Base de jurisprudence

Ariane Web: Conseil d'État 456674, lecture du 13 novembre 2023, ECLI:FR:CECHR:2023:456674.20231113

Décision n° 456674
13 novembre 2023
Conseil d'État

N° 456674
ECLI:FR:CECHR:2023:456674.20231113
Inédit au recueil Lebon
10ème - 9ème chambres réunies
M. Rémy Schwartz, président
Mme Christelle Thomas, rapporteur
M. Laurent Domingo, rapporteur public
PROTAT, avocats


Lecture du lundi 13 novembre 2023
REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS




Vu la procédure suivante :

Par une requête, un nouveau mémoire et un mémoire en réplique, enregistrés les 13 septembre 2021, 21 septembre 2022 et 5 janvier 2023 au secrétariat du contentieux du Conseil d'Etat, M. B... A... demande au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir les dispositions des 2° et 4° de l'article 1er, des 1°, 2° et 3° de l'article 2, et à l'article 4, les mots : " et entrera en vigueur immédiatement ", du décret n° 2021-930 du 13 juillet 2021 ;

2°) d'ordonner l'effacement des données de dépistage positif datant de plus de six mois stockées dans le traitement " Vaccin Covid " ;

3°) de mettre à la charge de l'Etat la somme de 500 euros au titre de l'article L. 761-1 du code de justice administrative.




Vu les autres pièces du dossier ;

Vu :
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
- le règlement (UE) 2016/679 du 27 avril 2016 :
- le code civil ;
- le code pénal ;
- le code de la santé publique, notamment son article L. 1110-4 ;
- le code de la sécurité sociale ;
- la loi ° 78-17 du 6 janvier 1978 ;
- la loi n° 2020-546 du 11 mai 2020 ;
- le décret n° 2020-551 du 12 mai 2020 ;
- le décret n° 2020-1690 du 25 décembre 2020 ;
- le code de justice administrative ;

Vu la note en délibéré, enregistrée le 12 septembre 2023, présentée par M. A... ;

Vu la note en délibéré, enregistrée le 22 septembre 2023, présentée par le ministre de la santé et de la prévention ;




Après avoir entendu en séance publique :

- le rapport de Mme Christelle Thomas, maître des requêtes,

- les conclusions de M. Laurent Domingo, rapporteur public ;




Considérant ce qui suit :

Sur le cadre juridique du litige :

