Le Décret n° 2020-1690 du 25 décembre 2020 a mis en place un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19 (SI Vaccin Covid).  Sont concernées toutes les personnes éligibles à la vaccination contre la covid-19 ainsi que les professionnels du secteur sanitaire intervenant dans la vaccination. Le traitement a pour finalité la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre la covid-19. Le décret prévoit plusieurs finalités visant principalement à organiser la vaccination des personnes, le suivi et l’approvisionnement en vaccins et consommables, la production d’informations à destination des personnes vaccinées, la mise à disposition de données relatives à la vaccination à des fins de calcul d’indicateurs et de recherche, un suivi de pharmacovigilance ainsi que la prise en charge financière des actes liés à la vaccination.

Responsables du traitement SI Vaccin Covid

Le ministère des solidarités et de la santé et la Caisse nationale d’assurance maladie sont ainsi autorisés à mettre en œuvre le traitement SI Vaccin Covid.  Conformément à l’article 35 de la loi du 6 janvier 1978, le décret définit les finalités du traitement, les catégories de données à caractère personnel enregistrées dans le traitement, les destinataires de ces données, les droits reconnus aux personnes concernées au titre du règlement 2016/679 du 27 avril 2016 (RGPD) ainsi que leur modalités d’exercice.

Finalités de SI Vaccin Covid

SI Vaccin Covid a pour finalités :

1° L’identification des personnes éligibles à la vaccination au regard des recommandations énoncées par le ministre chargé de la santé en application des dispositions de l’article L. 3111-1 du code de la santé publique, l’envoi de bons de vaccination à ces personnes, l’enregistrement des informations relatives à la consultation préalable à la vaccination et l’organisation de la vaccination de ces personnes ;

2° Le suivi de l’approvisionnement des lieux de vaccinations en vaccins et consommables ;

3° L’envoi à la personne vaccinée d’un récapitulatif des informations relatives à la vaccination, établi par le professionnel de santé réalisant la vaccination ou par le personnel placé sous sa responsabilité ;

4° La mise à disposition de données permettant la présentation de l’offre de vaccination, la surveillance de la couverture vaccinale, la mesure de l’efficacité et de la sécurité vaccinales, la pharmacovigilance, le suivi statistique de la campagne de vaccination, l’appui à l’évaluation de la politique publique de vaccination et la réalisation d’études et de recherches ;

5° La délivrance, en cas d’apparition d’un risque nouveau, de l’information prévue à l’article L. 1111-2 du code de la santé publique, aux personnes vaccinées et, le cas échéant, leur orientation vers un parcours de soins adaptés ;

6° La prise en charge financière des actes liés à la vaccination.

Mises en garde de la CNIL

A noter que la CNIL a formulé plusieurs mises en garde contre le traitement SI Vaccin Covid.

Le traitement sera alimenté, au fur et à mesure de l’extension de l’éligibilité à la vaccination, par des versements successifs de données issues des bases des régimes d’assurance maladie obligatoire et complétés par des professionnels de santé. Elle observe qu’à terme, lorsque la campagne vaccinale sera étendue à l’ensemble de la population adulte telle qu’envisagée par le ministère, le SI « Vaccin Covid » comportera les données de santé d’une majeure partie de la population française.

Le décret autorise de nombreux acteurs à être destinataires des données à caractère personnel contenues dans le SI « Vaccin Covid ». La CNIL a rappelé :

– que les données traitées dans le cadre du SI « Vaccin Covid » sont protégées par le secret médical, tel que prévu à l’article L. 1110-4 du code de la santé publique ;

– qu’aux termes de l’article 35 (4°) de la loi n° 78-17 du 6 janvier 1978 modifiée, l’acte autorisant un traitement en application des dispositions de l’article 31 doit préciser les destinataires ou catégories de destinataires habilités à recevoir communication des données.

A cet égard, seules les personnes habilitées et soumises au secret professionnel doivent pouvoir accéder aux données du SI « Vaccin Covid », dans les strictes limites de leur besoin d’en connaître pour l’exercice de leurs missions.

Il appartient donc au responsable de traitement de définir pour chaque destinataire des profils fonctionnels strictement limités aux besoins d’en connaitre pour l’exercice des missions des personnes habilitées. Des mesures devront être mises en place dès que possible afin que les personnes habilitées ne puissent accéder aux différentes données relatives aux personnes concernées que lorsqu’elles en ont effectivement besoin.

Le ministère et la CNAM envisagent d’avoir recours à des sous-traitants pour la mise en œuvre du SI « Vaccin Covid ». Dans un objectif de transparence vis-à-vis des personnes concernées, la CNIL a demandé que le principe du recours à des sous-traitant soit mentionné dans le décret et/ou à diffuser cette information, ainsi que la liste des sous-traitants, par exemple en les rendant publiques sur le son site web.

Le recours à des sous-traitants devra respecter les dispositions de l’article 28 du RGPD ; des  conventions devront être conclues avant toute mise en œuvre du traitement. Ces conventions devront notamment prévoir la possibilité de réaliser des audits pour s’assurer de la conformité du traitement mis en œuvre. De tels audits devraient être réalisés afin de vérifier l’application effective des obligations prévues dans les conventions.

La transmission de données pseudonymisées à chaque organisme a dû être détaillée dans le décret. Conformément au principe de minimisation, prévu à l’article 5 du RGPD, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées pourront être transmises aux destinataires identifiés dans le  décret.

Laisser un commentaire

Your email address will not be published.

Please fill the required fields*