Roselyne Poznanski
Quid des données personnelles ?
Avant et après la vaccination contre le Covid-19, un certain nombre de données personnelles vont être collectées. Ce que vous devez savoir.
Mon médecin traitant doit-il signaler à l’assurance maladie mon souhait de ne pas être vacciné ?
Non. Votre médecin traitant n’a pas à transmettre à l’assurance maladie votre refus d’être vacciné contre le Covid-19. Sachant que la vaccination n’est pas obligatoire, cette donnée, partagée dans le cadre d’une consultation médicale, est confidentielle et doit le rester.
À l’inverse, mon médecin traitant doit-il signaler à l’assurance maladie mon souhait d’être vacciné ?
Pas davantage. Pour le moment en effet, les médecins de ville ne sont pas autorisés à vacciner les personnes actuellement éligibles selon la stratégie de vaccination définie par le ministère des Solidarités et de la Santé. Quand bien même vous manifesteriez votre volonté d’être vacciné, votre médecin traitant n’est pas autorisé à transmettre cette information à l’assurance maladie. En revanche, lorsque la campagne de vaccination s’intensifiera (notamment si la mise sur le marché du vaccin Astra-Zeneca est autorisée), les médecins traitants et d’une façon générale tous les professionnels de santé qui seront alors autorisés à vacciner (pharmaciens, etc.) devront, à leur tour, se conformer au protocole déclaratif, dans le cadre de « la création d’un traitement automatisé de données à caractère personnel » tel qu’il a été autorisé par le décret n° 2020-1690 du 25 décembre 2020, après avis de la Commission nationale de l’informatique et des libertés (Cnil) en date du 10 décembre 2020.
Qu’est-ce que la base de données spécifique Covid qui vient d’être créée ?
Ce traitement automatisé ou base de données à caractère personnel relatif aux vaccinations contre le Covid-19, plus simplement dénommé « Vaccin Covid », est opérationnel depuis le 4 janvier dernier.
Cette base de données est gérée conjointement par la Caisse nationale d’assurance maladie (Cnam) et la Direction générale de la santé (DGS). Elle a pour but de permettre « la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre le Covid ». Pour cela, elle doit recenser d’une part les personnes éligibles à la vaccination (au fur et à mesure du déroulement de la stratégie vaccinale définie par le gouvernement) et d’autre part les professionnels de santé intervenant dans la vaccination. Elle doit également coordonner le système national de pharmacovigilance (effets indésirables post-vaccination, etc.).
L’usage de cette base de données a été rendue obligatoire « pour assurer le bon déroulement et le bon suivi de la campagne de vaccination ». Les professionnels de santé ou les personnes placées sous leur responsabilité qui concourent à la vaccination sont donc tenus d’enregistrer sans délai les données recueillies. À terme, lorsque la campagne de vaccination sera étendue à l'ensemble de la population adulte (selon les évolutions de la stratégie vaccinale décidée par le ministère des Solidarités et de la Santé sur la base des avis rendus par la Haute Autorité de santé), cette base regroupera les données nécessaires au suivi de la vaccination d'une bonne partie de la population française.
→ Vaccination contre le Covid-19 • Ce qu’il faut savoir
Concrètement, quelles données me concernant vont être enregistrées ?
Le médecin coordinateur du centre (ou de l’Ephad) ou toute autre personne chargée d’assurer la consultation préalable à la vaccination doit vous informer que certaines informations personnelles qu’il va recueillir à votre sujet vont être collectées dans la base de données « Vaccin Covid ». Il s’agit de votre identité, de l’adresse de votre domicile, de votre adresse mail, de votre date de naissance et de votre numéro de Sécurité sociale. À ces informations vont s’en ajouter d’autres : traçabilité de la vaccination quel que soit le lieu de vaccination (dénomination et numéro de lot du vaccin, date et lieu de chaque injection, identification du centre de vaccination, nom du professionnel de santé réalisant l’acte…) et critères d’éligibilité auxquels vous répondez (hébergement en Ephad, âge, facteurs de risques médicaux très importants…). Tous ces éléments ont été validés en amont par la Cnil.