1. Aux termes de l'article 11 de la loi du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions, dans sa rédaction applicable à la date du décret attaqué : " I. - Par dérogation à l'article L. 1110-4 du code de la santé publique, aux seules fins de lutter contre la propagation de l'épidémie de covid-19 et pour la durée strictement nécessaire à cet objectif ou, au plus tard, jusqu'au 31 décembre 2021, des données à caractère personnel concernant la santé relatives aux personnes atteintes par ce virus et aux personnes ayant été en contact avec elles peuvent être traitées et partagées, le cas échéant sans le consentement des personnes intéressées, dans le cadre d'un système d'information créé par décret en Conseil d'Etat et mis en oeuvre par le ministre chargé de la santé./ Le ministre chargé de la santé ainsi que l'Agence nationale de santé publique, un organisme d'assurance maladie et les agences régionales de santé peuvent en outre, aux mêmes fins et pour la même durée, être autorisés par décret en Conseil d'Etat à adapter les systèmes d'information existants et à prévoir le partage des mêmes données dans les mêmes conditions que celles prévues au premier alinéa du présent I./ Les données à caractère personnel collectées par ces systèmes d'information à ces fins ne peuvent être conservées à l'issue d'une durée de trois mois après leur collecte. La durée de conservation de certaines données à caractère personnel peut être prolongée, pour la seule finalité de traitement mentionnée au 4° du II et, au plus tard, jusqu'à la date mentionnée au premier alinéa du présent I, par décret en Conseil d'Etat pris après avis publics du comité mentionné au VIII et de la Commission nationale de l'informatique et des libertés. Ce décret précise, pour les données collectées avant son entrée en vigueur, les modalités selon lesquelles les personnes concernées sont informées sans délai de cette prolongation./ Les données à caractère personnel concernant la santé sont strictement limitées au statut virologique ou sérologique de la personne à l'égard du virus mentionné au présent I ainsi qu'à des éléments probants de diagnostic clinique et d'imagerie médicale, précisés par le décret en Conseil d'Etat prévu au présent I./ Le décret en Conseil d'Etat prévu au présent I précise les modalités d'exercice des droits d'accès, d'information, d'opposition et de rectification des personnes concernées, celles atteintes par le virus ou celles en contact avec ces dernières, lorsque leurs données personnelles sont collectées dans ces systèmes d'information à l'initiative de tiers./ La prorogation des systèmes d'information au-delà de la date mentionnée au premier alinéa du présent I ne peut être autorisée que par la loi./ II. - Les systèmes d'information mentionnés au I ont pour finalités : 1° L'identification des personnes infectées, par la prescription et la réalisation d'examens de dépistage virologique ou sérologique ou d'examens d'imagerie médicale pertinents ainsi que par la collecte de leurs résultats, y compris non positifs, ou par la transmission des éléments probants de diagnostic clinique susceptibles de caractériser l'infection mentionnés au même I. (...)/ 2° L'identification des personnes présentant un risque d'infection, par la collecte des informations relatives aux contacts des personnes infectées et, le cas échéant, par la réalisation d'enquêtes sanitaires, en présence notamment de cas groupés ;/ 3° L'orientation des personnes infectées, et des personnes susceptibles de l'être, en fonction de leur situation, vers des prescriptions médicales d'isolement prophylactiques, ainsi que l'accompagnement de ces personnes pendant et après la fin de ces mesures ;/ 4° La surveillance épidémiologique aux niveaux national et local, ainsi que la recherche sur le virus et les moyens de lutter contre sa propagation, sous réserve, en cas de collecte d'informations, de supprimer les nom et prénoms des personnes, leur numéro d'inscription au répertoire national d'identification des personnes physiques, leur adresse et leurs coordonnées de contact téléphonique et électronique ;/ 5° L'accompagnement social des personnes infectées et des personnes susceptibles de l'être pendant et après la fin des prescriptions médicales d'isolement prophylactiques, sous réserve du recueil préalable du consentement des intéressés au partage de leurs données à caractère personnel dans ce cadre (...). "

2. Sur le fondement de ces dispositions, le décret du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi du 11 mai 2020 a créé, par ses articles 1er à 7, le traitement " Contact Covid ", dont le responsable est la caisse nationale de l'assurance maladie, qui a notamment pour finalités l'identification, l'orientation et l'accompagnement des personnes infectées ou susceptibles de l'être ainsi que la surveillance épidémiologique et, par ses articles 8 à 13, le traitement " SI-DEP ", dont le responsable est le ministre chargé de la santé et dont l'Assistance publique - Hôpitaux de Paris assure la gestion, qui a pour finalités " de centraliser les résultats d'examens de dépistage virologique ou sérologique de la covid-19 afin de les mettre à disposition des organismes chargés de déterminer les personnes ayant été en contact avec des personnes infectées, de réaliser des enquêtes sanitaires en présence de cas groupés pour rompre les chaînes de contamination, d'orienter, de suivre et d'accompagner les personnes concernées, et de faciliter le suivi épidémiologique aux niveaux national et local et la recherche sur le virus de même que les moyens de lutter contre sa propagation. "

3. Par ailleurs, un décret du 25 décembre 2020 a autorisé la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19, dénommé " Vaccin Covid ", placé sous la responsabilité conjointe de la direction générale de la santé et de la caisse nationale de l'assurance maladie, qui a notamment pour finalités l'identification des personnes éligibles à la vaccination et l'organisation de la campagne de vaccination.

