Fichier “SI Vaccin Covid” : outil de traçabilité de la vaccination contre la covid-19

Publié par le dans | Consulté 397 Fois

Alors que l’épidémie de covid-19 bat son plein, la campagne de vaccination a finalement débuté le 27 décembre 2020, d’abord au sein des Ehpad. Gérer cette campagne de vaccination contre la covid-19, tout est l’objectif du fichier « Système d’Information (SI) Vaccin Covid ». Ce fichier, à l’initiative du gouvernement, a récemment été créé via un décret du 25 décembre 2020. Il permet de réunir les informations sur les personnes invitées à être vaccinées ou désormais vaccinées contre la covid-19. Les critères d’éligibilité à la vaccination sont d’ailleurs élaborés par le ministre chargé de la santé après avis de la Haute Autorité de santé.

Il s’agit là d’un traitement de données à caractère personnel et, qui dit traitement de données à caractère personnel, dit nécessairement Règlement général sur la protection des données (RGPD). C’est ainsi que la Commission nationale de l’informatique et des libertés (CNIL) a rendu, le 10 décembre 2020, un avis sur le projet de décret relatif audit fichier, avis lui permettant d’une part de se livrer à un bref résumé sur son contenu et d’autre part d’émettre diverses recommandations afin que ce projet réponde au mieux à la règlementation relative à la protection des données.

Il convient d’abord de souligner que tout traitement de données personnelles, pour être conforme au RGPD, doit s’inscrire dans un but précis. Ainsi, selon le décret susmentionné, plusieurs finalités sont mises en avant dans ce traitement, parmi lesquelles (Art. 1 décret) :

  • L’identification des personnes éligibles à la vaccination, l’envoi de bons de vaccination à celles-ci ou encore l’organisation de la vaccination de ces personnes
  • Le suivi et l’approvisionnement en vaccins et consommables
  • La mise à disposition de données relatives à la vaccination permettant notamment le suivi statistique de la campagne de vaccination, la réalisation d’études et de recherches, la mesure de l’efficacité et de la sécurité vaccinales ou encore le suivi de pharmacovigilance, c’est-à-dire l’activité consistant à enregistrer et évaluer les effets secondaires post-vaccinaux, notamment indésirables.
  • La prise en charge financière des actes liés à la vaccination

La Commission indique que ces finalités apparaissent comme déterminées, explicitées et légitimes. Notre gendarme français des données personnelles ajoute que ce traitement n’a pas vocation à être étendu à d’autres vaccinations que celle contre le coronavirus et finit par préciser dans son avis qu’il sera vigilant quant aux conditions de mise en œuvre du fichier et qu’il fera exercice de son pouvoir de contrôle.

Quelles sont les catégories de données personnelles référencées dans le fichier « SI Vaccin Covid » ? (Art. 2 décret)

D’abord, les personnes invitées à se faire vacciner ou vaccinées verront leurs données d’identification enregistrées au sein de ce fichier. Sont visés ici nom, prénom, sexe, date de naissance etc. Seront également traitées les coordonnées de ces mêmes protagonistes ainsi que leurs données relatives à la réalisation de leur vaccination. Un autre type de données sensibles qui trouve sa place dans ledit fichier est celui relatif à la santé. Ces données de santé recouvrent diverses informations tels que les effets indésirables associés à la vaccination, les critères médicaux d’éligibilité à la vaccination et traitements suivis ou encore les informations relatives à la recherche et à l’identification des contre-indications à la vaccination.

Outre les données personnelles attachées aux patients, les données d’identification des professionnels de santé ayant réalisé la consultation préalable et la vaccination ainsi que les personnes placées sous leur responsabilité feront l’objet d’un traitement.

Ce traitement, exprime la Commission, sera nourri au fur et à mesure de l’avancement de la campagne de vaccination, avec la précision que les données transmises proviennent des bases des régimes d’assurance maladie obligatoire et complétés par des professionnels de santé. Ainsi, lorsque l’éligibilité aura atteint l’ensemble de la population adulte, le fichier comportera les données d’une majorité de français.

