Décret n° 2021-157 du 12 février 2021 modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »

Décret n° 2021-157 du 12 février 2021 modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »

Lecture: 8 min

Z310331C

Le Premier ministre,

Sur le rapport du ministre des solidarités et de la santé,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid » ;

Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 17 décembre 2020 ;

Le Conseil d'Etat (section sociale) entendu,

Décrète :

Article 1

Le décret du 29 mai 2020 susvisé est ainsi modifié :

1° Dans l'intitulé et aux articles 1er et 3 à 5, le mot : « StopCovid » est remplacé par le mot : « TousAntiCovid » ;

2° A l'article 1er :

a) Au deuxième alinéa du I, les mots : « , qui repose sur une application mobile et un serveur central, » sont supprimés ;

b) Il est ajouté au I un alinéa ainsi rédigé :

« Il repose sur une application mobile, un serveur central dédié à l'information des utilisateurs ayant été en contact avec un utilisateur diagnostiqué ou dépisté positif au covid-19 et un serveur central distinct dédié à l'information des utilisateurs ayant fréquenté un lieu dans lequel s'est trouvée, au même moment, une personne diagnostiquée ou dépistée positive au covid-19. » ;

c) Au 1° du II, après le mot : « diagnostiqué » sont insérés les mots : « ou dépisté » ;

d) Au 2° du II, le mot : « gestes » est remplacé par le mot : « mesures » ;

e) Au 3° du II, les mots : « et leur prescrivent, le cas échéant, un examen de dépistage » sont supprimés ;

f) Le dernier alinéa du II est remplacé par cinq alinéas ainsi rédigés :

« 4° De réaliser des analyses statistiques à partir des données anonymes issues de l'application afin d'adapter les mesures de gestion nécessaires pour faire face à l'épidémie et d'améliorer les performances de l'application ;

« 5° D'informer les personnes utilisatrices de l'application qu'il existe un risque qu'elles aient été contaminées par le virus du covid-19 en raison du fait qu'elles ont fréquenté un lieu dans lequel se trouvait au même moment une personne ayant été diagnostiquée ou dépistée positive au covid-19. Les personnes exposées à ce risque sont désignées ci-après comme “contacts à risque de contamination” ;

« 6° De permettre aux personnes utilisatrices, sur présentation du statut “contact à risque de contamination” dans l'application, de bénéficier d'un examen ou test de dépistage dans des conditions de réalisation prioritaire, au même titre que les autres personnes à risque d'infection ;

« 7° D'informer les personnes utilisatrices de l'application sur la situation sanitaire nationale et locale, ainsi que sur des mesures ou actions de promotion, de prévention et d'éducation pour la santé ou de les orienter vers des applications ou des sites internet mis en œuvre pour la gestion de l'épidémie de covid-19 et de leur fournir des informations sur les données d'utilisation de l'application ;

« 8° De permettre aux personnes utilisatrices de l'application de stocker des données à caractère personnel sur leur téléphone mobile en vue de générer des justificatifs requis par les autorités publiques. » ;

g) Au IV, les mots : « du ministre de l'économie et des finances ainsi que du site internet » sont supprimés et les mots : « www.stopcovid.gouv.fr » sont remplacés par les mots : « www.tousanticovid.gouv.fr » ;

3° A l'article 2 :

a) Le dernier alinéa du 5° du I est remplacé par les dispositions suivantes :

« Les critères de contact entre deux téléphones permettant de considérer que leurs utilisateurs se trouvent dans une situation présentant un risque de contamination par le virus du covid-19 sont définis par l'Agence nationale de santé publique et sont rendus publics. » ;

b) Le premier alinéa du 6° du I est remplacé par les dispositions suivantes :

« L'historique de proximité des utilisateurs déclarés positifs, correspondant aux pseudonymes aléatoires et temporaires enregistrés par l'application dans les quarante-huit heures qui précèdent la date de début des symptômes ainsi que dans la période comprise entre cette date et la date de transfert de l'historique de proximité au serveur central ou, à défaut de renseignement de la date de début des symptômes par la personne diagnostiquée ou dépistée positive, aux pseudonymes aléatoires et temporaires enregistrés par l'application dans les sept jours qui précèdent la date du diagnostic ou du prélèvement positif ainsi que dans la période comprise entre cette date et la date de transfert de l'historique de proximité au serveur central ou, à défaut de renseignement de la date du diagnostic ou du prélèvement positif, aux pseudonymes aléatoires et temporaires enregistrés par l'application pendant les quinze jours qui précèdent le transfert de l'historique de proximité. » ;

c) Au troisième alinéa du 6° du I, les mots : « , au cours d'une période donnée de trois jours, » sont insérés après le mot : « proximité » et les mots : « au cours des quinze derniers jours » sont supprimés ;

d) Après le 6° du I, il est inséré un 6 bis ainsi rédigé :

« 6 bis Pour chaque contact à risque de contamination, la date de la remontée de l'historique de proximité de l'utilisateur déclaré positif et la date de la dernière notification du statut “contact à risque de contamination” ; »

e) Au 7° du I de l'article 2, les mots : « , stockées sur le serveur central » sont remplacés par les mots : « et une date déterminée aléatoirement entre la date du dernier contact avec l'une de ces personnes, cette date moins un jour et cette date plus un jour » ;

f) Le a du 8° du I est complété par les mots suivants : « ou la date du prélèvement positif si la personne est asymptomatique ou n'est pas en mesure de donner la date de début des symptômes » ;

g) Le I est complété par trois alinéas ainsi rédigés :