4. Le décret attaqué du 13 juillet 2021 modifie, d'une part, les dispositions du décret du 12 mai 2020 relatives aux traitements " Contact Covid " et " SI-DEP " et, d'autre part, celles du décret du 25 décembre 2020 relatives au traitement " Vaccin Covid ". M. A... conteste ce décret en tant qu'il permet à des tiers d'accéder à des informations relatives au statut vaccinal au regard de la covid-19, qu'il organise une interconnexion entre ces fichiers, qu'il n'informe pas les personnes concernées par la collecte de ces données préalablement à leur traitement et qu'il limite la possibilité pour les personnes concernées d'exercer leur droit d'opposition et de limitation du traitement.

Sur l'intervention de l'association BonSens.org et de Mme C... :

5. L'association BonSens.org et Mme C... justifient d'un intérêt suffisant à l'annulation des dispositions attaquées. Leur intervention est, par suite, recevable.

Sur l'accès du médecin traitant et du service du contrôle médical des caisses aux données relatives à la vaccination figurant dans le traitement " Vaccin Covid " :

6. Le a) du 2° de l'article 2 du décret attaqué modifie les dispositions du 1° du I de l'article 2 du décret du 25 décembre 2020 en étendant les catégories de données à caractère personnel enregistrées dans le traitement " Vaccin Covid " aux données d'indentification de l'ensemble des personnes éligibles à la vaccination, alors que le texte ne visait jusqu'alors que les données d'identification des personnes invitées à se faire vacciner ou vaccinées. Les dispositions du a) et du c) du 3° du même article 2 modifient respectivement les dispositions des 2° et 8° du I de l'article 3 du décret du 25 décembre 2020 relatives aux catégories de destinataires des données enregistrées dans le traitement " Vaccin Covid ". D'une part, alors que, sous l'empire de la rédaction antérieure du texte, le médecin traitant n'avait accès, sans le consentement de la personne concernée, qu'aux seules données d'identification de ses patients vaccinés, le a) du 3° de l'article 2 du décret attaqué prévoit que le médecin traitant a désormais accès aux données de tous ses patients éligibles à la vaccination, qu'ils soient vaccinés ou non, afin de lui permettre de recevoir la liste de ses patients non vaccinés et d'accompagner à la vaccination ceux présentant des vulnérabilités particulières. D'autre part, le c) du 3° de l'article 2 du même décret rend destinataires des données enregistrées dans le traitement les praticiens conseil du service du contrôle médical et les personnes placées sous leur autorité pour la mise en oeuvre des mesures d'accompagnement à la vaccination des personnes présentant des maladies chroniques.

7. Aux termes du premier alinéa du I de l'article L. 1110-4 du code de la santé publique : " Toute personne prise en charge par un professionnel de santé (...) a droit au respect de sa vie privée et du secret des informations la concernant. / Excepté dans les cas de dérogation expressément prévus par la loi, ce secret couvre l'ensemble des informations concernant la personne venues à la connaissance du professionnel, de tout membre du personnel de ces établissements, services ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s'impose à tous les professionnels intervenant dans le système de santé ". Son II dispose que : " Un professionnel peut échanger avec un ou plusieurs professionnels identifiés des informations relatives à une même personne prise en charge, à condition qu'ils participent tous à sa prise en charge et que ces informations soient strictement nécessaires à la coordination ou à la continuité des soins, à la prévention ou à son suivi médico-social et social ". Conformément au second alinéa de son III : " Le partage, entre des professionnels ne faisant pas partie de la même équipe de soins, d'informations nécessaires à la prise en charge d'une personne requiert son consentement préalable, recueilli par tout moyen, y compris de façon dématérialisée, dans des conditions définies par décret pris après avis de la Commission nationale de l'informatique et des libertés ".

