COVID-19 : Protection des données personnelles

Le traitement a pour objet l’identification et l’investigation des chaines de transmission et des clusters ainsi que la gestion des situations complexes.

Base juridique :

Article 6 (1) e du règlement général sur protection des données – RGPD : ce traitement relève des missions d’intérêt public dont sont investies les ARS en application de l’article L. 1431-2 1° b) du Code de la santé publique.

Pour les cas confirmés :

• Descriptif du cas : date de signalement et qualification du cas, statut et résultat de l’investigation, localisation géographique du cas… ;
• Données d’identification de la personne : seuls le nom et prénom sont obligatoires ; profession ; lieu de résidence, coordonnées, numéro de sécurité sociale (NIR) si connu ;
• Résultats de test(s) ;
• Hospitalisation : nom de l’établissement, dates et conditions de prise en charge ;
• Symptômes ;
• Données épidémiologiques : source(s) d’exposition et/ou origine de la contamination ;
• Cas contact(s) de la personne ;
• Le cas échéant, la participation à un ou des évènements dans l’hypothèse de cas groupés.

Pour les cas contacts :

• Descriptif du cas contact : date de signalement et qualification du cas, localisation géographique, date et source de la contamination, le cas échéant identification et relation avec le cas source, statut du suivi… ;
• Données d’identification de la personne (seuls le nom et prénom sont obligatoires), profession, lieu de résidence, coordonnées, numéro de sécurité sociale (NIR) si connu ;
• Rapport de visites cliniques de suivi.
• Le cas échéant, la participation à un ou des évènements dans l’hypothèse de cas groupés.

Les données sont issues du traitement « Contact Covid » mis en œuvre par l’assurance maladie (Décret n°2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions). Les droits des personnes concernées par ce traitement s’exercent auprès de l’organisme de rattachement des personnes concernées.

Le traitement de données concerne les personnes infectées par la COVID-19 et les personnes avec qui elles ont eu un contact.

Les agents de l’ARS spécialement habilités à accéder à ces données.

Les données collectées sont conservées 3 mois maximum après leur collecte.
Les données pseudonymisées peuvent être conservées pendant une durée de 6 mois à compter de la fin de l’état d’urgence sanitaire, uniquement pour une finalité de surveillance épidémiologique et la recherche sur le virus et les moyens de lutter contre sa propagation.

SI-DEP permet de centraliser les résultats des examens de dépistage Covid-19 en vue notamment de leur transmission aux organismes en charge de la réalisation des enquêtes sanitaires, dont les ARS.

L’ARS est uniquement destinataires des données nécessaires à l'identification des cas zéro et cas contacts, ainsi qu'au suivi et à l'accompagnement de ces personnes.

Les données traitées dans SI-DEP sont :

• les données d’identification (dont le numéro de sécurité sociale), coordonnées et situation du patient ;
• les coordonnées des médecins responsables ;
• les caractéristiques techniques du prélèvement ;
• les informations sur le résultat de l’examen.

Le traitement de données concerne les personnes infectées par la COVID-19.

Ces données ne peuvent être conservées à l'issue d'une durée de 6 mois après leur collecte pour les données relatives à une personne ayant fait l'objet d'un examen de dépistage virologique ou sérologique de la covid-19 concluant à une contamination, et de 3 mois après leur collecte pour les autres données.

Les données pseudonymisées peuvent également être conservées pendant une durée de 6 mois à compter de la fin de l’état d’urgence sanitaire, uniquement pour la finalité de surveillance épidémiologique et la recherche sur le virus et les moyens de lutter contre sa propagation.
→ Pour plus d’information, vous pouvez consulter le site du Ministère des solidarités et de la santé.

L’ARS Bretagne peut également collecter vos données personnelles dans le cadre de l’organisation des dépistages collectifs. Le cas échéant les données collectées sont :

• Nom et prénom ;
• NIR si connu ;
• Date de naissance ;
• Adresse ou commune de résidence.