Concernant la conservation de ces données, la CNIL porte cette durée à 10 ans. Toutefois, peuvent faire l’objet d’une conservation jusqu’à 30 ans par la direction du numérique des ministères chargés des affaires sociales les données qui sont nécessaires à la prise en charge des personnes vaccinées en cas d’identification de risques nouveaux.

L’information du public dont les données sont traitées (Art. 4 décret)

S’agissant des personnes invitées à être vaccinées, le premier bon de vaccination qu’elles reçoivent doit être accompagné d’une mention d’information conforme aux exigences du RGPD concernant la provenance des données à caractère personnel collectées (Art. 14 RGPD).

Quant aux personnes ayant consenti à la vaccination et lors de la consultation préalable à cette injection, celles-ci doivent recevoir de nouvelles informations conformes au RGPD relatives au traitement de leurs données personnelles et notamment l’identité et les coordonnées du responsable du traitement, les destinataires de leurs données personnelles, les finalités et la base juridique du traitement, la durée de conservation de leurs données personnelles et enfin une information sur l’existence de leurs droits (Arts. 13, 14 RGPD). Les professionnels de santé concourant à la prise en charge vaccinale reçoivent eux aussi ces informations.

Quels sont les destinataires des données collectées ? (Art. 3 décret)

Certaines personnes et entités auront la possibilité d’accéder à certaines données personnelles référencées dans le fichier « SI Vaccin Covid », toujours dans l’objectif d’assurer les différentes finalités dudit traitement. Parmi elles, on retrouve notamment les professionnels de santé réalisant la consultation préalable et la vaccination, le médecin traitant de la personne vaccinée ainsi que les agents spécialement habilités par le directeur des organismes des régimes obligatoires d’assurance maladie. Certaines structures seront également autorisées à accéder à ces informations pour la réalisation de leur mission. On recense notamment la Caisse nationale d’assurance maladie (CNAM), l’Agence nationale de sécurité du médicament et des produits de santé, les centres régionaux de pharmacovigilance et le service public d’information en santé.

Enfin, certains ont un droit d’accès sur les données pseudonymisées, c’est-à-dire les données à qui on a ôté certaines données identifiantes et coordonnées dans l’optique d’assurer la confidentialité de l’identité des personnes. Plus spécifiquement, ces données peuvent être accessibles par une partie du personnel de l’Agence nationale de santé publique et des Agences régionales de santé afin de suivre la couverture vaccinale et organiser et suivre la campagne de vaccination. Ces données peuvent également être communiquées à des fins statistiques à la direction de la recherche, des études, de l’évaluation et des statistiques. Enfin, les données de pseudonymisation peuvent être transmises à la « Plateforme des données de santé », également appelée Health Data Hub, ainsi qu’à la CNAM pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus.

La CNIL, dans sa délibération, souligne que les données personnelles collectées sont bien entendu protégées par le secret médical et qu’elles ne doivent être traitées que par des personnes habilitées et soumises au secret professionnel. Il revient donc à chaque responsable de traitement de « définir pour chaque destinataire des profils fonctionnels », profils permettant de limiter l’accès aux seules données utiles pour la réalisation leurs missions.

Par ailleurs, dans un souci de transparence, l’autorité administrative demande au gouvernement que soient rendus publics sur le site web du ministère de la santé les sous-traitants et les systèmes d’information avec lesquels le fichier est mis en relation.

Quels sont les droits des personnes dont les données sont traitées ? (Art. 5 décret)

Avant tout, il faut souligner que les données collectées sont nécessaires à l’envoi des bons de vaccination auprès des personnes considérées comme éligibles. C’est après réception de ce bon que la personne peut refuser ou non d’être vaccinée. En parallèle de son refus, elle peut exercer son droit d’opposition (Art. 21 RGPD) auprès du directeur de l’organisme d’assurance maladie rattaché à elle, donc faire savoir qu’elle s’oppose à l’utilisation de ses données par un organisme et sans avoir à fournir une quelconque justification. Toutefois, dès lors que l’expression du consentement à la vaccination est donnée, il n’est plus possible pour la personne d’exercer son droit d’opposition. Cela résulte du fait que, une fois la vaccination effectuée, « le traitement des données répond à un objectif important d’intérêt public, notamment dans le cadre de la pharmacovigilance », indique la CNIL (Art. 23 RGPD). Pour autant, il existe une petite nuance, à savoir que les personnes concernées par ce traitement peuvent à tout moment s’opposer à la transmission de leurs données pseudonymisées à la plateforme Health Data Hub et à la CNAM.

