COVID-19 : Protection des données personnelles

Article

Contact tracing, suivi de l'isolement, vaccination, dépistage ... Retrouvez sur cette page l'intégralité des informations relatives à la protection de vos données personnelles dans le cadre de la gestion de l'épidémie de COVID-19.

Contact tracing

Afin de maîtriser les risques liés à l’épidémie de COVID-19 et de limiter la circulation du virus, l’ARS assure, depuis le 11 mai 2020, un traçage des cas. Ce traitement a pour objectif de détecter et briser les chaînes de transmission par l’identification la plus rapide possible des personnes ayant eu un contact à risque avec le cas confirmé.

Ce dispositif d’identification repose sur une organisation en trois niveaux :

  • Le niveau 1 est assuré par les professionnels de santé de ville, mobilisés en première ligne pour l’identification des cas contact dans la cellule familiale, mais également les établissements de santé.
  • Le niveau 2 est assuré par l'Assurance maladie, dont les équipes assurent la recherche des cas contact dans la cellule familiale, si le médecin n’a pas pu le faire.
  • Les ARS sont chargées du traçage de niveau 3 : situations relevant des chaînes de transmission ou de cluster ainsi que les cas ayant eu des contacts multiples lors d’un rassemblement. Afin de faciliter la mise en œuvre de ce dispositif, les ARS ont recours à l’application SORMAS mise à disposition par la direction du numérique du ministère des solidarités et de la santé.

Le traitement a pour objet l’identification et l’investigation des chaines de transmission et des clusters ainsi que la gestion des situations complexes.

Base juridique :

Article 6 (1) e du règlement général sur protection des données – RGPD : ce traitement relève des missions d’intérêt public dont sont investies les ARS en application de l’article L. 1431-2 1° b) du Code de la santé publique.

Pour les cas confirmés :

  • Descriptif du cas : date de signalement et qualification du cas, statut et résultat de l’investigation, localisation géographique du cas… ;
  • Données d’identification de la personne : seuls le nom et prénom sont obligatoires ; profession ; lieu de résidence, coordonnées, numéro de sécurité sociale (NIR) si connu ;
  • Résultats de test(s) ;
  • Hospitalisation : nom de l’établissement, dates et conditions de prise en charge ;
  • Symptômes ;
  • Données épidémiologiques : source(s) d’exposition et/ou origine de la contamination ;
  • Cas contact(s) de la personne ;
  • Le cas échéant, la participation à un ou des évènements dans l’hypothèse de cas groupés.

Pour les cas contacts :

  • Descriptif du cas contact : date de signalement et qualification du cas, localisation géographique, date et source de la contamination, le cas échéant identification et relation avec le cas source, statut du suivi… ;
  • Données d’identification de la personne (seuls le nom et prénom sont obligatoires), profession, lieu de résidence, coordonnées, numéro de sécurité sociale (NIR) si connu ;
  • Rapport de visites cliniques de suivi.
  • Le cas échéant, la participation à un ou des évènements dans l’hypothèse de cas groupés.

Les données sont issues du traitement « Contact Covid » mis en œuvre par l’assurance maladie (Décret n°2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions). Les droits des personnes concernées par ce traitement s’exercent auprès de l’organisme de rattachement des personnes concernées.

Le traitement de données concerne les personnes infectées par la COVID-19 et les personnes avec qui elles ont eu un contact.

Les agents de l’ARS spécialement habilités à accéder à ces données.

Les données collectées sont conservées 3 mois maximum après leur collecte.
Les données pseudonymisées peuvent être conservées pendant une durée de 6 mois à compter de la fin de l’état d’urgence sanitaire, uniquement pour une finalité de surveillance épidémiologique et la recherche sur le virus et les moyens de lutter contre sa propagation.


