La CNIL a rendu sa Délibération n° 2020-083 du 23 juillet 2020 portant avis sur le projet de décret organisant la sortie de l’état d’urgence sanitaire et relatif à la durée de conservation des données pseudonymisées collectées à des fins de surveillance épidémiologique et de recherche sur le virus de la covid-19. La Commission a relevé que cette nouvelle durée (six  mois) est cohérente avec la durée de vie des systèmes d’information « Contact Covid » et « SI-DEP » (six mois après la fin de l’état d’urgence sanitaire).

La CNIL a été saisie en extrême urgence du projet de décret pris en application de l’article 3 de la loi n° 2020-856 du 9 juillet 2020 organisant la sortie de l’état d’urgence sanitaire. Le projet de décret prévoit d’allonger la durée de conservation des données pseudonymisées collectées dans le cadre des systèmes d’information « SI-DEP » et « Contact Covid » créés par le décret n° 2020-551 du 12 mai 2020  et précise également les modalités d’information des personnes concernées. Le projet de décret prévoit en outre de modifier les articles 3 et 9 du décret du 12 mai 2020 susvisé afin, notamment i) de compléter, pour le système d’information « Contact Covid », la liste des personnes autorisées à enregistrer et consulter les données ; ii) d’ajouter, pour le système d’information « SI-DEP », une nouvelle catégorie de données susceptible d’être enregistrée : « tout autre numéro permettant d’identifier le patient de manière certaine ».

Les données traitées dans le cadre de la surveillance épidémiologique ne pourront pas contenir les nom et prénoms des personnes, leur numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) et leur adresse. A cet égard, le projet de décret mentionne la conservation de données « pseudonymisées », cependant sans précision complémentaire. Or, la Commission relève que les articles 2 et 9 du décret no 2020-551 du 12 mai 2020 modifié listent de multiples données pouvant être enregistrées. Dès lors, elle a réitéré sa demande formulée dans son avis sur un projet de décret relatif aux systèmes d’information mentionnés à l’article 6 du projet de loi prorogeant l’état d’urgence sanitaire (délibération no 2020-051 du 8 mai 2020), afin que le projet de décret dresse la liste exhaustive des données pouvant être collectées en vue du suivi épidémiologique et de la recherche sur le virus.

Conformément au principe de minimisation, prévu à l’article 5 du règlement général sur la protection des données (RGPD), seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées devront être transmises aux organismes en charge de la surveillance épidémiologique ou de la recherche sur le virus.