Blog Sciences du vivant
COVID-19 : création d’un traitement de données relatif à la vaccination
Le 26 Décembre 2020, un décret [1] autorisant la création d’un traitement de données personnelles relatif à la gestion et au suivi des vaccinations contre la Covid-19 a été publié au Journal Officiel. La CNIL a communiqué sur ce décret le 30 Décembre 2020 [2].
Dans un avis du 10 décembre 2020 [3], la CNIL avait adressé un certain nombre de recommandations au ministère afin de permettre la conformité de ce traitement à la réglementation relative à la protection des données.
Ce traitement de données intitulé Système d’information « Vaccin Covid » a notamment pour finalité d’organiser la campagne de vaccination, le suivi et l’approvisionnement en vaccins et consommables et la réalisation de recherches et du suivi de pharmacovigilance. Il est à noter que le traitement n’a pas vocation à être étendu à d’autres campagnes de vaccinations que celle contre la Covid-19.
S’agissant des données personnelles collectées, le décret précise qu’elles sont protégées par le secret médical et ne doivent être traitées que par des personnes habilitées et soumises au secret professionnel. Les données collectées sont par exemple les données d’identification, les données relatives à la réalisation de la vaccination ou encore le numéro de sécurité sociale.
D’autre part, le décret opère une distinction entre les destinataires des données selon que celles-ci sont pseudonymisées ou non. En effet, certains acteurs tels que les professionnels de santé ainsi que la Caisse nationale d’assurance maladie pourront avoir accès aux données directement nominatives enregistrées dans le traitement tandis que d’autres acteurs (par exemple l’Agence Nationale de Santé Publique ou encore la Plateforme des données de santé- HDH ) ne pourront avoir accès qu’à des données pseudonymisées - qui restent des données à caractère personnel - à des fins de suivi des opérations vaccinales et d’utilisation des données à des fins d’études.
Dans son avis du 10 Décembre, la CNIL avait demandé au ministère d’informer les personnes concernées notamment sur leurs droits. Ainsi, le décret prévoit que les personnes invitées à se faire vacciner recevront un bon de vaccination accompagné d’une mention d’information conforme au RGPD.
Les personnes concernées pourront exercer leurs droits d’accès, de rectification et de limitation auprès du directeur de leur organisme d’assurance maladie. Néanmoins, une fois que les personnes concernées auront donné leur consentement à la vaccination elles ne pourront plus exercer leur droit d’opposition.
La CNIL exercera son pouvoir de contrôle une fois le traitement mis en œuvre et a notamment indiqué que le ministère devait lui transmettre l’analyse d’impact relative à la protection des données avant cette mise en œuvre.
[1] Décret n° 2020-1690 du 25 décembre 2020 autorisant la création d’un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19
[2] La collecte de données dans le cadre de la vaccination contre la Covid-19 : quelles garanties pour les personnes ? CNIL, 30 décembre 2020
[3] Délibération n° 2020-126 du 10 décembre 2020 portant avis sur un projet de décret autorisant la création d’un traitement de données à caractère personnel relatif à la gestion et au suivi des vaccinations contre le coronavirus SARS-Co