8. En premier lieu, si l'article L. 162-5-3 du code de la sécurité sociale prévoit, afin de favoriser la coordination des soins, la désignation par tout assuré ou ayant droit de plus de seize ans d'un médecin traitant avec l'accord de ce dernier, ces dispositions, par elles-mêmes, ne dérogent pas à celles de l'article L. 1110-4 du code de la santé publique. Par ailleurs, s'il résulte des dispositions combinées des articles L. 1111-14, L. 1111-15 et L. 1111-16 du code de la santé publique que le médecin traitant dispose d'un droit d'accès au dossier médical partagé du patient, composante de l'espace numérique de santé, lui permettant d'accéder à l'ensemble des informations qu'il comporte, ces mêmes dispositions permettent au patient de s'opposer à la création même d'un espace numérique de santé. Elles ne sauraient donc être regardées comme ouvrant, par principe, et en dehors du cas où ses patients disposent d'un dossier médical partagé, un droit d'accès du médecin traitant à l'ensemble de leurs données de santé sans leur consentement. En autorisant la transmission au médecin traitant, à sa demande, de la liste de ses patients non vaccinés sans le consentement de ces derniers, sans limiter le champ de cette transmission aux données relatives aux patients disposant d'un dossier médical partagé, l'article 2 du décret attaqué méconnaît ainsi le droit au respect de la vie privée et au secret des informations médicales, protégé par l'article L. 1110-4 du code de la santé publique. Par suite, M. A... est fondé à demander dans cette mesure l'annulation du a) du 3° de l'article 2 du décret du 13 juillet 2021 attaqué.

9. En second lieu, aux termes de l'article L. 221-1 du code de de la sécurité sociale : " La Caisse nationale de l'assurance maladie gère les branches mentionnées aux 1° et 2° de l'article L. 200-2 et, à cet effet, a pour rôle (...) : 3° De promouvoir une action de prévention, d'éducation et d'information de nature à améliorer l'état de santé de ses ressortissants et de coordonner les actions menées à cet effet par les caisses d'assurance retraite et de la santé au travail et les caisses primaires d'assurance maladie, dans le cadre des programmes de santé publique mentionnés à l'article L. 1413-1, déclinés par la convention prévue à l'article L. 227-1 du présent code. " En vertu de l'article L. 162-1-11 du code de la sécurité sociale : " Les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie assurent, par tous moyens adaptés, une mission générale d'information des assurés sociaux, en vue notamment de faciliter l'accès aux soins et à la protection sociale et de leur permettre de connaître les conditions dans lesquelles les actes de prévention, de diagnostic ou de soins qu'ils reçoivent sont pris en charge. / Les caisses peuvent également mettre en oeuvre des services de conseils administratifs ou d'orientation. Ces services doivent permettre aux assurés de disposer des informations nécessaires pour accéder à la prévention et aux soins dans les meilleures conditions. (...) / Les caisses nationales d'assurance maladie peuvent mettre en place des programmes d'accompagnement des patients atteints de maladies chroniques visant à leur apporter des conseils en termes d'orientation dans le système de soins et d'éducation à la santé ". Conformément au V de l'article L. 315-1 du code de la sécurité sociale, " les praticiens-conseils du service du contrôle médical et les personnes placées sous leur autorité n'ont accès aux données de santé à caractère personnel que si elles sont strictement nécessaires à l'exercice de leur mission, dans le respect du secret médical ".

10. S'il résulte des dispositions citées au point 9 que les praticiens-conseils du service du contrôle médical concourent aux missions de prévention et d'éducation assignées à l'assurance maladie et sont en particulier habilités à mettre en place des programmes d'accompagnement des patients atteints de maladies chroniques, ces dispositions ne sauraient être regardées comme impliquant une dérogation de portée générale au secret médical protégé par l'article L. 1110-4 du code de la santé publique. Ainsi, s'il était loisible au pouvoir réglementaire, sur le fondement de ces dispositions, de prévoir l'accès des praticiens-conseils aux données du traitement " Vaccin Covid " relatives aux personnes présentant des maladies chroniques, sans que le consentement de celles-ci soient requis, il ne pouvait légalement étendre ce droit d'accès aux données relatives à l'ensemble des personnes figurant dans le traitement " Vaccin Covid ". Le requérant est, par suite, fondé à demander l'annulation du c) du 3° de l'article 2 du décret attaqué en tant qu'il ne limite pas cette transmission aux données relatives aux personnes présentant des maladies chroniques.

