l’installation de ces équipements est susceptible de porter aux intérêts que la LDH se donne pour vocation de défendre.

Après avoir écarté le moyen tiré d’une violation du contradictoire par l’absence de communication du mémoire en défense de la Commune à la requérante, il s’engage dans l’analyse de la question litigieuse au regard du RGPD.

Il se réfère d’abord à l’article 4, 1° du règlement, qui définit la notion de donnée à caractère personnel.

Il rappelle ensuite que les traitements de données de santé sont en principe interdits par l’article 9, 1° du RGPD, sauf s’ils relèvent des exceptions prévues au 2° du même article. Le juge des référés fait ici référence aux cas de figure visés aux paragraphes :

a) consentement explicite de la personne,

g) traitement nécessaire pour des motifs d’intérêt public importants et proportionné à l’objectif poursuivi,

h) traitement nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé.

Sur la question spécifique du consentement, il renvoie à l’article 7 du RGPD qui institue l’obligation, pour le responsable du traitement :

  • d’informer la personne concernée, avant le recueil de son consentement, de son droit de le rétracter à tout moment ;
  • d’être en mesure de rapporter la preuve écrite du consentement de la personne concernée ;
  • de respecter le droit, pour la personne concernée, de retirer son consentement à tout moment, ce retrait ne compromettant pas la licéité du traitement fondé sur le consentement donné avant ce retrait ;
  • de s’assurer que le consentement est donné librement ;
  • de pouvoir préciser si la mise en oeuvre du traitement est – ou non – nécessaire à l’exécution d’un contrat.

Il rappelle que l’article 8 du RGPD soumet le consentement pour les mineurs à des règles spécifiques.

Enfin, il souligne qu’en vertu de l’article 35, 1° du RGPD, tout traitement – en particulier par le recours à de nouvelles technologies, compte tenu de la nature, de la portée, du contexte et des finalités du traitement – susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques doit préalablement faire l’objet d’une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Interprétant ces dispositions, le juge des référés du Conseil d’Etat dit pour droit :

  • qu’une caméra thermique, installée à la disposition d’un public donné, ayant pour seule fonction de donner aux personnes qui le souhaitent une information instantanée, sans intervention d’un tiers ou d’une personne manipulant l’équipement, sans aucune conséquence quant à l’accès à un lieu, un bien ou un service, et sans enregistrement ou communication de la donnée autrement qu’à l’intéressé, de sorte que l’information instantanée saisie par l’équipement n’est pas accessible ni utilisable par son responsable, qui ne pratique ainsi avec cet équipement aucune collecte de données, ne constitue pas un traitement ;
  • qu’a contrario, quand bien même cette caméra ne procèderait pas à l’enregistrement de données, elle constitue un traitement (par collecte et exploitation) dès l’instant qu’elle permet la saisie d’une information par un agent agissant au nom du responsable du traitement et que cet agent, sur le fondement de cette donnée, décide d’une action.

C’est pourquoi la seule prise de température au moyen d’un appareil électronique ne peut être regardée comme automatisée dès lors qu’elle se borne à la mesure d’une variable quantifiée. En revanche, le signalement d’un écart à la moyenne, qui suppose que la donnée mesurée soit ensuite comparée à une norme de référence pour aboutir au signalement de la conformité ou de l’écart à la norme – en ce qui concerne les caméras thermiques, par l’affichage d’un code couleur – constitue une automatisation du traitement de la donnée qui le fait relever du RGPD. Or un tel traitement, s’il porte sur des personnes identifiables et dès lors qu’il vise à apprécier l’état d’un paramètre significatif de leur état de santé au regard d’une pathologie particulière, porte nécessairement sur des données personnelles de santé. Par ailleurs, le juge d’appel précise qu’en vertu de l’article 26 du RGPD, une personne physique doit être considérée comme identifiable s’il est raisonnablement possible de l’identifier directement ou indirectement.

L’application de ce régime juridique aux faits de l’espèce aboutit au constat suivant : au regard de la sensibilité des données concernées et de leur impact sur la vie privée, le traitement contesté, qui repose sur des dispositifs antérieurement peu utilisés et dont l’utilité pour la santé publique est controversée, ne peut être mis en oeuvre qu’au terme d’une AIPD.