Ces données sont transmises aux laboratoires d’analyse médicale identifiés pour ces opérations.
Les données ne seront pas conservées au-delà de trois mois à compter de leur collecte.

Le traitement « Vaccin Covid » a plusieurs finalités :

• l’identification des personnes éligibles à la vaccination, l'envoi de bons de vaccination à ces personnes, l'enregistrement des informations relatives à la consultation préalable à la vaccination et l'organisation de la vaccination de ces personnes. A la suite de la vaccination, il permet l’envoi à la personne vaccinée d'un récapitulatif des informations relatives à la vaccination ainsi que le suivi si nécessaire en cas d’apparition d’un risque nouveau.
• le suivi de l'approvisionnement des lieux de vaccinations en vaccins et consommables.
• le suivi la présentation de l'offre de vaccination, la surveillance de la couverture vaccinale, la mesure de l'efficacité et de la sécurité vaccinales, la pharmacovigilance, le suivi statistique de la campagne de vaccination, l'appui à l'évaluation de la politique publique de vaccination et la réalisation d'études et de recherches, et l'adaptation des mesures médicales d'isolement prophylactiques
• la prise en charge financière des actes liés à la vaccination.
• La mise à disposition de données permettant le contrôle de l'obligation vaccinale par les ARS.

Les données d'identification de la personne invitée à se faire vacciner ou vaccinée :

• nom, prénoms ;
• sexe ;
• date et lieu de naissance ;
• numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ou, le cas échéant, code d'admission au bénéfice de l'aide médicale d'Etat sous la mention immatriculation ;
• Le code du régime d'affiliation et de l'organisme gestionnaire assurant la prise en charge des frais de santé
• Les références du ou des bons de vaccination délivrés à la personne ;
• Les coordonnées de la personne et de son représentant légal éventuel : adresse postale, numéro de téléphone, adresse électronique ;
• Les données relatives à la réalisation de la vaccination : dates de la, ou des injections, informations permettant l'identification du vaccin injecté, précisions sur l'administration du vaccin, identification du ou des lieux de vaccination, identification des professionnels de santé ayant réalisé respectivement la consultation préalable à la vaccination et chaque injection ;
• Les données relatives à la santé de la personne : critères médicaux d'éligibilité à la vaccination et traitements suivis ; informations relatives à la recherche et à l'identification de contre-indications à la vaccination ; effets indésirables éventuels associés à la vaccination ;             
• Les informations sur les critères d'éligibilité non médicaux à la vaccination.

Les données d'identification des professionnels de santé, et des personnes placées sous leur responsabilité, ayant réalisé la consultation préalable et la vaccination :

• données d'identification ;
• coordonnées et numéro d'identification de l'établissement ou de la structure de rattachement, de l'établissement ou de la structure de vaccination.

Les personnes éligibles à la vaccination, vaccinées ou non vaccinées ainsi que les professionnels de santé et les personnes placées sous leur autorité ayant réalisé la consultation préalable et la vaccination.

Les personnes habilitées par le directeur général de l’ARS Bretagne sont destinataires :

• de données pseudonymisées nécessaires à l’organisation de la campagne de vaccination à l’échelle régional et à son suivi. La pseudonymisation qui permet d'assurer la confidentialité de l'identité des personnes (suppression du nom, prénoms, NIR, adresse et coordonnées de contact téléphonique ou électronique).
• des données d'identification de la personne éligible à la vaccination ; ses coordonnées ; les données relatives à la réalisation de la vaccination (date injection, vaccin…). L’ARS est destinataire de ces données afin d’assurer le contrôle de l’obligation vaccinale des professionnels de santé libéraux.

L’ARS peut conserver les résultats des vérifications de satisfaction à l'obligation vaccinale contre la covid-19 jusqu'à la fin de l'obligation vaccinale.