Sur les mises en relation du traitement " Vaccin Covid " avec les traitements " Contact Covid " et " SI-DEP " :

11. Le b) du 3° de l'article 2 du décret attaqué modifie le I de l'article 3 du décret du 25 décembre 2020 pour rendre destinataire des données enregistrées dans le traitement " Vaccin Covid " la caisse nationale de l'assurance maladie pour certaines données relatives au statut vaccinal des patients, en vue de leur enregistrement dans le traitement " Contact Covid ". Parallèlement, le a) du 2° de l'article 1er du décret attaqué modifie le I de l'article 2 en ajoutant à la liste des catégories de données collectées par le traitement " Contact Covid " les données collectées par l'intermédiaire du traitement " Vaccin Covid ". Par ailleurs, le b) du 2° de l'article 2 du décret attaqué modifie le I de l'article 2 du décret du 25 décembre 2020 pour ajouter à la liste des catégories de données enregistrées dans le traitement " Vaccin Covid " la date d'une infection par le virus de la covid 19 obtenue à partir des données enregistrées dans le traitement " SI-DEP ", tandis que le 4° de l'article 1er ajoute aux catégories de données enregistrées dans le traitement " SI-DEP " celles relatives aux personnes vaccinées.

12. En premier lieu, si l'article 11 de la loi du 11 mai 2020 prévoit que les données à caractère personnel concernant la santé susceptibles d'être contenues dans les traitements dont il prévoit la création sont strictement limitées au statut virologique ou sérologique de la personne à l'égard du virus de la covid-19, ces dispositions ne sauraient être interprétées comme faisant obstacle à ce qu'y figurent les données relatives au statut vaccinal des personnes figurant dans ces traitements, qui peuvent se révéler indispensables pour interpréter les résultats des tests sérologiques pratiqués sur les personnes concernées.

13. En deuxième lieu, en autorisant la transmission à la caisse nationale d'assurance maladie des données recueillies dans le cadre du traitement " Vaccin Covid " relatives à l'identification de la personne, à son statut vaccinal, au nom du vaccin, ainsi qu'aux dates de la ou des injections, en vue de leur enregistrement dans le traitement " Contact Covid ", l'article 2 du décret attaqué organise le partage de données à caractère personnel relatives au statut virologique et sérologique des personnes concernées à l'égard du virus de la covid-19 conformément au cadre dérogatoire au secret médical prévu par le I de l'article 11 de la loi du 11 mai 2020. Il s'ensuit que le moyen tiré de ce que le décret litigieux méconnaît le secret médical en organisant la mise en relation de ces deux traitements, doit être écarté.

14. En troisième lieu, eu égard à leur objet et à leur portée, les dispositions en cause ne portent pas une excessive à la protection de la vie privée des personnes concernées.

15. Les conclusions dirigées contre le a) du 2° et le 4° de l'article 1er ainsi que contre le b) du 3° de l'article 2 du décret attaqué doivent, par suite, être rejetées.

16. En quatrième et dernier lieu, en revanche, ainsi qu'il a été dit au point 11, les dispositions du b) du 2° de l'article 2 du décret attaqué modifient le I de l'article 2 du décret du 25 décembre 2020 pour ajouter à la liste des catégories de données enregistrées dans le traitement " Vaccin Covid " la date d'une infection par le virus de la covid 19 obtenue à partir des données enregistrées dans le traitement " SI-DEP ". Or il résulte des dispositions de l'article 11 de la loi du 11 mai 2020 que le législateur n'a entendu ouvrir la possibilité de traiter de telles données, sans le consentement des personnes concernées, par dérogation à l'article L. 1110-4 du code de la santé publique, que pour les seules finalités mentionnées à son II, dont ne fait partie la gestion des vaccinations. M. A... est donc fondé à en demander l'annulation.