Procédant ensuite à une analyse technologique des deux dispositifs de caméra thermique contestés, le juge opère une distinction entre eux :

  • la caméra thermique fixe installée dans des locaux municipaux ne donne lieu à aucun enregistrement, le fournisseur l’ayant, à la demande de la Commune, livrée sans capacité mémoire. Elle indique par un code couleur à la personne se plaçant volontairement dans l’espace permettant sa mise en fonctionnement, si sa température corporelle est supérieure à la normale. Aucun préposé du responsable du traitement ne manipule la caméra ni n’a accès aux résultats de son fonctionnement. Aucune conséquence n’est tirée de l’existence ou de l’absence de prise volontaire de température corporelle par les personnes qui s’y prêtent. L’accès aux locaux tant pour les agents que pour les usagers du service est possible sans aucune difficulté en évitant le recours à la caméra thermique. Aucun texte ni information ne permet de considérer comme contraint ou induit ou même suggéré le recours à cette caméra. Ce dispositif ne constitue donc pas un traitement de données de santé ;
  • les caméras thermiques portables manipulées par des agents municipaux dans les écoles sont utilisées, non seulement au début de la journée scolaire mais également pendant le déroulement de celle-ci, pour mesurer la température corporelle des élèves, des enseignants et des personnels municipaux actifs au sein des locaux scolaires. Lorsqu’un écart anormal de température est relevé, les enseignants ou les personnels municipaux sont invités à quitter le service et, pour ce qui concerne les élèves, les parents sont immédiatement contactés afin de venir chercher les enfants qui doivent quitter l’école. Ces mêmes caméras affichent instantanément les contours d’un corps humain et un code couleur indiquant l’écart à la normale de la température corporelle. Alors même que l’identification des personnes dont la température est relevée par les agents ne permet pas de regarder cette donnée comme personnelle, il est possible que l’image traitée par le système, même non conservée, soit suffisamment précise pour être identifiante. En tout état de cause, il résulte du contexte même de mise en oeuvre des caméras que l’identité des personnes donnant lieu à leur utilisation est nécessairement connue dès avant la collecte de la donnée et afin de l’exploiter. Ce dispositif constitue donc un traitement de données de santé.

Or ce second traitement est illicite dans la mesure où il ne satisfait en l’espèce aucune des conditions prévues :

  • il n’a pas été mise en oeuvre sur la base d’un texte encadrant le motif d’intérêt public l’ayant rendu nécessaire et comportant les protections adéquates ;
  • il n’a pas davantage été réalisé dans le cadre d’une politique de prévention, par des professionnels de santé tenus au secret médical et sur le fondement d’un texte régissant cette politique ;
  • il n’a pas non plus fait l’objet du consentement de chaque personne concernée, ce consentement devant être libre, exprès, spécifique, retirable et traçable, et s’il concerne des mineurs, respecter les règles de protection de l’article 8 du RGPD.

L’ordonnance apporte enfin des précisions sur la question du consentement des enfants des écoles concernées :

  • si la Commune a fait valoir qu’elle a adressé à chaque famille un formulaire de consentement aux règles du protocole sanitaire de retour des enfants en classe établi par les pouvoirs publics, elle n’a pas prouvé que ce consentement a été effectivement recueilli, conservé et consulté avant la mise en oeuvre du traitement pour chaque enfant, ni qu’il a été donné de manière spécifique au traitement, en comportant l’ensemble des informations nécessaires, notamment quant à l’exercice des droits d’accès, de rectification, d’éventuelle opposition ou quant à la possibilité du retrait de ce consentement ;
  • la subordination de l’accès des enfants à l’école ayant été subordonnée à l’acceptation de l’utilisation de la prise de température par caméra thermique, le consentement ne pouvait de toutes façons pas être libre.

Ainsi le juge d’appel conclut-il que l’atteinte aux libertés fondamentales résultant du second traitement en cause est manifestement illégale. Il souligne d’ailleurs que la réalisation d’une AIPD aurait permis d’établir les dangers du déploiement de ces caméras thermiques dans ces conditions et que l’absence d’une telle analyse entraîne, par elle-même, l’illégalité du traitement.

L’ordonnance du juge de première instance est donc annulée et la Commune enjointe d’interrompre l’utilisation des caméras thermiques portables.

