Dans les rouages du fichier « SI Vaccin Covid »

Le fichier « SI Covid Vaccin » a été créé par décret publié le 26 décembre dernier. Derrière ce nom, un traitement sous la responsabilité de la direction générale de la santé et la Caisse nationale de l'assurance maladie. Next INpact revient dans ses détails, par un jeu de questions/réponses.

Qu’est-ce que le système d’information « Vaccin Covid » et à quoi sert-il ?

En France, la politique de vaccination est sous la houlette du ministre de la Santé. C’est lui « qui fixe les conditions d'immunisation, énonce les recommandations nécessaires et rend public le calendrier des vaccinations après avis de la Haute Autorité de santé », dixit le Code de la santé publique.

La première finalité de ce traitement de données à caractère personnel est donc d’identifier les personnes éligibles à la vaccination contre le Covid-19. Une telle inscription dans ce fichier permettra de leur envoyer des bons de vaccination pour ensuite enregistrer les informations relatives à la consultation préalable (bientôt remplacée par un dispositif « plus direct ») et finalement organiser la vaccination.

La deuxième finalité vise à suivre l'approvisionnement en vaccins et autres consommables en France (gestion des stocks, approvisionnement, etc.)

Autre de ses missions, envoyer aux personnes traitées « un récapitulatif des informations relatives à la vaccination ». Ce document sera établi par le professionnel de santé.

Quatrième objectif, mettre à disposition des données « permettant la présentation de l'offre de vaccination, la surveillance de la couverture vaccinale, la mesure de l'efficacité et de la sécurité vaccinales, la pharmacovigilance, le suivi statistique de la campagne de vaccination, l'appui à l'évaluation de la politique publique de vaccination et la réalisation d'études et de recherches »

L’avant-dernière finalité n’est pas moins importante : elle consiste à orienter les personnes vaccinées vers un parcours de soin, « en cas d'apparition d'un risque nouveau », puisque selon l’article L.1111-2 du Code de la Santé publique, « toute personne a le droit d'être informée sur son état de santé ».

Enfin, SI Covid Vaccin facilitera la prise en charge financière des actes liés à la vaccination.

Quelles seront les données enregistrées ?

Outre les données d'identification (prénoms, sexe, date de naissance, lieu de naissance, etc.), on trouvera notamment la référence du bon de vaccination, la date des injections, l’identification du vaccin, le lieu de l’acte, outre les données d'identification des professionnels de santé.

D’autres concerneront la santé de la personne concernée, à savoir les « critères médicaux d'éligibilité » et les « informations relatives à la recherche et à l'identification de contre-indications à la vaccination ».

Le ministère de la Santé entend également faire figurer les effets indésirables éventuels associés à cet acte médical.

Ces informations ne sont pas minces. Comme le relève la CNIL, saisie pour avis sur le projet de décret, « à terme, lorsque la campagne vaccinale sera étendue à l'ensemble de la population adulte telle qu'envisagée par le ministère, le SI "Vaccin Covid " comportera les données de santé d'une majeure partie de la population française ». En somme, se dessine un fichier monstre de plusieurs dizaines de millions d’entrées.

Qui renseignera ces données ?

Le dernier alinéa de l’article 2 indique que ce sont les professionnels de santé (ou les personnes placées sous leur responsabilité) qui seront tenus de les enregistrer sans délai.

Qui sera destinataire de ces informations ?

La liste est longue, au point où la CNIL a dû rappeler que ces données sont couvertes par le secret médical : « seules les personnes habilitées et soumises au secret professionnel doivent pouvoir accéder aux données du SI Vaccin Covid, dans les strictes limites de leur besoin d'en connaître pour l'exercice de leurs missions ».

Dans le détail, le périmètre d’accès aux informations dépendra donc de la qualité de chacune de ces entités. Le professionnel de santé aura accès à toutes les données, à l’exclusion des critères médicaux d'éligibilité à la vaccination et aux traitements suivis. Le médecin traitant accèdera lui aussi à de nombreuses informations, mais certaines seront soumises au consentement du patient (par exemple « les données d'identification des professionnels de santé »).

La Caisse nationale d'assurance maladie bénéficiera d’un accès tout aussi généreux, mais uniquement pour verser ces informations dans le dossier médical partagé de la personne vaccinée.

Les effets indésirables seront connus de l’Agence nationale de sécurité du médicament et les centres régionaux de pharmacovigilance, mais aussi le médecin traitant (sous condition de consentement, là encore).

Des données seront également adressées à d’autres, après cette fois pseudonymisation, afin « d'assurer la confidentialité de l'identité des personnes, notamment par la suppression de leur nom, prénoms, [etc.] ». Il s’agira en particulier des personnes habilitées par les directeurs généraux des agences régionales de santé, concernant « les données nécessaires à l'organisation de la campagne de vaccination à l'échelon régional et à son suivi » ou encore celles en charge des données statistiques.