Sur les moyens tirés de la méconnaissance de l'article 69 de la loi du 6 janvier 1978 et du RGPD :

17. M. A... soutient que le décret attaqué, en ne prévoyant pas l'information individualisée des personnes dont les données à caractère personnel ont été collectées antérieurement à son entrée en vigueur sur les modifications apportées au dispositif, méconnaît le premier alinéa de l'article 69 de la loi du 6 janvier 1978, aux termes duquel : " Les personnes auprès desquelles sont recueillies des données à caractère personnel ou à propos desquelles de telles données sont transmises sont individuellement informées conformément aux dispositions du règlement (UE) 2016/679 du 27 avril 2016 ".

18. Toutefois, l'article 3 du décret du 13 juillet 2021 prévoit que : " Les personnes dont les données ont été collectées avant la date d'entrée en vigueur du présent décret dans le cadre des traitements prévus aux articles 1er et 8 du décret du 12 mai 2020 et à l'article 1er du décret du 25 décembre 2020 susvisés sont informées sans délai, par les responsables de ces traitements, des modifications intervenues en application du présent décret. / Les responsables des traitements mentionnés à l'alinéa précédent assurent cette information sur leurs sites internet respectifs et par tout autre moyen permettant de porter cette information à la connaissance des personnes concernées ".

19. Il résulte des dispositions citées au point précédent que l'information prévue par l'article 69 de la loi du 6 janvier 1978 est bien garantie, dès lors qu'il incombe aux responsables de traitement de la porter, par tout moyen, à la connaissance des personnes concernées.

Sur les moyens tirés de la violation du droit d'opposition et à la limitation du traitement garanti par le règlement général sur la protection des données :

20. D'une part, aux termes de l'article 5 du décret du 25 décembre 2020 : " I. Les droits d'accès et de rectification, ainsi que le droit à la limitation, s'exercent auprès du directeur de l'organisme d'assurance maladie de la personne concernée, dans les conditions prévues aux articles 15, 16 et 18 du règlement (UE) du 27 avril 2016 susvisé (...). II. En application de l'article 23 du règlement (UE) du 27 avril 2016 susvisé, le droit d'opposition prévu à l'article 21 du même règlement ne s'applique au traitement autorisé par l'article 1er du présent décret qu'en ce qui concerne : / 1° Le traitement des données enregistrées suite à l'identification des personnes éligibles à la vaccination par les organismes des régimes obligatoires d'assurance maladie, et uniquement jusqu'à l'enregistrement, par un professionnel de santé concourant à la prise en charge vaccinale, du consentement de la personne à la vaccination ; / 2° La transmission, telle que prévue au 4° du II de l'article 3 du présent décret, des données au groupement d'intérêt public mentionné à l'article L. 1462-1 du code de la santé publique et à la Caisse nationale de l'assurance maladie. Le droit d'opposition s'exerce auprès du directeur de l'organisme d'assurance maladie de rattachement de la personne concernée ".

21. D'autre part, conformément aux points 2 et 3 de l'article 21 du règlement général sur la protection des données du 27 avril 2016, " 2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s'opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. / 3. Lorsque la personne concernée s'oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins ". Le point 1 de son article 23 prévoit toutefois la possibilité de limiter la portée du droit d'opposition " lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir " un objectif important d'intérêt public général d'un Etat membre, notamment dans le domaine de la santé publique. Il résulte de ces dispositions que le décret autorisant la mise en oeuvre d'un traitement de données à caractère personnel peut comporter une disposition expresse excluant l'exercice du droit d'opposition dès lors que cette exclusion est nécessaire et, eu égard notamment à la nature des données, aux finalités poursuivies et aux garanties prévues, proportionnée pour atteindre des objectifs importants d'intérêt public, notamment dans le domaine de la santé publique.