Traitement de suivi de l’isolement

Les ARS ont été chargées d’organiser un suivi actif et régulier des malades et des personnes contacts isolés à domicile, en complément du suivi sanitaire. Pour assurer ce suivi, l’ARS Bretagne a eu recours à une plateforme téléphonique et à une application numérique « e-Suivi BZH », fournie par le Groupement de Coopération Sanitaire e-Santé Bretagne (GCS e-Santé).

Cependant, depuis le 21 janvier 2021, ce suivi de l’isolement est effectué par l’Assurance maladie.
→ Pour plus d’information, vous pouvez consulter le site de l’Assurance Maladie


Traitement relatif aux dépistages

Dans le cadre de la crise sanitaire liée à l’épidémie de Covid-19, l’ARS Bretagne traite également des données du système d’information national de dépistage dénommé « SI-DEP » placé sous la responsabilité du ministère chargé de la santé. Le traitement de ces données permet d’effectuer un suivi des cas confirmés de Covid-19 en Bretagne.

SI-DEP permet de centraliser les résultats des examens de dépistage Covid-19 en vue notamment de leur transmission aux organismes en charge de la réalisation des enquêtes sanitaires, dont les ARS.

L’ARS est uniquement destinataires des données nécessaires à l'identification des cas zéro et cas contacts, ainsi qu'au suivi et à l'accompagnement de ces personnes.

Les données traitées dans SI-DEP sont :

  • les données d’identification (dont le numéro de sécurité sociale), coordonnées et situation du patient ;
  • les coordonnées des médecins responsables ;
  • les caractéristiques techniques du prélèvement ;
  • les informations sur le résultat de l’examen.

Le traitement de données concerne les personnes infectées par la COVID-19.

Ces données ne peuvent être conservées à l'issue d'une durée de 6 mois après leur collecte pour les données relatives à une personne ayant fait l'objet d'un examen de dépistage virologique ou sérologique de la covid-19 concluant à une contamination, et de 3 mois après leur collecte pour les autres données.

Les données pseudonymisées peuvent également être conservées pendant une durée de 6 mois à compter de la fin de l’état d’urgence sanitaire, uniquement pour la finalité de surveillance épidémiologique et la recherche sur le virus et les moyens de lutter contre sa propagation.
→ Pour plus d’information, vous pouvez consulter le site du Ministère des solidarités et de la santé.

L’ARS Bretagne peut également collecter vos données personnelles dans le cadre de l’organisation des dépistages collectifs. Le cas échéant les données collectées sont :

  • Nom et prénom ;
  • NIR si connu ;
  • Date de naissance ;
  • Adresse ou commune de résidence.

Ces données sont transmises aux laboratoires d’analyse médicale identifiés pour ces opérations.
Les données ne seront pas conservées au-delà de trois mois à compter de leur collecte.


Le traitement relatif au suivi de la campagne de vaccination contre la COVID-19

Depuis fin décembre 2020, une campagne de vaccination contre la Covid-19 a débuté sur le territoire national. Dans ce cadre, un traitement de données personnelles a été mis en œuvre pour assurer la traçabilité et le suivi de la vaccination : « Vaccin Covid ».

La direction générale de la santé (DGS) et la Caisse nationale de l'assurance maladie (CNAM) sont conjointement responsables de ce traitement automatisé.
L’ARS a accès à ce système d’information seulement pour une catégorie de données : les données d'identification de la personne éligible à la vaccination ; ses coordonnées ; les données relatives à la réalisation de la vaccination (date injection, vaccin…).