L’ARS s'assure de la conservation sécurisée de ces documents et, à la fin de l'obligation vaccinale, de la bonne destruction de ces derniers.

Le traitement a pour objet de contrôler le respect de l’obligation vaccinale des personnes concernées.

Base juridique : Article 6 (1) c du règlement général sur protection des données – RGPD : ce traitement est nécessaire au respect d’une obligation légale à laquelle l’ARS est soumise en vertu de l’article 13 de la loi n°2021-1040 du 5 août 2021.

Conformément à l’article 3 du décret n°2020-1690 du 25 décembre 2020, l’ARS a accès aux seules données suivantes :

• aux données d'identification : nom, prénoms, sexe, date de naissance, lieu de naissance, numéro d'inscription au répertoire national d'identification des personnes physiques ou, le cas échéant, code d'admission au bénéfice de l'aide médicale d'Etat sous la mention immatriculation ;
• aux coordonnées : adresse postale, numéro de téléphone, adresse électronique ;
• et les données relatives à la réalisation de la vaccination : dates de la, ou des injections, informations permettant l'identification du vaccin injecté, précisions sur l'administration du vaccin, identification du ou des lieux de vaccination, identification des professionnels de santé ayant réalisé respectivement la consultation préalable à la vaccination et chaque injection.

Les données nécessaires à l’ARS Bretagne pour effectuer le contrôle du respect de l’obligation vaccinale sont obtenues auprès de sources différentes.

• Concernant les professionnels de santé et à usage de titre exerçant en libéral, les données relatives à l’obligation vaccinale des professionnels conventionnés sont transmises par l’Assurance maladie. Le fichier transmis par l’Assurance maladie est constitué par un croisement entre le Fichier national des professionnels de santé (FNPS) et le système d’information VACCIN-COVID.
• Les données des professionnels non conventionnés et à usage de titre sont transmises par la Direction du numérique (DNUM) des ministères sociaux. Ce fichier résulte du croisement entre la liste ADELI (Automatisation des listes), le Répertoire partagé des professionnels de santé (RPPS) avec les données du système d’information VACCIN-COVID.
• La collecte des données concernant le contrôle de l’obligation vaccinale des transporteurs sanitaires est effectuée directement auprès de ces derniers.
• La liste des exploitants de taxis conventionnés est adressée par l’assurance maladie. L’ARS collecte ensuite les données relatives à l’obligation vaccinale directement auprès des taxis conventionnés.
• Concernant les étudiants et élèves en santé, les données étaient transmises à l’ARS par l’établissement ou l’institut de formation. Cependant, ce contrôle est désormais effectué directement par les établissements de formation.
• Enfin, concernant les directeurs des établissements de santé et des établissements médico-sociaux de la fonction publique hospitalière, leurs données sont transmises directement par ces derniers à l’ARS après demande de l’ARS.

Les personnes concernées sont :

• les professionnels de santé et à usage de titre exerçant en libéral ;
• les transporteurs sanitaires et taxis conventionnés ;
• les étudiants et élèves en santé et les étudiants des formations pour les professions à usage de titre ;
• les directeurs des établissements sanitaires ainsi que des établissements et services sociaux et médico-sociaux de la fonction publique hospitalière.

Au sein de l’ARS, seuls les agents spécialement habilités par le Directeur général peuvent accéder à ces données.

• Lorsque les professionnels ne peuvent plus exercer leur activité en raison du non-respect de l’obligation vaccinale ou de la non transmission des pièces justificatives, l’ARS en informe l’assurance maladie.
• Lorsque qu’un professionnel de santé ne peut plus exercer son activité depuis plus de 30 jours, l’ARS en informe, le cas échéant, le conseil national de l’ordre dont il relève.

L’ARS peut également transmettre ces informations au Procureur de la république lorsqu’elle constate une poursuite d’activité malgré l’interdiction d’exercice.

Ces données sont conservées par l’ARS jusqu’à la fin de l’obligation vaccinale.