Les règles de traitement des données à caractère personnel à des fins médicales donnent lieu à une forte actualité :
Voici maintenant qu’est publié un décret n° 2020-567 du 14 mai 2020 relatif aux traitements de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé (NOR: SSAE1932880D), que voici :

Au Jo de ce matin a été publié l’arrêté du 4 mai 2020 portant dérogation temporaire au cahier des charges des dispositifs de télétransmission des actes soumis au contrôle de légalité pour faire face à l’épidémie de covid-19 (NOR: TERB2010605A).

Il s’agit de répondre au fait que nombre de collectivités rencontrent des difficultés à renouveler les certificats d’authentification permettant de sécuriser la télétransmission des actes soumis au contrôle de légalité…. faute de pouvoir pratiquer une remise en main propre.

Mise à jour ; pour voir notre analyse de la loi définitive, voir :

14 points à retenir de la 2nde loi Covid-19, n° 2020-546 du 11 mai 2020, au JO de ce matin 

 

A été définitivement adoptée la future loi « prorogeant l’état d’urgence sanitaire et complétant ses dispositions ».

Il ne reste plus qu’à passer par la case Conseil constitutionnel (affaire n° 2020-800 DC), sans doute à grande vitesse, avant de parvenir à la case finale du jeu : le JO. 

Le Conseil constitutionnel doit finalement, après un feuilleton complexe qui a marqué la journée de ce dimanche, rendre sa décision ce lundi 11 mai pour une promulgation prévue (sous réserve donc d’éventuelles censures des sages de la rue Montpensier) mardi 12 mai. 

Survolons ensemble le contenu de ce texte en 12 points :

Lutte contre le virus…

Lutte contre les risques de big-brotherisation de notre société…

Chacun est dans sa lutte. Et ces deux luttes sont légitimes.

Mais quel équilibre trouver, dès lors, en ce domaine ? 

Est-il raisonnable pour le citoyen de s’affoler quand on fait une application volontaire alors… que tout aussi volontairement une grande majorité de nos concitoyens ne s’émeuvent pas que FaceBook et Google sachent tout de leurs vies et monétisent ces données sans vergogne ?

Est-il raisonnable de penser qu’une application (dont nous n’aurions pas tout le code source, semble-t-il ; voir ici à ce sujet ; et avec un protocole « Robert » qui n’est pas exempt de centralisation, voir par là ) puisse être efficace sans intégrer les iPhones et sans être obligatoire ?

Mais était-il raisonnable que la France refuse (au nom d’une indépendance nationale que l’on peut comprendre) les offres d’Apple et de Google visant à un outil mondial sans transmission de données (voir ici et  ou encore de ce côté là ; au contraire de l’Allemagne ce qui peut comme ici être interprété comme une défaite teutonne — voir ici une présentation de ce tonneau là — ou au contraire être perçu comme un pragmatisme, outre-Rhin, intelligent et surtout plus respectueux des droits : voir ici) ? A moins que les discussions entre Orange et Apple ne fassent bouger les lignes (voir ici) ?

Cela dit, il est possible qu’on se dirige vers un enterrement discret de cet outil (voir ici en ce sens) qui ne devrait pas, plus, donner lieu à un débat parlementaire semble-t-il (voir ici mais bon… tout peut encore changer).

Entre ces injonctions contradictoires, nous voici tous un peu perdus. 

 

Alors, de manière neutre (ou lâche ; à vous de choisir le bon qualificatif…) nous avons préféré vous donner des informations brutes et à chacun de choisir. Avec ci-après, en ces domaines :

  • l’avis de la CNIL
  • l’avis du Conseil national du numérique
  • les orientions de la Commission européenne
  • les lignes directrices du CEPD
  • l’avis de la Quadrature du net, de la LDH de la CNDH et de quelques autres
  • des éléments sur le protocole « Robert »
  • une alerte sur les confusions possibles
  • des renvois vers quelques articles intéressants (avec notamment l’arrêt du recours à une application qui pourtant semblait très efficace en Israël)

 

A été publié ce matin l’arrêté du 22 avril 2020 portant création d’un traitement automatisé de données à caractère personnel afin de permettre aux personnes habituellement domiciliées en outre-mer, confinées et isolées dans l’Hexagone, de disposer d’un réseau d’entraide et de solidarité pendant l’épidémie de covid-19 (NOR: MOMS2010263A).

Sans doute pour célébrer l’entrée en vigueur, ce 25 mai 2018, du RGPD, le gouvernement a publié le décret « relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique » (n°2018-384 du 23 mai 2018).

Il impose aux opérateurs de services essentiels (OSE) des contraintes techniques liées à la sécurité de leurs systèmes d’information. Il comporte aussi des règles relatives à la sécurité des réseaux et services de fournisseur de service numérique (qui concerne donc un spectre plus large que les seuls « OSE »).

Il ne reste plus que six mois aux collectivités territoriales et à leurs établissements publics pour se conformer au règlement général sur la protection des données personnelles (RGPD). Ce Règlement communautaire — qui est donc directement applicable — a fait l’objet d’une parution au journal officiel de l’Union européenne et entrera en application le 25 mai 2018.

Au nombre des obligations qui en découleront (lesquelles peuvent — selon la situation de la collectivité ou de l’établissement — supposer en réalité d’adapter les logiciels, les procédures internes de saisie et communication des données, les règlements de services, et bien entendu de former les agents aux nouvelles obligations etc.) il convient de signaler une nouvelle obligation : celle de choisir son délégué à la protection des données personnelles (DPO).

DPO est le sigle anglophone pour « data protection officer ». Les puristes pourront lui préfèrent le sigle francophone « DPD » pour « délégué à la protection des données personnelles ».