Le Health Data Hub en sera également destinataire, avec la CNAM, « aux seules fins de faciliter l'utilisation des données de santé pour les besoins de la gestion de l'urgence sanitaire et de l'amélioration des connaissances sur le virus ».

Très logiquement la CNIL a recommandé « que la transmission des données pour cette finalité ne saurait se prolonger au-delà de l'état d'urgence sanitaire en l'absence de dispositions prévoyant leur intégration dans le Système national des données de santé (SNDS) ».

Elle avait également insisté pour qu'aucune donnée traitée dans le cadre du SI « Vaccin Covid » ne soit transférée en dehors de l'Union européenne, au point de réclamer une telle précision dans le décret publié. Cette précision est absente au Journal officiel.

La direction du numérique des ministères des Affaires sociales (DNUM) aura « communication de données identifiantes ». Selon le résumé de la CNIL, les données « seront conservées dans SI Vaccin Covid pendant une durée de dix ans à l’exception de celles nécessaires à la prise en charge des personnes vaccinées en cas d’identification de risques nouveaux qui seront conservées par la direction du numérique des ministères chargés des affaires sociales (DNUM) pendant trente ans ».

La CNIL n’a pas bien compris cette intervention, au regard des missions confiées à l'Agence nationale de sécurité du médicament et des produits de santé (ANSM). Selon les explications fournies par le ministère, « la DNUM ne serait pas en charge d'orienter les personnes vers un parcours de soins adapté, mais uniquement de la conservation des données dans des conditions permettant d'en garantir la sécurité et l'intégrité ».

Le fichier sera-t-il interconnecté ? Où seront stockées les données ? 

Comme le constate l’autorité, le SI « Vaccin Covid » sera « mis en relation avec plusieurs systèmes d'information déjà déployés ». Elle cite « notamment le système d'information relatif à l'identifiant national de santé (SI INS), le dossier médical partagé (SI DMP) et le portail de remontées d'évènements indésirables (P-SIG) ». Dans sa délibération, on apprend que le ministère de la Santé envisage « une mise en relation avec des portails patients tiers afin de faciliter la prise de rendez-vous, sans pour autant être en mesure, à ce stade, de préciser quelles en seraient les conditions ».

On découvre dans le même document que le ministère entend avoir recours à des sous-traitants pour mettre en œuvre le système d’information. La CNIL a plaidé pour que le principe de ce recours « soit mentionné dans le décret ». Comme cette précision n’a pas été apportée, le gouvernement est invité à diffuser cette information, ainsi que la liste des sous-traitants sur le site du ministère.

Quels sont les droits RGPD des patients ?

Les personnes invitées à se faire vacciner recevront un bon de vaccination, qui sera accompagnée d’informations orchestrées par le RGPD. Ces informations concernent « la source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public ».

En France, cette « vaccination n’est pas obligatoire », ainsi, « l’expression du consentement du patient doit être recueillie au préalable et tracée dans le dossier médical », prévient la Haute autorité de Santé (HAS).

Si une personne consent à se faire vacciner, d’autres informations lui seront fournies :

• l'identité et les coordonnées du responsable du traitement
• les finalités du traitement et la base juridique du traitement;
• les destinataires
• la durée de conservation des données
• l'existence des droits d’accès et de rectification auprès du directeur de l'organisme d'assurance maladie de rattachement.

Le droit à l’effacement ne s’appliquera pas. Le droit d’opposition sera lui cantonné à un périmètre. Par exemple, on pourra s’opposer à la transmission des données au Health Data Hub, cher à Microsoft. De même, les personnes éligibles à la vaccination pourront s’opposer à voir leurs données figurer dans le traitement. Toutefois, si elles consentent à cet acte médical, elles ne pourront plus s’opposer. Il n’y aura pas de fichier de ceux qui auront refusé de se faire vacciner, mais à partir du moment où l’ensemble des Français aura reçu un bon de vaccination, on pourra facilement deviner par simple soustraction le poids des refus.

Mais avant l’acte de vaccination, les personnes seront sélectionnées selon des critères qui devront être établis par la Haute autorité de Santé. Les personnes concernées par la phase 1 de la vaccination sont celles, âgées et « résidentes d’établissements accueillant des personnes âgées, les résidents en services de longs séjours et les professionnels qui les accompagnent au quotidien et présentent eux-mêmes des facteurs de risque de forme grave de Covid-19 » (HAS).

Dans sa délibération du 10 décembre 2020, la Commission a fait d’autres remarques. Ainsi, « le ministère n'a pas été en mesure de lui transmettre les informations techniques nécessaires concernant la mise en œuvre du traitement ». Conséquence : l’autorité « n'a donc pas été en mesure de vérifier la conformité du traitement au RGPD avant que celui-ci soit déployé ». De même, aucune analyse d’impact ne lui a été fournie, alors qu’elle « doit être effectuée avant la mise en œuvre du traitement ».

• Le décret publié au Journal officiel
• La délibération CNIL portant sur le projet de décret