L’essentiel : Le Décret n° 2020-1690 du 25 décembre 2020 institue le traitement de données personnelles lié aux vaccinations contre la covid-19, dénommé SI Vaccin Covid. Ce dispositif concerne les personnes éligibles à la vaccination et les professionnels de santé impliqués. Ses finalités incluent l’organisation de la vaccination, le suivi de l’approvisionnement en vaccins, et la production d’informations pour les personnes vaccinées. La CNIL souligne l’importance de protéger ces données, qui doivent être accessibles uniquement aux personnes habilitées, dans le respect du secret médical et des principes du RGPD. Des mesures de transparence et de minimisation des données sont également requises.

Le Décret n° 2020-1690 du 25 décembre 2020 a mis en place un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19 (SI Vaccin Covid).  Sont concernées toutes les personnes éligibles à la vaccination contre la covid-19 ainsi que les professionnels du secteur sanitaire intervenant dans la vaccination. Le traitement a pour finalité la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre la covid-19. Le décret prévoit plusieurs finalités visant principalement à organiser la vaccination des personnes, le suivi et l’approvisionnement en vaccins et consommables, la production d’informations à destination des personnes vaccinées, la mise à disposition de données relatives à la vaccination à des fins de calcul d’indicateurs et de recherche, un suivi de pharmacovigilance ainsi que la prise en charge financière des actes liés à la vaccination.

Responsables du traitement SI Vaccin Covid

Le ministère des solidarités et de la santé et la Caisse nationale d’assurance maladie sont ainsi autorisés à mettre en œuvre le traitement SI Vaccin Covid. Conformément à l’article 35 de la loi du 6 janvier 1978, le décret définit les finalités du traitement, les catégories de données à caractère personnel enregistrées dans le traitement, les destinataires de ces données, les droits reconnus aux personnes concernées au titre du règlement 2016/679 du 27 avril 2016 (RGPD) ainsi que leur modalités d’exercice.

Finalités de SI Vaccin Covid

SI Vaccin Covid a pour finalités :

1° L’identification des personnes éligibles à la vaccination au regard des recommandations énoncées par le ministre chargé de la santé en application des dispositions de l’article L. 3111-1 du code de la santé publique, l’envoi de bons de vaccination à ces personnes, l’enregistrement des informations relatives à la consultation préalable à la vaccination et l’organisation de la vaccination de ces personnes ;

2° Le suivi de l’approvisionnement des lieux de vaccinations en vaccins et consommables ;

3° L’envoi à la personne vaccinée d’un récapitulatif des informations relatives à la vaccination, établi par le professionnel de santé réalisant la vaccination ou par le personnel placé sous sa responsabilité ;

4° La mise à disposition de données permettant la présentation de l’offre de vaccination, la surveillance de la couverture vaccinale, la mesure de l’efficacité et de la sécurité vaccinales, la pharmacovigilance, le suivi statistique de la campagne de vaccination, l’appui à l’évaluation de la politique publique de vaccination et la réalisation d’études et de recherches ;

5° La délivrance, en cas d’apparition d’un risque nouveau, de l’information prévue à l’article L. 1111-2 du code de la santé publique, aux personnes vaccinées et, le cas échéant, leur orientation vers un parcours de soins adaptés ;

6° La prise en charge financière des actes liés à la vaccination.

Mises en garde de la CNIL

A noter que la CNIL a formulé plusieurs mises en garde contre le traitement SI Vaccin Covid.

Le traitement sera alimenté, au fur et à mesure de l’extension de l’éligibilité à la vaccination, par des versements successifs de données issues des bases des régimes d’assurance maladie obligatoire et complétés par des professionnels de santé. Elle observe qu’à terme, lorsque la campagne vaccinale sera étendue à l’ensemble de la population adulte telle qu’envisagée par le ministère, le SI « Vaccin Covid » comportera les données de santé d’une majeure partie de la population française.

Le décret autorise de nombreux acteurs à être destinataires des données à caractère personnel contenues dans le SI « Vaccin Covid ». La CNIL a rappelé :

– que les données traitées dans le cadre du SI « Vaccin Covid » sont protégées par le secret médical, tel que prévu à l’article L. 1110-4 du code de la santé publique ;

– qu’aux termes de l’article 35 (4°) de la loi n° 78-17 du 6 janvier 1978 modifiée, l’acte autorisant un traitement en application des dispositions de l’article 31 doit préciser les destinataires ou catégories de destinataires habilités à recevoir communication des données.

A cet égard, seules les personnes habilitées et soumises au secret professionnel doivent pouvoir accéder aux données du SI « Vaccin Covid », dans les strictes limites de leur besoin d’en connaître pour l’exercice de leurs missions.

Il appartient donc au responsable de traitement de définir pour chaque destinataire des profils fonctionnels strictement limités aux besoins d’en connaitre pour l’exercice des missions des personnes habilitées. Des mesures devront être mises en place dès que possible afin que les personnes habilitées ne puissent accéder aux différentes données relatives aux personnes concernées que lorsqu’elles en ont effectivement besoin.

