La question du transfert de données personnelles de santé aux services de renseignement ne méritait-elle pas un avis du Conseil constitutionnel ?

En l’état antérieur du droit, la loi permettait aux autorités administratives, de manière autonome, de transmettre aux services de renseignement des données, indifféremment quant à leur nature et sans garanties particulières prévues. L’article L. 863-2 nouveau du code de la sécurité intérieure issu de la loi du 30 juillet 2021[1] est venu modifier cette disposition[2].

Cet article est le pilier d’une décision récente du Conseil d’Etat. Le 23 novembre 2022, la Haute juridiction a refusé de transmettre au Conseil constitutionnel une question prioritaire de constitutionnalité posée par le Conseil national de l’Ordre des médecins relative à la transmission des données personnelles de santé aux services de renseignements, la jugeant insuffisamment sérieuse[3]. Trois points majeurs d’analyse ressortent de cette décision.

🟩 Le respect du principe de finalité de traitement

L’article 863-2 revu est venu imposer que le transfert des données personnelles de santé aux services de renseignement doit être « strictement nécessaire à l’accomplissement des missions »du service de renseignement et réalisé uniquement à sa demande. C’est une position saluée [4]par le Conseil d’État pour deux raisons :

✅ Le transfert ne peut plus être opéré par la seule volonté de l’autorité administrative. En effet, en l’état antérieur du droit, la loi autorisait ces dernières à transférer des données, de leur propre initiative, sans que l’obligation de garanties ou la nature des données ne soient prises en compte[a2] . Aucune obligation n’est aujourd’hui précisée (« les autorités administratives peuvent transmettre »). Ce second point est néanmoins critiquable en ce qu’il néglige une obligation déguisée. En effet, la circulaire du 28 mars 2022[5] édicte que l’absence de transmission n’existe qu’en cas d’impossibilité matérielle.

✅ Le transfert doit être strictement nécessaire à l’accomplissement d’une mission, on en déduit qu’il est ainsi soumis au principe de proportionnalité [6].

Il ressort donc une double justification nécessaire pour opérer le transfert :

☞ Une mission du service, qui s’inscrit ~~donc~~ dans la garantie de la protection de la Nation.

☞ Et un caractère strictement nécessaire, plus seulement utile à la mission visée.

🟩 La transmissibilité des données de santé

Les données de santé sont transmissibles sous réserve de l’existence de garanties appropriées[7] (ex. : anonymisation). Le Conseil d’État conserve donc cette vision introduite à l’origine par le législateur et englobe les données de santé dans la catégorie des données transférables. Cependant, il impose l’exigence de l’assurance de garanties pour protéger ces données dans le cadre de leurtransfert.

Cette position fait écho aux dispositions de la Loi Informatique & Libertés de 1978 en ce qu’elle définit les transmissions de données à caractère personnel comme des traitements de données. Ainsi, la responsabilité et les obligations qui pèsent sur le responsable de traitement et ses sous-traitants vont être étendues aux autorités administratives et aux services de renseignements dans le cadre de cette transmission (obligations de sécurité et de confidentialité).

Le Conseil d’État se contente cependant d’exiger un degré égal de sécurité, quelle que soit la nature de la donnée, un nouveau point de vue qui paraît discutable. On pourrait en effet s’attendre à une prise en compte de la nature sensible de certaines données, et ainsi à une exigence accrue de sécurité à leur égard.

🟩 Une position discutable quant à la durée de conservation des données transmises

Le Conseil d’État énonce que les services de renseignement devront supprimer les informations détenues « dès lors qu’elles ne sont pas ou plus nécessaires ». Cette position fait d’abords débat en ce qu’elle est contraire au principe de conservation des données pour une durée déterminée et proportionnée de la Loi Informatique & Liberté. En l’état actuel du texte, la durée n’est pas précisée et relève ainsi du bon vouloir des services de renseignement. Ensuite, elle est également contraire à la jurisprudence du Conseil constitutionnel qui avait considéré comme constitutionnelle la durée de conservation des données dans le cadre du renseignement quand celle-ci était limitée et adaptée à la nature des données. La nature des données n’étant pas prises en compte en l’espèce, le Conseil d’État fait cavalier seul dans sa décision.

🟩 Conclusion

Il ressort que le refus du Conseil d’État de transmettre la question prioritaire de constitutionnalité au Conseil constitutionnel semble contestable, car faillible en plusieurs points. Il empêche également le Conseil constitutionnel de se prononcer sur une question qu’il n’avait encore jamais eu à connaître et qui aurait pu, si elle avait été tranchée, renforcer la protection des données sensibles que sont les données de santé.

[1] Loi n° 2021-998 du 30 juillet 2021 relative à la prévention d’actes terroristes et au renseignement

[2] Veron, N. (2023, 20 mai). La transmission de données personnelles de santé aux services de renseignement, une question insuffisamment sérieuse ? Dalloz IP/IT, mai 2023 : p. 312-315

[3] CE 23 nov 2022, Conseil national Ordre des médecins, n°464480

[4] Ibidem

[5] Circulaire n° 6337 SG du 28 mars 2022, préc., p.6)

[6]CHAPITRE II - Principes | CNIL. (s. d.). https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5

[7] Cons. Const., 23 juill. 1999, n° 99 416 DC — Loi portant création d’une couverture maladie universelle

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

Pour partager cet article sur les réseaux sociaux