Délibération 2020-126 du 10 décembre 2020

Délibération n° 2020-126 du 10 décembre 2020 portant avis sur un projet de décret autorisant la création d'un traitement de données à caractère personnel relatif à la gestion et au suivi des vaccinations contre le coronavirus SARS-CoV-2 (demande d'avis n° 20020767)

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis concernant un projet de décret autorisant la création d'un traitement de données à caractère personnel relatif à la gestion et au suivi des vaccinations contre le coronavirus SARS-CoV-2 ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 6-III et 31-II ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,

Emet l'avis suivant :

Le projet de décret dont est saisie la Commission prévoit la création d'un système d'information pour la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre la covid-19 dénommé Vaccin Covid (ci-après, le SI Vaccin Covid ), sous la responsabilité conjointe de la direction générale de la santé et de la Caisse nationale d'assurance maladie (CNAM), fondé sur les articles 6.1 e et 9.2 i du RGPD.
Ce décret ne fixant que le cadre juridique du SI Vaccin Covid , la Commission ne se prononcera pas sur les conditions de sa mise en œuvre.

Sur les finalités et l'intérêt du système d'information

Le projet de décret prévoit plusieurs finalités visant principalement à organiser la vaccination des personnes, le suivi et l'approvisionnement en vaccins et consommables, la production d'informations à destination des personnes vaccinées, la mise à disposition de données relatives à la vaccination à des fins de calcul d'indicateurs et de recherche, un suivi de pharmacovigilance ainsi que la prise en charge financière des actes liés à la vaccination.
La Commission prend acte de l'engagement du ministère de préciser les notions d'identification et d'orientation vers un parcours de soins adapté dans le projet de décret, le ministère ayant indiqué que ces mentions renvoyaient spécifiquement à l'orientation de personnes souffrant d'effets indésirables suite à la vaccination. Sous cette réserve, les finalités apparaissent déterminées, explicitées et légitimes, conformément à l'article 5 du RGPD.
La Commission prend par ailleurs acte que ce traitement n'a pas vocation à être étendu à d'autres vaccinations que celle contre le coronavirus SARS-CoV-2.
La Commission constate que ce traitement sera alimenté, au fur et à mesure de l'extension de l'éligibilité à la vaccination, par des versements successifs de données issues des bases des régimes d'assurance maladie obligatoire et complétés par des professionnels de santé. Elle observe qu'à terme, lorsque la campagne vaccinale sera étendue à l'ensemble de la population adulte telle qu'envisagée par le ministère, le SI Vaccin Covid comportera les données de santé d'une majeure partie de la population française.

Sur les destinataires des données et les accédants

Le projet de décret autorise de nombreux acteurs à être destinataires des données à caractère personnel contenues dans le SI Vaccin Covid .
La Commission estime nécessaire de rappeler :

- que les données traitées dans le cadre du SI Vaccin Covid sont protégées par le secret médical, tel que prévu à l'article L. 1110-4 du code de la santé publique ;
- qu'aux termes de l'article 35 (4°) de la loi n° 78-17 du 6 janvier 1978 modifiée, l'acte autorisant un traitement en application des dispositions de l'article 31 doit préciser les destinataires ou catégories de destinataires habilités à recevoir communication des données.