4. L’intérêt de l’ordonnance

Cette ordonnance contribue à l’émergence de la jurisprudence interprétative du RGPD par les juridictions administratives et, à ce titre, mérite d’être prise en considération avec la plus grande attention. En effet, la toute première décision du Conseil d’Etat (en Assemblée) sur l’application du RGPD a moins d’un an puisqu’elle date du 19 juillet 2019 ; à ce jour, seules sept décisions ont été rendues par la Haute juridiction et les Cours administratives d’appel. Les plus fameuses d’entre elles sont sans doute :

  • l’arrêt Google du 19 juin 2020, qui a confirmé l’infliction à cette société d’une amende de 50 millions d’euros en raison de manquements aux obligations de consentement, d’information et de transparence, en particulier s’agissant de la mise en oeuvre d’algorithmes à finalité publicitaire ;

Mais l’ordonnance dont il est ici question est la première qui apporte des indications sur les traitements de données de santé.

Plusieurs enseignements sont à retenir de cette décision importante.

De manière générale, tout d’abord :

  • tout traitement ayant pour objet ou pour effet de restreindre l’exercice du droit au respect de la vie privée, du droit à la protection des données personnelles ou de la liberté d’aller et venir peut être contesté par la voie du référé-liberté. Cela signifie concrètement que relève de cette compétence matérielle, favorable aux intérêts des justiciables, toute contestation afférente au respect du RGPD par le responsable du traitement ou son sous-traitant ;
  • tout traitement dont la mise en oeuvre implique, préalablement à la captation d’une donnée, la connaissance de l’identité de la personne concernée et procède ensuite à l’exploitation de cette donnée relève du RGPD.

S’agissant ensuite des traitements de données de santé :

  • une définition de la donnée de santé est adoptée : il s’agit de celle qui porte sur une personne identifiable et vise à apprécier l’état d’un paramètre significatif de son état de santé au regard d’une pathologie particulière ;
  • les données de santé sont des données à caractère sensible ;
  • la contestation d’un traitement de données de santé relève bien de la compétence du juge des référés au titre de la procédure particulière du référé-liberté car sont en jeu le droit au respect de la vie privée et le droit à la protection des données personnelles ;
  • la mesure de la température corporelle d’une personne constitue un traitement de données de santé ;
  • tout traitement de données de santé est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques et doit donc donner lieu, en préalable, à une AIPD ;
  • tout dispositif technique qui compare une donnée de santé qu’il a captée à une norme de référence, en vue de mesurer un éventuel écart, constitue un traitement soumis au RGPD ;
  • la mise en oeuvre d’un traitement de données de santé à des fins de prévention ne peut être assurée que par des professionnels de santé soumis au secret médical intervenant en application d’un texte définissant la politique de prévention en question. Sur ce point, le juge des référés du Conseil d’Etat adopte une position plus restrictive (considérant n°23) que la lettre même de l’article 9, 3 du RGPD. En effet, l’ordonnance ne vise que “des professionnels de santé tenus au secret médical” quand le règlement européen reconnaît, de manière plus large, la licéité du traitement réalisé “par un professionnel de la santé soumis à une obligation de secret professionnel (…) ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents.”

Ces premiers enseignements doivent retenir l’attention des organismes gestionnaires d’établissements de santé et d’établissements et services sociaux et médico-sociaux (ESSMS). Ils font en effet écho à la liste d’activités soumises à AIPD dressée par la Commission nationale de l’informatique et des libertés (CNIL) à partir des lignes directrices du Comité européen de protection des données (CEPD). Relèvent ainsi de l’obligation d’analyse d’impact les traitements :

  • de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes ;
  • de données à caractère personnel ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire (procédures de signalement d’acte de maltraitance, de déclaration d’EIG ou d’EIGS) ;
  • de données à caractère personnel ayant pour finalité l’accompagnement social ou médico-social des personnes ;

sans préjudice des autres cas dans lesquels une AIPD est également nécessaire, notamment en matière de gestion des ressources humaines.

S’agissant enfin des personnes habilitées à accéder aux données de santé, tant que la solution restrictive adoptée par le juge des référés n’aura pas été confirmée par un arrêt du Conseil d’Etat ayant statué en formation collégiale sur un contentieux au fond, il serait hasardeux de considérer comme acquise la limitation aux seuls professionnels de santé soumis au secret médical. Pour mémoire, en droit français, tous les professionnels des ESSMS sont assujettis à l’obligation de respecter le secret professionnel sanctionnée par l’article 226-13 du Code pénal, ce que confirme d’ailleurs l’article L. 1110-4 du Code de la santé publique.

CE, Réf., 26 juin 2020, Ligue des droits de l’homme c/ Commune de Lisses, n° 441065

Ces articles pourraient vous intéresser