Le ministère et la CNAM envisagent d’avoir recours à des sous-traitants pour la mise en œuvre du SI « Vaccin Covid ». Dans un objectif de transparence vis-à-vis des personnes concernées, la CNIL a demandé que le principe du recours à des sous-traitant soit mentionné dans le décret et/ou à diffuser cette information, ainsi que la liste des sous-traitants, par exemple en les rendant publiques sur le son site web.

Le recours à des sous-traitants devra respecter les dispositions de l’article 28 du RGPD; des conventions devront être conclues avant toute mise en œuvre du traitement. Ces conventions devront notamment prévoir la possibilité de réaliser des audits pour s’assurer de la conformité du traitement mis en œuvre. De tels audits devraient être réalisés afin de vérifier l’application effective des obligations prévues dans les conventions.

La transmission de données pseudonymisées à chaque organisme a dû être détaillée dans le décret. Conformément au principe de minimisation, prévu à l’article 5 du RGPD, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées pourront être transmises aux destinataires identifiés dans le  décret.

Q/R juridiques soulevées :

Qu’est-ce que le Décret n° 2020-1690 du 25 décembre 2020 ?

Le Décret n° 2020-1690, promulgué le 25 décembre 2020, a établi un traitement de données à caractère personnel spécifiquement pour les vaccinations contre la covid-19, connu sous le nom de SI Vaccin Covid. Ce décret concerne toutes les personnes éligibles à la vaccination ainsi que les professionnels de santé impliqués dans le processus de vaccination. Il a pour but de faciliter la mise en œuvre, le suivi et le pilotage des campagnes vaccinales, en organisant la vaccination, en assurant l’approvisionnement en vaccins et en consommables, et en produisant des informations pour les personnes vaccinées.

Qui sont les responsables du traitement SI Vaccin Covid ?

Les responsables du traitement SI Vaccin Covid sont le ministère des solidarités et de la santé ainsi que la Caisse nationale d’assurance maladie (CNAM). Conformément à l’article 35 de la loi du 6 janvier 1978, le décret précise les finalités du traitement, les catégories de données personnelles à enregistrer, les destinataires de ces données, ainsi que les droits des personnes concernées selon le RGPD. Cela signifie que ces entités sont chargées de gérer les données relatives aux vaccinations, tout en respectant les réglementations en matière de protection des données.

Quelles sont les finalités de SI Vaccin Covid ?

Les finalités de SI Vaccin Covid sont multiples et incluent : 1. L’identification des personnes éligibles à la vaccination, l’envoi de bons de vaccination, et l’organisation de la vaccination. 2. Le suivi de l’approvisionnement des lieux de vaccination en vaccins et consommables. 3. L’envoi d’un récapitulatif des informations de vaccination aux personnes vaccinées. 4. La mise à disposition de données pour surveiller la couverture vaccinale et évaluer l’efficacité des vaccins. 5. La délivrance d’informations en cas de nouveaux risques pour les personnes vaccinées. 6. La prise en charge financière des actes liés à la vaccination. Ces finalités visent à garantir une campagne de vaccination efficace et sécurisée.

Quelles mises en garde a formulées la CNIL concernant SI Vaccin Covid ?

La CNIL a émis plusieurs mises en garde concernant le traitement SI Vaccin Covid. Elle a souligné que le traitement sera alimenté par des données provenant des régimes d’assurance maladie et des professionnels de santé, ce qui pourrait inclure des données de santé d’une grande partie de la population française. La CNIL a également rappelé que les données traitées sont protégées par le secret médical et que seules les personnes habilitées, soumises au secret professionnel, doivent avoir accès à ces données. Il est essentiel que les responsables de traitement définissent des profils d’accès stricts pour garantir la confidentialité des données.

Comment le recours à des sous-traitants est-il encadré ?

Le ministère et la CNAM envisagent d’utiliser des sous-traitants pour la mise en œuvre de SI Vaccin Covid. La CNIL a demandé que le décret mentionne ce recours et que la liste des sous-traitants soit rendue publique pour assurer la transparence. Le recours à des sous-traitants doit respecter les dispositions de l’article 28 du RGPD, ce qui implique la conclusion de conventions avant toute mise en œuvre. Ces conventions doivent prévoir la possibilité d’audits pour vérifier la conformité des traitements effectués par les sous-traitants.

Quelles sont les exigences en matière de transmission des données ?

La transmission des données dans le cadre de SI Vaccin Covid doit respecter le principe de minimisation, stipulé à l’article 5 du RGPD. Cela signifie que seules les données qui sont adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités du traitement peuvent être transmises. Le décret doit détailler la transmission de données pseudonymisées à chaque organisme, garantissant ainsi que les informations sensibles soient protégées tout en permettant un suivi efficace des vaccinations. Cette approche vise à protéger la vie privée des individus tout en facilitant la gestion des données de santé.