A cet égard, la Commission rappelle que seules les personnes habilitées et soumises au secret professionnel doivent pouvoir accéder aux données du SI Vaccin Covid , dans les strictes limites de leur besoin d'en connaître pour l'exercice de leurs missions.
Il appartient donc au responsable de traitement de définir pour chaque destinataire des profils fonctionnels strictement limités aux besoins d'en connaitre pour l'exercice des missions des personnes habilitées. A cet égard, elle précise que des mesures devront être mises en place dès que possible afin que les personnes habilitées ne puissent accéder aux différentes données relatives aux personnes concernées que lorsqu'elles en ont effectivement besoin.
La Commission relève, au regard des précisions apportées par le ministère, que le SI Vaccin Covid sera mis en relation avec plusieurs systèmes d'information déjà déployés, notamment : le système d'information relatif à l'identifiant national de santé (SI INS), le dossier médical partagé (SI DMP) et le portail de remontées d'évènements indésirables (P-SIG). Le ministère a en outre indiqué prévoir, lors des futurs développements du SI Vaccin Covid , une mise en relation avec des portails patients tiers afin de faciliter la prise de rendez-vous, sans pour autant être en mesure, à ce stade, de préciser quelles en seraient les conditions.
Bien que l'article 35 de la loi informatique et liberté n'exige pas un tel niveau de précision, la Commission estime que le ministère devrait mentionner la liste des traitements et des systèmes d'information dans lesquels les données du SI Vaccin Covid seront appelées à figurer, les catégories de données transmises pour chacun de ces traitements ou systèmes, ainsi que les organismes responsables de ces traitements. Dans l'hypothèse où il n'entendrait pas compléter le décret sur ce point, la Commission invite le ministère à diffuser ces informations, par exemple en les rendant publiques sur son site web.
Le projet de décret prévoit également que la direction du numérique des ministères des affaires sociales (DNUM) sera désignée par la direction générale de la santé (DGS) comme tiers de confiance afin d'orienter des personnes vers un parcours de soin adapté en cas d'effet indésirable. A cette fin, la DNUM aura communication de données identifiantes et les conservera pour une durée de trente ans à des fins de pharmacovigilance. La Commission s'interroge sur l'articulation de ces missions avec celles de l'Agence nationale de sécurité du médicament et des produits de santé (ANSM), à laquelle le législateur a expressément confié la charge d'assurer la mise en œuvre des systèmes de vigilance, portant notamment sur les vaccins, en application des dispositions de l'article L. 5311-1 du code de la santé publique.
Sur ce point le ministère a précisé que la DNUM ne serait pas en charge d'orienter les personnes vers un parcours de soins adapté mais uniquement de la conservation des données dans des conditions permettant d'en garantir la sécurité et l'intégrité. La Commission en prend acte et invite le ministère à préciser les modalités selon lesquelles ces données pourront être traitées à des fins d'orientation des personnes.
Le ministère a précisé que la DNUM sera également chargée, pour le compte de la DGS, de produire des indicateurs de pilotage.
Au regard des compétences de la DNUM déterminées par l'article 6 du décret n° 2013-727 du 12 août 2013, la Commission s'étonne du recours à cette direction pour les missions décrites ci-dessus.
Enfin, il apparaît que le ministère et la CNAM envisagent d'avoir recours à des sous-traitants pour la mise en œuvre du SI Vaccin Covid . Dans un objectif de transparence vis-à-vis des personnes concernées, la Commission demande que le principe du recours à des sous-traitant soit mentionné dans le décret et dans l'hypothèse où il n'entendrait pas compléter le décret sur ce point, la Commission invite le ministère à diffuser cette information, ainsi que la liste des sous-traitants, par exemple en les rendant publiques sur le son site web. Elle rappelle par ailleurs que le recours à des sous-traitants devra respecter les dispositions de l'article 28 du RGPD et que des conventions devront être conclues avant toute mise en œuvre du traitement. Elle relève que ces conventions devront notamment prévoir la possibilité de réaliser des audits pour s'assurer de la conformité du traitement mis en œuvre, et que de tels audits devraient être réalisés afin de vérifier l'application effective des obligations prévues dans les conventions. La Commission demande que de tels audits soient réalisés régulièrement.

Sur la transmission de données pseudonymisées

La Commission relève que la liste des données pseudonymisées transmises à chaque organisme n'est pas détaillée dans le projet de décret. Elle rappelle que, conformément au principe de minimisation, prévu à l'article 5 du RGPD, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées pourront être transmises aux destinataires identifiés dans le projet de décret. A des fins de transparence, elle invite le ministère à préciser dans le décret la liste des données pouvant être transmises dans ce cadre.
L'article 3 du projet de décret prévoit que la plateforme des données de santé (PDS) et la CNAM sont destinataires des données pseudonymisées aux fins de faciliter l'utilisation des données de santé pour les besoins de la gestion de l'urgence sanitaire et de l'amélioration des connaissances sur le virus , finalités qui ne figurent pas expressément à l'article 1er du projet de décret. La Commission relève que ces finalités sont celles mentionnées à l'article 30-I de l'arrêté du 10 juillet 2020.
La Commission comprend que l'amélioration des connaissances sur le virus correspond à la finalité de recherche mentionnée à l'article 1er du projet de décret. Elle s'interroge en revanche sur la finalité relative à la gestion de l'urgence sanitaire dans la mesure où le projet ne semble pas fondé sur les dispositions applicables dans le cadre de l'état d'urgence et où cette notion n'est pas mentionnée dans les finalités décrites à l'article 1er du projet de décret. La Commission estime ainsi que la transmission des données pour cette finalité ne saurait se prolonger au-delà de l'état d'urgence sanitaire en l'absence de dispositions prévoyant leur intégration dans le Système national des données de santé (SNDS).
La Commission prend acte de l'engagement du ministère d'indiquer les mesures adéquates de pseudonymisation évoquées dans le projet de décret devraient être détaillées dans l'analyse d'impact sur la protection des données qui lui sera transmise.
La Commission prend acte, au regard des précisions apportées par le ministère, qu'aucune donnée traitée dans le cadre du SI Vaccin Covid ne sera transférée en dehors de l'Union européenne et demande que le décret en fasse mention.