Le traitement « Vaccin Covid » a plusieurs finalités :

  • l’identification des personnes éligibles à la vaccination, l'envoi de bons de vaccination à ces personnes, l'enregistrement des informations relatives à la consultation préalable à la vaccination et l'organisation de la vaccination de ces personnes. A la suite de la vaccination, il permet l’envoi à la personne vaccinée d'un récapitulatif des informations relatives à la vaccination ainsi que le suivi si nécessaire en cas d’apparition d’un risque nouveau.
  • le suivi de l'approvisionnement des lieux de vaccinations en vaccins et consommables.
  • le suivi la présentation de l'offre de vaccination, la surveillance de la couverture vaccinale, la mesure de l'efficacité et de la sécurité vaccinales, la pharmacovigilance, le suivi statistique de la campagne de vaccination, l'appui à l'évaluation de la politique publique de vaccination et la réalisation d'études et de recherches, et l'adaptation des mesures médicales d'isolement prophylactiques
  • la prise en charge financière des actes liés à la vaccination.
  • La mise à disposition de données permettant le contrôle de l'obligation vaccinale par les ARS.

Les données d'identification de la personne invitée à se faire vacciner ou vaccinée :

  • nom, prénoms ;
  • sexe ;
  • date et lieu de naissance ;
  • numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ou, le cas échéant, code d'admission au bénéfice de l'aide médicale d'Etat sous la mention immatriculation ;
  • Le code du régime d'affiliation et de l'organisme gestionnaire assurant la prise en charge des frais de santé
  • Les références du ou des bons de vaccination délivrés à la personne ;
  • Les coordonnées de la personne et de son représentant légal éventuel : adresse postale, numéro de téléphone, adresse électronique ;
  • Les données relatives à la réalisation de la vaccination : dates de la, ou des injections, informations permettant l'identification du vaccin injecté, précisions sur l'administration du vaccin, identification du ou des lieux de vaccination, identification des professionnels de santé ayant réalisé respectivement la consultation préalable à la vaccination et chaque injection ;
  • Les données relatives à la santé de la personne : critères médicaux d'éligibilité à la vaccination et traitements suivis ; informations relatives à la recherche et à l'identification de contre-indications à la vaccination ; effets indésirables éventuels associés à la vaccination ;             
  • Les informations sur les critères d'éligibilité non médicaux à la vaccination.

Les données d'identification des professionnels de santé, et des personnes placées sous leur responsabilité, ayant réalisé la consultation préalable et la vaccination :

  • données d'identification ;
  • coordonnées et numéro d'identification de l'établissement ou de la structure de rattachement, de l'établissement ou de la structure de vaccination.

Les personnes éligibles à la vaccination, vaccinées ou non vaccinées ainsi que les professionnels de santé et les personnes placées sous leur autorité ayant réalisé la consultation préalable et la vaccination.

Les personnes habilitées par le directeur général de l’ARS Bretagne sont destinataires :

  • de données pseudonymisées nécessaires à l’organisation de la campagne de vaccination à l’échelle régional et à son suivi. La pseudonymisation qui permet d'assurer la confidentialité de l'identité des personnes (suppression du nom, prénoms, NIR, adresse et coordonnées de contact téléphonique ou électronique).
  • des données d'identification de la personne éligible à la vaccination ; ses coordonnées ; les données relatives à la réalisation de la vaccination (date injection, vaccin…). L’ARS est destinataire de ces données afin d’assurer le contrôle de l’obligation vaccinale des professionnels de santé libéraux.

L’ARS peut conserver les résultats des vérifications de satisfaction à l'obligation vaccinale contre la covid-19 jusqu'à la fin de l'obligation vaccinale.

L’ARS s'assure de la conservation sécurisée de ces documents et, à la fin de l'obligation vaccinale, de la bonne destruction de ces derniers.


Vos droits sur les données vous concernant

Vous pouvez accéder aux données vous concernant, vous opposer au traitement de ces données, pour des raisons tenant à votre situation particulière, les faire rectifier ou geler l’utilisation de vos données.

Pour les traitements relevant de la responsabilité de l’ARS Bretagne

Toute demande d’exercice de vos droits doit être effectuée auprès du Délégué à la Protection des Données (DPO) de l’ARS Bretagne :

Délégué à la protection des données
Pôle juridique
Agence Régionale de Santé (ARS) Bretagne
6, place des Colombes
CS 14253

Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) si vous estimez que le traitement de vos données constitue une violation de la réglementation.