« 11° Le pseudonyme, le type d'activité, la superficie et la plage horaire de fréquentation des lieux mettant un QR-code à disposition des utilisateurs de l'application. Ces informations sont stockées sur un serveur central en vue d'informer les utilisateurs qu'ils ont fréquenté, au cours d'une période donnée de trois jours, un lieu où se trouvait, pendant tout ou partie de la même plage horaire, une personne diagnostiquée ou dépistée positive au covid-19 ;

« 12° Le code postal renseigné dans l'application par l'utilisateur pour obtenir des informations locales sur la situation sanitaire. Cette donnée ne fait l'objet d'aucun traitement sur le serveur central ;

« 13° Les données à caractère personnel renseignées par l'utilisateur permettant de générer le QR-code lui permettant de disposer d'une attestation de déplacement dérogatoire. » ;

h) Le II est complété par deux alinéas ainsi rédigés :

« Les données à caractère personnel renseignées par l'utilisateur lorsqu'il accède à d'autres sites ou applications via l'application TousAntiCovid ne peuvent être ni collectées ni enregistrées dans le cadre du traitement de données TousAntiCovid.

« Les données à caractère personnel renseignées pour générer les justificatifs mentionnés au 9° du II de l'article 1er du présent décret ne peuvent être enregistrées que par l'utilisateur, s'il le souhaite, aux fins d'être conservées localement sur le téléphone mobile. » ;

4° A l'article 3 :

a) Au premier alinéa, les mots : « pour une durée ne pouvant excéder six mois après la cessation de l'état d'urgence sanitaire déclaré par l'article 4 de la loi n° 2020-290 du 23 mars 2020 susvisée » sont remplacés par les mots : « jusqu'au 31 décembre 2021 » ;

b) Il est ajouté trois alinéas ainsi rédigés :

« Les données mentionnées au 11° du I de l'article 2 sont conservées sur le serveur central et sur le téléphone de l'utilisateur pendant quinze jours à compter de leur enregistrement sur ce téléphone. L'utilisateur a la possibilité, depuis son terminal, de supprimer de son historique tout lieu visité.

« La donnée mentionnée au 12° du I de l'article 2 n'est pas conservée.

« Le QR-code mentionné au 13° du I de l'article 2 ne peut être conservé plus de 24 heures à compter de sa date et heure de validité. » ;

5° A l'article 4 :

a) La deuxième phrase du deuxième alinéa est remplacée par les dispositions suivantes :

« Elles sont en outre prévenues qu'en cas de partage de leur historique de proximité sur le serveur central avant le seizième jour suivant la publication du décret n° 2021-157 du 12 février 2021 modifiant le décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé “StopCovid”, les personnes identifiées comme leurs contacts à risque de contamination seront informées qu'elles auront été à proximité, au cours des quinze derniers jours, d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19 et qu'en cas de partage de leur historique de proximité ou de lieux fréquentés sur le serveur central à compter du quinzième jour suivant la publication du même décret, les personnes identifiées comme leurs contacts à risque de contamination seront informées qu'elles auront, au cours d'une période donnée de trois jours, été à proximité d'au moins un autre utilisateur diagnostiqué ou dépisté positif au virus du covid-19, ou fréquenté un même lieu au même moment qu'au moins une personne diagnostiquée ou dépistée positif au virus du covid-19. Elles sont également informées de la possibilité limitée d'identification indirecte susceptible d'en résulter lorsque ces personnes ont, au cours de cette période, eu un très faible nombre de contacts ou fréquenté des lieux où se trouvaient au même moment un faible nombre de personnes. » ;

b)) Le troisième alinéa est remplacé par les dispositions suivantes :

« Des mentions d'information sont également publiées sur le site internet www.tousanticovid.gouv.fr et sur la page https://bonjour.tousanticovid.gouv.fr/privacy.html, et apposées à proximité des QR-codes situés devant ou dans les lieux qui en sont équipés. » ;

6° A l'article 5, les mots : « et au plus tard le 30 janvier 2021 » sont supprimés.

Article 2

Les dispositions du a, du b et du deuxième alinéa du f du 2° de l'article 1er, les dispositions des c, e et g du 3° de l'article 1er et les dispositions du b du 4° de l'article 1er entrent en vigueur le seizième jour suivant la publication du présent décret.

Article 3

Le ministre de l'économie, des finances et de la relance, le ministre des solidarités et de la santé et le secrétaire d'État auprès du ministre de l'économie, des finances et de la relance et de la ministre de la cohésion des territoires et des relations avec les collectivités territoriales, chargé de la transition numérique et des communications électroniques, sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.

Fait le 12 février 2021.

Jean Castex

Par le Premier ministre :

Le ministre des solidarités et de la santé,

Olivier Véran

Le ministre de l'économie, des finances et de la relance,

Bruno Le Maire

Le secrétaire d'État auprès du ministre de l'économie, des finances et de la relance et de la ministre de la cohésion des territoires et des relations avec les collectivités territoriales, chargé de la transition numérique et des communications électroniques,

Cédric O

Revues liées à ce document

Ouvrages liés à ce document

Textes juridiques liés au document



Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.