Vaccination contre le Covid-19 : quelles garanties concernant la collecte des données personnelles ?

Un décret paru le 26 décembre 2020 au Journal officiel autorise le ministère des Solidarités et de la Santé et la Caisse nationale d'assurance maladie à mettre en place un traitement de données à caractère personnel dénommé « SI Vaccin Covid » pour la mise en œuvre et le suivi des campagnes vaccinales contre le Covid-19. Son contrôle est assuré par la Commission nationale de l'informatique et des libertés (CNIL). Quelles en sont les modalités ? Les explications avec Service-Public.fr.

Géré par la Caisse nationale de l'assurance maladie (CNAM) et la Direction générale de la santé, le traitement « SI Vaccin Covid » collecte les informations utiles pour l'organisation de la campagne de vaccination, le suivi et l'approvisionnement en vaccins et consommables (seringues...), ainsi que pour la réalisation de recherches et du suivi de pharmacovigilance.

Ce dispositif permet d'identifier les personnes éligibles à la vaccination, de pouvoir leur envoyer des bons de vaccination, de surveiller tout effet indésirable causé par la vaccination et de contacter les personnes en cas d'apparition d'un risque nouveau.

Dans son avis du 10 décembre 2020, la CNIL a émis des recommandations destinées à assurer la conformité du dispositif à la réglementation relative à la protection des données et a rappelé qu'elle serait vigilante aux conditions de sa mise en œuvre.

Les données collectées

Les informations collectées sont notamment :

• l'identité et les coordonnées ;
• le numéro de sécurité sociale (NIR) ;
• la date de l'injection ;
• le vaccin choisi ;
• le numéro du lot ;
• les données de santé telles que les critères d'éligibilité à la vaccination déterminés par le ministère de la Santé.

Des données relatives aux professionnels de santé et aux personnes placées sous leur responsabilité sont également collectées.

L'information des personnes concernées

Les personnes répondant aux critères d'éligibilité identifiables via les bases de données des gestionnaires des différents régimes d'assurance maladie obligatoire reçoivent un bon de vaccination accompagné d'une information conforme aux exigences du Règlement général sur la protection des données (RGPD) .

Les personnes répondant aux critères qui n'auraient pas reçu ce bon peuvent exprimer leur souhait d'être vaccinées auprès de leur médecin traitant qui renseignera les informations les concernant dans le dispositif « SI Vaccin Covid ».

Lors de la consultation préalable à la vaccination, les personnes reçoivent une nouvelle information individuelle concernant le traitement de leurs données à caractère personnel.

Les droits des personnes concernées

Les personnes peuvent exercer leurs droits d'accès, de rectification et de limitation auprès du directeur de leur organisme d'assurance maladie de rattachement (par exemple, le directeur de la Caisse primaire d'assurance maladie de leur lieu de résidence via l'espace assuré sur le site ameli.fr ).

Elles peuvent s'opposer au traitement de leurs données jusqu'à l'expression de leur consentement à la vaccination : le droit d'opposition s'applique au traitement des données de santé réalisé avant la vaccination pour l'envoi des bons de vaccination.

Ensuite, il ne leur est plus possible de s'opposer au traitement des données les concernant. En effet, une fois la vaccination réalisée, le traitement des données répond à un objectif d'intérêt public, notamment dans le cadre de la pharmacovigilance.

Il est toutefois possible de s'opposer à tout moment à ce que les données pseudonymisées (sans les nom, prénom, numéro de sécurité sociale, coordonnées) soient transmises à la plateforme des données de santé et à la CNAM. Dans ce cas, les personnes doivent se rapprocher du directeur de leur organisme d'assurance maladie de rattachement.

L'accès aux données

Dans son avis, la Commission a rappelé que ces données sont protégées par le secret médical et ne doivent être traitées que par des personnes habilitées et soumises au secret professionnel.

Certaines de ces données sont transmises aux professionnels de santé réalisant la consultation préalable et la vaccination. Le médecin traitant de la personne vaccinée peut également y avoir accès, sous réserve du consentement de celle-ci.

D'autres structures publiques telles que la CNAM ou l'Agence nationale de sécurité du médicament et des produits de santé (ANSM) ont accès à certaines données afin de réaliser leurs missions.

Les données pseudonymisées et soumises à un traitement spécifique sont accessibles par certains personnels de l'Agence nationale de santé publique (ANSP) et des Agences régionales de santé (ARS) afin de suivre la couverture vaccinale et organiser la campagne de vaccination.

Ces données peuvent également être communiquées à la Direction de la recherche, des études, de l'évaluation et des statistiques (DREES) du ministère chargé de la Santé afin d'établir des statistiques.

Les données pseudonymisées sont aussi transmises à la Plateforme des données de santé (Health Data Hub) et à la CNAM à des fins de gestion de l'urgence sanitaire et pour améliorer les connaissances sur le virus.

La CNIL a demandé que les sous-traitants et les systèmes d'information avec lesquels « SI Vaccin Covid » est mis en relation soient rendus publics sur le site du ministère chargé de la Santé.

La durée de conservation des données

Les données seront conservées dans « SI Vaccin Covid » pendant une durée de 10 ans, à l'exception de celles nécessaires à la prise en charge des personnes vaccinées en cas d'identification de risques nouveaux qui seront conservées par la Direction du numérique des ministères chargés des Affaires sociales (DNUM) pendant 30 ans.