Sur la limitation des droits d'opposition et à l'effacement des personnes concernées

Le ministère a indiqué que les personnes concernées pouvaient être inscrites dans le SI Vaccin Covid de la manière suivante :
- lorsque la personne est sélectionnée, selon certains critères, dans les bases des régimes d'assurance maladie obligatoire, ses données seront transmises par l'organisme au SI Vaccin Covid , en vue de l'émission d'un bon de vaccination ;
- lorsque les personnes ne sont pas identifiables ou sélectionnées dans les bases des régimes obligatoires, mais répondent aux critères de vaccination, leur inscription dans le SI Vaccin Covid est réalisée par le professionnel de santé consulté, uniquement dans l'hypothèse où celles-ci souhaitent être vaccinées.

Les critères de sélection qui seront retenus seront établis par la Haute Autorité de santé conformément à l'article L. 3111-1 du code de la santé publique, postérieurement à la publication du décret.
La Commission relève que le projet de décret écarte la possibilité pour les personnes concernées d'exercer leur droit à l'effacement et leur droit d'opposition pour des motifs d'intérêt public.
La Commission se félicite de l'engagement du ministère de permettre aux personnes concernées d'exercer leur droit d'opposition sans limitation jusqu'à l'expression de leur consentement à l'acte vaccinal. La Commission considère donc que le droit à l'effacement pourra également être exercé.
Le ministère a également précisé que les personnes concernées ne pourront plus exercer leur droit d'opposition après l'expression de leur consentement à l'acte vaccinal. La Commission considère que cette limitation vise à garantir un objectif important d'intérêt public au vu des finalités poursuivies par le traitement, notamment dans le cadre de la pharmacovigilance.
Néanmoins, s'agissant du droit d'opposition, l'article 4 du projet de décret prévoit que les personnes concernées pourront l'exercer pour la transmission des données à des fins de recherche à la PDS et la CNAM. La Commission comprend qu'il est ici fait référence à l'amélioration des connaissances sur le virus et que le droit d'opposition pourra s'exercer sans limitation dans cette hypothèse, même après l'expression du consentement à l'acte vaccinal.
Elle en déduit par ailleurs que les personnes concernées ne pourront donc s'opposer à la transmission des données pour les besoins de la gestion de l'urgence sanitaire mentionnés à l'article 3-II (4°) du projet de décret.
Au vu de l'ensemble de ces remarques, la Commission invite le ministère à la parfaite information des personnes concernées s'agissant notamment de l'exercice de leurs droits. Elle invite par ailleurs le ministère à prévoir un dispositif permettant à chaque personne concernée de faire exercice de son droit d'opposition à la transmission d'informations à la PDS et à la CNAM dès la création de la fiche la concernant dans le SI Vaccin Covid , par exemple par l'ajout d'une case à cocher par les professionnels de santé.

Sur les données traitées dans le cadre du SI Vaccin Covid

La Commission invite le ministère à préciser dans le décret que le numéro d'inscription au répertoire national d'identification des personnes physique est traité en tant qu'identifiant national de santé.
La Commission relève en outre que les lieux de vaccination seront identifiés et localisés dans le SI Vaccin Covid . Ces données pouvant révéler des informations sensibles concernant la personne, telles qu'une vaccination dans un lieu de privation de liberté, des mesures de confidentialité adaptées devront être prévues.

Sur les mesures de sécurité

La Commission souligne qu'en raison du contexte d'urgence le ministère n'a pas été en mesure de lui transmettre les informations techniques nécessaires concernant la mise en œuvre du traitement. Elle n'a donc pas été en mesure de vérifier la conformité du traitement au RGPD avant que celui-ci soit déployé.
La Commission rappelle que la réalisation d'une analyse d'impact relative à la protection des données, qui ne lui a pas été fournie, doit être effectuée avant la mise en œuvre du traitement. La Commission prend acte de l'engagement du ministère de la lui transmettre dans les meilleurs délais.
En outre, la Commission précise qu'elle sera vigilante quant aux conditions de mise en œuvre du SI Vaccin Covid et qu'elle fera exercice de son pouvoir de contrôle.

La présidente,
M.-L. Denis

Retourner en haut de la page