[Questions/Réponses] Le point sur la collecte de données dans le cadre de la vaccination contre la covid-19

Saisie par le ministre des Solidarités et de la Santé, la CNIL a rendu un avis le 10 décembre sur un projet de décret autorisant la création d’un traitement de données à caractère personnel relatif à la gestion et au suivi des vaccinations contre le coronavirus SARS-Cov-2, sous la responsabilité conjointe de la Direction générale de la santé (DGS) et de la Caisse nationale d’assurance maladie (CNAM). Dans le cadre de cet avis, la CNIL a adressé au ministère un certain nombre de recommandations destinées à assurer la conformité du projet de texte à la réglementation relative à la protection des données.

Le décret n° 2020-1690 du 25 décembre 2020 a finalement été publié au Journal officiel du 26 décembre 2020. Il a pour objet la création d'un traitement de données à caractère personnel ayant pour finalité la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre la covid-19. Il autorise le ministère des Solidarités et de la Santé et la Caisse nationale d'assurance maladie à mettre en œuvre le traitement dénommé « Vaccin Covid ». Conformément aux dispositions de l'article 35 de la loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés (N° Lexbase : L8794AGS), il définit les finalités du traitement, les catégories de données à caractère personnel enregistrées dans le traitement, les destinataires de ces données, les droits reconnus aux personnes concernées au titre du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) ainsi que leurs modalités d'exercice.

1. 1 - Quels sont les objectifs de ce traitement ?

Ce traitement, intitulé « Vaccin Covid », comprend des informations sur les personnes invitées à être vaccinées ou ayant été vaccinées afin notamment d’organiser la campagne de vaccination, le suivi et l’approvisionnement en vaccins et consommables (seringues…), et la réalisation de recherches et du suivi de pharmacovigilance (décret n° 2020-1690 du 25 décembre 2020, art. 1, II).

Ce système d’information n’a pas vocation à être étendu à d’autres vaccinations que celles contre la covid.

2 - Quelles données sont collectées ?

Afin de réaliser les objectifs du traitement, des informations relatives aux personnes invitées à se faire vacciner ou ayant été vaccinées sont collectées, telles que l’identité et les coordonnées, le numéro de Sécurité sociale (NIR), les données de santé telles que les critères d’éligibilité à la vaccination déterminés par le ministère de la Santé, etc.. La liste exhaustive des catégories de données à caractère personnel et informations enregistrées dans le traitement figure à l’article 2, I, du décret du 25 décembre 2020.

Dans son avis, la CNIL a rappelé que ces données sont protégées par le secret médical et ne doivent être traitées que par des personnes habilitées et soumises au secret professionnel.

Des données relatives aux professionnels de santé et personnes placées sous leur responsabilité sont également collectées.

3 - Quelle est la durée de conservation de ces données ?

Ces données seront conservées dans le système d’information « Vaccin Covid » pendant une durée de dix ans.

Les données nécessaires à la prise en charge des personnes vaccinées en cas d’identification de risques nouveaux qui seront conservées par la Direction du numérique des ministères chargés des affaires sociales (DNUM) seront conservées quant à elles pendant une durée de trente ans.

4 - Qui a accès aux données ?

D'après l'article 3 du décret, certaines de ces données sont transmises aux professionnels de santé et leur équipe réalisant la consultation préalable et/ou la vaccination. Le médecin traitant de la personne vaccinée peut également y avoir accès, sous réserve du consentement de celle-ci. D’autres structures publiques telles que la Caisse nationale d’assurance maladie (CNAM) ou l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) ont accès à certaines données afin de réaliser leurs missions.

Les données pseudonymisées, c’est-à-dire sans le nom, prénom, numéro de Sécurité sociale, coordonnées et ayant été soumises à un traitement spécifique, sont accessibles par certains personnels de l’Agence nationale de santé publique (ANSP) et des Agences régionales de santé (ARS) afin de suivre la couverture vaccinale et organiser la campagne de vaccination. Ces données peuvent également être communiquées à la Direction de la recherche, des études, de l’évaluation et des statistiques (DREES) du ministère chargé de la Santé afin d’établir des statistiques.

Les données pseudonymisées sont également transmises à la Plateforme des données de santé (Health Data Hub) et à la CNAM à des fins de gestion de l’urgence sanitaire et pour améliorer les connaissances sur le virus.

La CNIL a demandé que les sous-traitants et les systèmes d’information avec lesquels le système d’information « Vaccin Covid » sera mis en relation soient rendus publics sur le site web du ministère de la Santé.

5 - Comment les personnes concernées seront informées ?

Dans son avis, la CNIL avait invité le ministère à parfaitement informer les personnes concernées, notamment concernant leurs droits. Le décret est venu préciser ce point dans son article 4.

Ainsi, les personnes répondant aux critères d’éligibilité identifiables via les bases de données des gestionnaires de régimes d’assurance maladie obligatoire (Assurance maladie, MSA, etc.) recevront un bon de vaccination qui sera accompagné d’une mention d’information conforme aux exigences du « RGPD ».

La politique de vaccination, comprenant les critères d’éligibilité, est élaborée par le ministre chargé de la Santé après avis de la Haute Autorité de santé (HAS).

Certaines personnes qui répondent aux critères mais qui n’auraient pas reçu un bon pourront exprimer leur souhait d’être vaccinées auprès de leur médecin traitant qui renseignera les informations les concernant au sein du système d’information « Vaccin Covid ».

Lors de la consultation préalable à la vaccination, les personnes concernées recevront une nouvelle information individuelle, conforme au « RGPD », concernant le traitement de leurs données à caractère personnel.

Les professionnels de santé participant à la prise en charge vaccinale reçoivent également une information individuelle.

6 - Quels sont les droits des personnes concernées ?

Les droits des personnes concernées sont détaillés à l’article 5 du décret du 25 décembre 2020.

Les personnes peuvent exercer leurs droits d’accès, de rectification et de limitation auprès du directeur de leur organisme d’assurance maladie de rattachement.

Les personnes concernées pourront s’opposer au traitement de leurs données jusqu’à l’expression de leur consentement à la vaccination. En pratique, le droit d’opposition s’appliquera au traitement des données de santé réalisé avant la vaccination, pour l’envoi des bons de vaccination, si celle-ci n’a pas lieu.

Une fois le consentement à la vaccination exprimé par les personnes concernées, il ne leur sera plus possible de s’opposer au traitement des données les concernant. En effet, une fois la vaccination réalisée, le traitement des données répond à un objectif important d’intérêt public, notamment dans le cadre de la pharmacovigilance.

Il est toutefois possible aux personnes concernées de s’opposer à tout moment à ce que les données pseudonymisées les concernant soient transmises à la Plateforme des données de santé et à la CNAM. Dans ce cas, les personnes concernées devront se rapprocher du directeur de leur organisme d’assurance maladie de rattachement afin de manifester leur opposition.

7 - Quel est le rôle de la CNIL ?

Dans son avis, la CNIL a rappelé qu’elle serait vigilante aux conditions de mise en œuvre du système d’information « Vaccin Covid » et qu’elle exercerait son pouvoir de contrôle.

© Reproduction interdite, sauf autorisation écrite préalable