La collecte de données dans le cadre de la vaccination contre la Covid-19 : quelles garanties pour les personnes ?
Afin de permettre le déroulement et le suivi de la campagne de vaccination contre le coronavirus SARS-CoV-2, le gouvernement a décidé de créer par décret un traitement sur lequel la CNIL a rendu un avis le 10 décembre dernier. A cette occasion, elle a veillé au respect des droits et libertés des personnes concernées et a rappelé qu’elle exercerait son pouvoir de contrôle une fois le traitement mis en œuvre.
Saisie par le ministre des solidarités et de la santé, la CNIL a rendu un avis le 10 décembre sur un projet de décret autorisant la création d’un traitement de données à caractère personnel relatif à la gestion et au suivi des vaccinations contre le coronavirus SARS-Cov-2, sous la responsabilité conjointe de la direction générale de la santé (DGS) et de la Caisse nationale d’assurance maladie (CNAM). Dans le cadre de cet avis, la Commission a adressé au ministère un certain nombre de recommandations destinées à assurer la conformité du projet de texte à la réglementation relative à la protection des données.
Quels sont les objectifs de ce traitement ?
Ce traitement, intitulé Système d’information (SI) « Vaccin Covid », comprend des informations sur les personnes invitées à être vaccinées ou vaccinées afin notamment d’organiser la campagne de vaccination, le suivi et l’approvisionnement en vaccins et consommables (seringues…), et la réalisation de recherches et du suivi de pharmacovigilance.
Ce système d’information n’a pas vocation à être étendu à d’autres vaccinations que celles contre la Covid.
Quelles données sont collectées ?
Afin de réaliser les objectifs du SI « Vaccin Covid », des informations relatives aux personnes invitées à se faire vacciner ou ayant été vaccinées sont collectées : identité et coordonnées, numéro de sécurité sociale (NIR), données de santé telles que les critères d’éligibilité à la vaccination déterminés par le ministère de la santé, etc.
Dans son avis, la Commission a rappelé que ces données sont protégées par le secret médical et ne doivent être traitées que par des personnes habilitées et soumises au secret professionnel.
Des données relatives aux professionnels de santé et personnes placées sous leur responsabilité sont également collectées.
Quelle est la durée de conservation de ces données ?
Ces données seront conservées dans SI « Vaccin Covid » pendant une durée de dix ans à l’exception de celles nécessaires à la prise en charge des personnes vaccinées en cas d’identification de risques nouveaux qui seront conservées par la direction du numérique des ministères chargés des affaires sociales (DNUM) pendant trente ans.
Qui a accès aux données ?
Certaines de ces données sont transmises aux professionnels de santé et leur équipe réalisant la consultation préalable et/ou la vaccination. Le médecin traitant de la personne vaccinée peut également y avoir accès, sous réserve du consentement de celle-ci. D’autres structures publiques telles que la Caisse nationale d’assurance maladie (CNAM) ou l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) ont accès à certaines données afin de réaliser leurs missions.
Les données pseudonymisées, c’est-à-dire sans le nom, prénom, numéro de sécurité sociale, coordonnées et ayant été soumises à un traitement spécifique, sont accessibles par certains personnels de l’Agence nationale de santé publique (ANSP) et des Agences régionales de santé (ARS) afin de suivre la couverture vaccinale et organiser la campagne de vaccination. Ces données peuvent également être communiquées à la direction de la recherche, des études, de l’évaluation et des statistiques (DREES) du ministère chargé de la santé afin d’établir des statistiques.
Les données pseudonymisées sont également transmises à la Plateforme des données de santé (Health Data Hub) et à la CNAM à des fins de gestion de l’urgence sanitaire et pour améliorer les connaissances sur le virus.
La Commission a demandé que les sous-traitants et les systèmes d’information avec lesquels le SI « Vaccin Covid » sera mis en relation soient rendus publics sur le site web du ministère de la santé.
Comment les personnes concernées seront informées ?
Dans son avis, la CNIL avait invité le ministère à parfaitement informer les personnes concernées, notamment concernant leurs droits. Le décret est venu préciser ce point.
Ainsi, les personnes répondant aux critères d’éligibilité identifiables via les bases de données des gestionnaires de régimes d’assurance maladie obligatoire (Assurance maladie, MSA, etc.) recevront un bon de vaccination qui sera accompagné d’une mention d’information conforme aux exigences du RGPD.
La politique de vaccination, comprenant les critères d’éligibilité, est élaborée par le ministre chargé de la santé après avis de la Haute Autorité de santé (HAS).
Certaines personnes qui répondent aux critères mais qui n’auraient pas reçu un bon pourront exprimer leur souhait d’être vaccinées auprès de leur médecin traitant qui renseignera les informations les concernant au sein du SI « Vaccin Covid ».
Lors de la consultation préalable à la vaccination, les personnes concernées recevront une nouvelle information individuelle, conforme au RGPD, concernant le traitement de leurs données à caractère personnel.
Les professionnels de santé participant à la prise en charge vaccinale reçoivent également une information individuelle.
Quels sont les droits des personnes concernées ?
Les personnes peuvent exercer leurs droits d’accès, de rectification et de limitation auprès du directeur de leur organisme d’assurance maladie de rattachement (par exemple, le directeur de la Caisse primaire d’assurance maladie de leur lieu de résidence via l’espace assuré ameli.fr).
Les personnes concernées pourront s’opposer au traitement de leurs données jusqu’à l’expression de leur consentement à la vaccination. En pratique, le droit d’opposition s’appliquera au traitement des données de santé réalisé avant la vaccination, pour l’envoi des bons de vaccination, si celle-ci n’a pas lieu.
Une fois le consentement à la vaccination exprimé par les personnes concernées, il ne leur sera plus possible de s’opposer au traitement des données les concernant. En effet, une fois la vaccination réalisée, le traitement des données répond à un objectif important d’intérêt public, notamment dans le cadre de la pharmacovigilance.
Il est toutefois possible aux personnes concernées de s’opposer à tout moment à ce que les données pseudonymisées les concernant soient transmises à la Plateforme des données de santé et à la CNAM. Dans ce cas, les personnes concernées devront se rapprocher du directeur de leur organisme d’assurance maladie de rattachement afin de manifester leur opposition.
Quelles suites ?
La Commission a rappelé dans son avis qu’elle serait vigilante aux conditions de mise en œuvre du SI « Vaccin Covid » et qu’elle exercerait son pouvoir de contrôle.
Textes de référence
- Décret n° 2020-1690 du 25 décembre 2020 autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19
- Délibération n° 2020-126 du 10 décembre 2020 portant avis sur un projet de décret autorisant la création d'un traitement de données à caractère personnel relatif à la gestion et au suivi des vaccinations contre le coronavirus SARS-CoV-2