Ces données seront-elles protégées ?
Oui. La Cnil a rappelé qu’elles étaient protégées par le secret médical, tel que prévu à l'article L. 1110-4 du Code de la santé publique. Dans son avis, la Cnil a également rappelé que « seules les personnes habilitées et soumises au secret professionnel doivent pouvoir accéder aux données du système d'information Vaccin Covid, dans les strictes limites de leur besoin d'en connaître pour l'exercice de leurs missions ». En clair, et au-delà des professionnels de santé en charge de la consultation pré-vaccinale et de la vaccination elle-même, votre médecin traitant pourra également y avoir accès si vous en êtes d’accord. Dans le cadre de leur mission de santé publique, la Caisse nationale d’assurance maladie (Cnam) ainsi que l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) auront également accès à certaines de vos données. L’Agence nationale de santé publique (ANSP), les Agences régionales de santé (Ars) ainsi que la Direction de la recherche, des études, de l’évaluation et des statistiques (Drees) du ministère chargé de la Santé pourront également avoir accès à certaines de ces données dans le cadre de leurs missions respectives (suivi de la couverture vaccinale, réalisation de statistiques…). Ces données seront toutefois « pseudonymisées » selon l’expression de la Cnil. De façon plus simple, elles ne comporteront ni vos nom, prénom, numéro de Sécu, ni vos coordonnées (adresse du domicile et mail).
Combien de temps ces données seront-elles conservées ?
Dix ans, ce qui correspond à la durée de prescription des actions en responsabilité médicale. La Cnam que nous avons interrogée nous a toutefois indiqué que ces données ne seraient pas accessibles aux professionnels de santé durant ces 10 ans. Elle a souligné que « conformément aux dispositions du Règlement général sur la protection des données et de la loi Informatique et Libertés, un mécanisme dit d’archivage intermédiaire sera mis en place pour limiter l’accès aux données au strict besoin des professionnels chargés d’assurer une prise en charge ». Pour sa part, la Direction du numérique du ministère chargé des Affaires sociales (DNUM) conservera ces données pendant 30 ans dans la perspective d’identifier les personnes vaccinées afin de les informer d’un risque nouveau lié à l’usage d’un ou plusieurs vaccins.
Puis-je m’opposer au traitement de mes données ?
Oui et non. Jusqu’à « l’expression du consentement à l’acte vaccinal » vous pourrez exercer votre droit d’accès, de rectification ou d’opposition de vos données personnelles, conformément au Règlement général sur la protection des données (RGPD). Pour cela, il faudra vous adresser au directeur de la Caisse primaire d’assurance maladie (CPAM) de votre domicile, de préférence via votre espace sécurisé en ligne sur Ameli.fr. En revanche, sitôt la première injection réalisée, vous ne pourrez plus faire rectifier ou effacer les données vous concernant car l’ensemble des données collectées sont d’intérêt public et vont être à ce titre utilisées à des fins de pharmacovigilance. De façon marginale, notez que vous pouvez vous opposer à la transmission de vos données « pseudonymisées » à la Cnam.
Les données collectées par Doctolib et les autres plateformes pour la prise de rendez-vous sont-elles logées à la même enseigne que celles du registre national ?
Non. Le rôle de Doctolib (une des trois plateformes avec Maiia et KelDoc agréées par l’État) se limite à la prise de rendez-vous pour le compte de la Caisse nationale d’assurance maladie. Seules les données personnelles suivantes sont recueillies : nom, prénom, date de naissance, téléphone et adresse mail. Doctolib qui a indirectement connu en juillet dernier un vol de données (nom et prénom des patients, date de leur rendez-vous, praticiens concernés…) portant sur plus de 6 100 rendez-vous nous a affirmé « que la sécurité et la protection des données était sa priorité numéro 1 » tout en rappelant que son rôle dans la stratégie vaccinale « se limitait à la prise de rendez-vous et qu’il était ainsi possible de faire supprimer à tout moment, en ligne, y compris après la première ou après la seconde injection, l’ensemble des données personnelles liées à chaque compte ».