« Les campagnes de dépistage par les entreprises pour leurs salariés ne sont pas autorisées ». par cette seule phrase le Protocole National de Déconfinement du 3 mai 2020 a mis un terme à de nombreuses initiatives.
Ni dépistage virologique ni test sérologique n’étant autorisés pour les entreprises reste à la seule personne publique l’organisation d’un système d’information générale. C’est chose faite par la loi votée le 9 mai et publié le 11 après la censure partielle du Conseil constitutionnel le 10 mai, et à son décret d’application du 12 mai. Limitons-nous ici à quelques observations relatives à ce système d’informations de lutte contre l’épidémie de covid-19 prévu à l’article 11 et à son décret d’application.
Deux traitements informatisés des données sont créés par la loi du 11 mai et son décret d’application du 12 mai.
– « SI-DEP » pour « Système d’information nationale de dépistage populationnel ». Le fichier des personnes infectées par la covid-19
– « contact-Covid » : ce fichier concerne les personnes ayant été en contact avec les personnes du 1er fichier. Ce fichier utilise le système existant « amelipro ».
Ces traitements informatisés n’informeront pas par leur mobile les personnes concernées : un 3ème système est attendu pour la fin mai
Nouvelle déception pour ceux qui espéraient être informés de la bonne santé de leur fréquentation. Ce système n’a pas vocation à informer les personnes via un dispositif mobile qu’elles auraient été à proximité d’une personne infectée. Un nouveau dispositif technique, – peut-être celui dénommé Stop-civid – , serait annoncé le 27 mai.
Quelles données personnelles des personnes infectées et des personnes en contact avec celles-ci peuvent être collectées et traitées dans ces systèmes informatiques ?
La loi n’a pas énuméré les données présentes dans ces fichiers mais les a autorisées au regard de l’une ou de l’autre de quatre finalités :
– L’identification des personnes infectées appelées au décret les patients zéro. Sont donc incluses les données relatives
– aux diagnostics cliniques probants,
– aux résultats d’analyse biologique ou d’imagerie médicale. Et par la prescription de ces examens. Des résultats négatifs (non positifs) n’écartent pas cette finalité.
– l’identification des personnes présentant un risque d’infection par leur contact avec les personnes infectées , le cas contact du décret
– L’orientation et l’accompagnement de ces deux catégories de personnes pendant et après la fin des prescriptions et des mesures médicales d’isolements
– la 4ème finalité ne s’intéresse plus exclusivement à la situation sanitaire des personnes dont les données sont collectées et traitées, mais à l’intérêt de ces données pour la surveillance épidémiologique nationale et locale, la recherche sur le virus et les moyens de lutter contre sa propagation.
Le décret est venu préciser les données contenues dans ces fichiers.
Les données traitées au fichier SI-DEP, le système d’information national de dépistage. Il centralise les informations relatives aux personnes ayant fait l’objet d’un dépistage à la covid-19.
- Les données d’identification du patient (D art.9)
1° Les données d’identification de la personne ayant fait l’objet d’un examen de biologie médicale de dépistage du covid-19 : nom, prénom, sexe, date de naissance, lieu de naissance, numéro d’inscription au répertoire national d’identification des personnes physiques ou code d’admission au bénéfice de l’aide médicale d’Etat sous la mention « immatriculation » lorsque la personne en dispose d’un ;
…
3° Les coordonnées du patient ou, à défaut, d’une personne de confiance : adresse postale, numéro de téléphone, adresse électronique ;
- Les données de la situation sociale du patient (D art. 9)
2° Les informations portant sur la situation du patient nécessaires pour la réalisation des enquêtes sanitaires : professionnel du secteur sanitaire ou médico-social, résident dans un lieu d’hébergement collectif, patient hospitalisé dans un établissement de santé et, le cas échéant, date d’apparition des premiers symptômes ;
- Les données de santé (D art 9)
2° …. La date d’apparition des symptômes
5° Les caractéristiques techniques du prélèvement : numéro de prélèvement, date et heure du prélèvement, lieu de prélèvement ;
6° Les informations relatives au résultat des analyses biologiques : identification et coordonnées du laboratoire, type d’analyse réalisée, date et heure de la validation de l’analyse, résultat de l’analyse, compte-rendu d’analyse.
- Les données relatives au médecin (D art. 9)
4° Les données d’identification et coordonnées des médecins : numéro RPPS, nom, prénom, adresse du lieu d’exercice et adresse de messagerie sécurisée ;
Qui fournit ces informations (D art. 10) ?