22. Le traitement " Vaccin Covid " institué par le décret du 25 décembre 2020 précité est rendu nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique. La limitation de l'exercice du droit d'opposition, d'une part, aux données enregistrées à la suite de l'identification des personnes éligibles à la vaccination jusqu'à l'enregistrement de leur consentement à la vaccination et d'autre part, à la transmission des données au groupement d'intérêt public gérant la plateforme des données de santé et à la caisse nationale d'assurance maladie, répond aux exigences de nécessité et de proportionnalité rappelées au point précédent. Par suite, le moyen tiré de ce que le décret du 13 juillet 2021, qui ne modifie au demeurant pas les conditions d'exercice du droit d'opposition prévues initialement par le décret du 25 décembre 2020, méconnaîtrait le droit d'opposition garanti par le RGPD, ne peut, en tout état de cause, qu'être écarté.

23. Le moyen tiré de ce qu'en faisant entrer immédiatement en vigueur le décret attaqué, son article 4 méconnaîtrait le droit d'opposition garanti par le RGPD ainsi que le droit à limitation du traitement, alors qu'un tel droit peut être exercé dans les conditions prévues au II de son article 5 cité au point 14, doit en conséquence, pour les mêmes raisons, être écarté.

24. Il résulte de tout ce qui précède que M. A... n'est fondé à demander l'annulation que du b) du 2°, du a) du 3° en tant qu'il ne limite pas le champ de la transmission des données concernées à celles relatives aux patients disposant d'un dossier médical partagé et du c) du 3° de l'article 2 du décret du 13 juillet 2021 en tant qu'il ne limite pas cette transmission aux données relatives aux personnes présentant des maladies chroniques. Le surplus de ses conclusions à fin d'annulation doit être rejeté.

Sur les conclusions aux fins d'injonction :

25. L'annulation ainsi prononcée du b) du 2° de l'article 2 du décret du 13 juillet 2021 implique que soient effacées du traitement " Vaccin Covid ", dans un délai qu'il y a lieu de fixer à six mois, les données relatives à la date d'infection par le virus de la covid 19 obtenues à partir des données enregistrées dans le traitement " SI-DEP ". Il n'y a pas lieu, dans les circonstances de l'espèce, d'assortir cette injonction d'une astreinte.

Sur les conclusions tendant à l'application de l'article L. 761-1 du code de justice administrative :

26. Il n'y a pas lieu de faire droit, dans les circonstances de l'espèce, aux conclusions de M. A... présentées sur le fondement de l'article L. 761-1 du code de justice administrative.



D E C I D E :
--------------

Article 1er : L'intervention de l'association BonSens.org et de Mme C... est admise.
Article 2 : Le b) du 2°, le a) du 3° en tant qu'il ne limite pas le champ de la transmission des données en cause à celles relatives aux patients disposant d'un dossier médical partagé et le c) du 3° de l'article 2 du décret du 13 juillet 2021 en tant qu'il ne limite pas cette transmission aux données relatives aux personnes présentant des maladies chroniques sont annulés.
Article 3 : Il est enjoint au Premier ministre de prendre les mesures nécessaires pour que soient effacées, dans un délai de six mois, les données relatives à la date d'infection par le virus de la covid 19 obtenues à partir des données enregistrées dans le traitement " SI-DEP ".
Article 4 : Le surplus des conclusions de la requête de M. A... est rejeté.
Article 5 : La présente décision sera notifiée à M. B... A..., à l'association BonSens.org, première intervenante dénommé, à la Première ministre et au ministre de la santé et de la prévention.
Copie en sera adressée à la section du rapport et des études.


Délibéré à l'issue de la séance du 11 septembre 2023 où siégeaient : M. Rémy Schwartz, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; Mme Nathalie Escaut, M. Vincent Daumas, M. Nicolas Polge, M. Bruno Delsol, M. Didier Ribes, conseillers d'Etat et Mme Christelle Thomas, maître des requêtes-rapporteure.

Rendu le 13 novembre 2023.

Le président :
Signé : M. Rémy Schwartz

La rapporteure :
Signé : Mme Christelle Thomas

La secrétaire :
Signé : Mme Claudine Ramalahanoharana