Les personnes dont les données sont traitées disposent également d’un droit d’accès leur permettant d’accéder à leurs données personnelles et d’autres informations s’y rattachant, d’un droit de rectification leur permettant de demander la modification de données personnelles inexactes les concernant ou encore d’un droit de limitation leur permettant d’exiger, sauf pour des questions de conservation et d’autres exceptions spécifiques, leur consentement avant tout traitement (Arts. 15, 16, 18 RGPD). Ces droits peuvent être mis en œuvre, là encore, auprès du directeur de l’organisme d’assurance maladie de rattachement de la personne concernée. Le droit à l’effacement des données, également dit droit à l’oubli, ne peut toutefois pas être exercé dans la mesure où le traitement de données des personnes invitées à être vaccinées ou vaccinées est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique (Art. 17 RGPD).

La France au ralenti

Dès le commencement de la campagne de vaccination, la France a fait l’objet de vives critiques en raison de sa lenteur en matière d’injections. Ses voisins européens, mais pas que, ont effectivement une grande longueur d’avance sur elle. À titre d’illustration, on recense à la date du 7 janvier 2021 et selon les derniers chiffres transmis par les autorités, environ 18 doses administrées pour 100 citoyens en Israël, ce qui place le pays en tête du classement. En-dessous, nous retrouvons deux États du golfe Persique, que sont les Émirats arabes unis et le Bahreïn, suivis du Royaume-Uni et des États-Unis qui comptent approximativement 2 doses administrées pour 100 habitants, ce score étant considéré comme relativement bon au vu de leur population abondante. La France, elle, détient la dernière place du classement avec, au 7 janvier 2021, 0,1 doses administrées pour 100 habitants, soit environ 45 000 personnes comme l’a indiqué le ministère de la santé, après la Chine, l’Espagne, l’Allemagne ou encore le Canada.

Le gouvernement français a donc très récemment décidé de reconsidérer sa stratégie. Comme l’assure le ministre de la Santé Olivier Véran, « Le rythme de croisière de la vaccination en France va rejoindre celui de nos voisins dans les prochains jours ». Du moins, c’est ce que nous espérons tous car le vaccin contre la covid-19 apparaît comme la seule issue possible pour retrouver un semblant de « vie normale ». Selon les dernières informations émises par Olivier Véran, la barre des 100 000 vaccinations devrait être atteinte dès le lundi 11 janvier 2021.

Sources :

  • CNIL, Délibération n°2020-126 portant avis sur un projet de décret autorisant la création d’un traitement de données à caractère personnel relatif à la gestion et au suivi des vaccinations contre le coronavirus SARS-CoV-2 (demande d’avis n°20020767), 10 décembre 2020
  • Décret n°2020-1690 autorisant la création d’un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19, 25 décembre 2020
  • PARLEMENT EUROPÉEN ET LE CONSEIL, Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), adopté le 27 avril 2016 et entré en vigueur le 25 mai 2018
  • Loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés, 6 janvier 1978
  • Arts 13, 14, 15, 16, 17, 18, 21, 23 RGDP
  • CNIL, « La collecte de données dans le cadre de la vaccination contre la Covid-19 : quelles garanties pour les personnes ? », CNIL, https://www.cnil.fr/fr, 30 décembre 2020
  • GAUDIAUT (T.), « Covid-19 : quelle part de la population a été vaccinée ? », Statista, https://fr.statista.com/, 8 janvier 2021
  • OUR WORLD IN DATA, Infographie « Covid-19 : quelle part de la population a été vaccinée ? », Statista, https://fr.statista.com/, 8 janvier 2021
  • TRIOULEYRE (N.), « Vaccination Covid-19 : où se situe la France ? », Le Figaro, https://www.lefigaro.fr/, 5 janvier 2021
  • VITARD (A.), « La Cnil valide le fichier “SI Vaccin Covid” et s’engage à contrôler la bonne utilisation des données », L’usine Digitale, https://www.usine-digitale.fr/, 28 décembre 2020