- – Les médecins ou les professionnels placés sous la responsabilité des services ou laboratoires de biologie médicale qui procèdent à des examens de dépistage du covid-19 sont habilités à accéder aux données des personnes qu’ils prennent en charge figurant dans le traitement autorisé par l’article 8, aux seules fins de renseigner les résultats de leurs examens et d’envoyer, le cas échéant, les résultats à ces mêmes personnes, au médecin traitant et au médecin ayant prescrit l’examen.
Les données recueillies auprès des personnes dépistées lors du prélèvement et les données relatives aux résultats d’analyse mentionnées à l’article 9 sont enregistrées sans délai.
L’article 11 de la loi prévoit que cette transmission est obligatoire.
Qui a accès à ces données ?
L’article 10 du décret autorise des praticiens à accéder aux données de ce fichier. Est prévu également un accès par habilitation des agents de certains organismes en charge des questions de santé. L’accès est ouvert plus largement quand les données sont pseudonymisées.
- L’accès aux données de leurs seuls patients
– Les médecins et les laboratoires ayant procédés à ces examens et analyses.
-Le médecin ayant prescrit l’examen,
– Le médecin traitant.
- L’accès à toutes les informations de toutes les personnes présentes dans ce fichier
– Des agents habilités des agences régionales de santé et de leurs sous-traitants.
- Un accès limité pour les seules informations nécessaires pour i) l’évaluation des personnes contacts et ii) au suivi et à l’accompagnement des personnes et à la réalisation des enquêtes sanitaires.
L’agence nationale de santé publique, des organismes nationaux et locaux d’assurance maladie, de la caisse nationale militaire de sécurité sociale et du service de santé des armées
- L’accès aux données d’identités pseudonymisées.
Il s’agit ici d’un accès par des personnes n’appartenant pas nécessairement aux organismes publics cités ci-dessus, leur accès ne sera autorisé que pour certaines finalités.
- des missions de surveillance épidémiologique : habilitations par les directions de l’agence national de santé publique et des agences régionales de santé.
- pour l’accès aux données nécessaires à la mission d’analyse et de diffusion des informations statistiques dans le domaine de la santé : habilitation par le Ministre de la santé
- pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus : l’accès est autorisé pour la Plateforme des données de santé ” et la Caisse nationale de l’assurance maladie
Toutes les interventions sur le traitement SI-DEP vont l’objet d’un suivi
- – Les opérations de mise à jour, de suppression et de consultation du traitement font l’objet d’un enregistrement, qui est conservé pendant une durée maximale de six mois à compter de la fin de l’état d’urgence sanitaire déclaré par l’article 4 de la loi du 23 mars 2020 susvisée.
Cet enregistrement comporte l’identification de l’utilisateur ainsi que les données de traçabilité, notamment la date, l’heure et la nature de l’intervention dans le traitement.
Le consentement du patient est-il requis à ce traitement informatisé de données le concernant ?
Comme il vient d’être dit la transmission au fichier de la demande de test, et les résultats est obligatoire par le médecin. L’accord du patient n’est pas prévu. L’article 11 de la loi prévoit en termes généraux que « des données à caractère personnel concernant la santé relatives aux personnes atteintes par ce virus et aux personnes ayant été en contact avec elles peuvent être traitées et partagées, le cas échéant sans le consentement des personnes intéressées ».
La durée de conservation des données.
Si la durée de trois mois de conservation est prévue à l’article 11 du décret, ce même article prévoit par renvoi à l’article 11 de la loi la durée de traitement de ces données jusqu’à six mois à compter de la fin de l’état d’urgence sanitaire
Le patient a-t-il accès aux données le concernant ?
Pour les données de santé introduites par son médecin, seuls les résultats Individuels d’examen biologique peuvent être consultés par le patient. Cette communication est prévue lors de l’envoi des résultats individuels. A priori, les personnes dont les données figurent dans ce traitement, n’auraient donc pas accès directement aux informations issues de ce traitement informatisé. Ni le décret ni la loi ne prévoit un accès direct à ces résultats via leur médecin traitant.
L’information préalable du patient à la collecte des données
Pour les informations à remettre au patient au moment de la collecte des données personnelles le concernant, l’article 12 du décret renvoie aux articles 12 et 13 du RGPD. Se trouvent soumis à cette obligation d’information préalable le médecin qui prescrit, le médecin qui diagnostique et lors de l’envoi individuel des résultats des tests.
La possibilité pour le patient de mettre en œuvre le droit d’opposition est strictement limitée à la transmission des données personnelles concernant à la plate-forme du GIE.