Protection des données à caractère personnel

Article
#COVID19. Protection des données

Dans le cadre du déconfinement initié le 11 mai 2020, pour permettre l’exercice de leurs missions prévues dans ce cadre par le gouvernement, les Agences Régionales de Santé ont mis en œuvre des traitements de données à caractère personnel.

Ces traitements de données à caractère personnel, nommés contact-tracing, visent à identifier les personnes infectées et/ou présentant un risque d’infection au coronavirus Covid-2019, à les tester, les tracer et les isoler.

Ces traitements sont nécessaires à l'exécution d'une mission d'intérêt public, conformément aux dispositions de l’article 6.1.e) et 9.2. i) du Règlement général sur la protection des données (RGPD) du 27 avril 2016, de l’article L 1431-2 du code de la santé publique et de la Loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions.

Les données à caractère personnel vous concernant (données d’identification et de santé) sont issues des systèmes d’information « SIDEP », plateforme sécurisée mis en œuvre par le ministère chargé de la Santé, où sont enregistrés les résultats des laboratoires de biologie médicale de tests COVID-19 et de « CONTACT-COVID », outil numérique mis en œuvre par l’Assurance Maladie, utilisé par les professionnels de santé, qui aide à la prise en charge des personnes COVID-19.

La stratégie de déconfinement présentée par le Gouvernement le 28 avril 2020, décrit un dispositif, dit contact-tracing, d’identification et de prise en charge des personnes infectées et des personnes contacts reposant sur une organisation en trois niveaux. Les deux premiers niveaux sont assurés respectivement par les médecins et par l’Assurance Maladie.

Les ARS sont en charge du niveau 3 qui correspond aux situations complexes (Résidents  dans des établissements médico-sociaux, établissements de santé, écoles, clusters, plus de 10 personnes contact etc…).

Dans le cadre de cette mission, l’Agence Régionale de Santé Occitanie a mis en œuvre un traitement de contact-tracing visant à identifier les personnes infectées et/ou présentant un risque d’infection au coronavirus Covid-2019, les tracer et les isoler.

Ce traitement a pour finalité l’investigation et le suivi épidémiologique des cas confirmés deCOVID-19 et des cas contacts, en vue d’identifier les chaînes et cas groupés de contamination et de prendre les mesures destinées à limiter la propagation de l’épidémie et à casser les chaînes de transmission.

A cette fin, l’ARS Occitanie a recours à une application nommée SORMAS.

Ce traitement utilise des données provenant de SI-DEP et de CONTACT-COVID

Données provenant de SI-DEP :

  • Les données d'identification de la personne ayant fait l'objet d'un examen de biologie médicale de dépistage du covid-19 : nom, prénom, sexe, date de naissance, lieu de naissance, numéro d'inscription au répertoire national d'identification des personnes physiques ou code d'admission au bénéfice de l'aide médicale d'Etat sous la mention immatriculation lorsque la personne en dispose d'un ;
  • Les informations portant sur la situation du patient nécessaires pour la réalisation des enquêtes sanitaires : professionnel du secteur sanitaire ou médico-social, résident dans un lieu d'hébergement collectif, patient hospitalisé dans un établissement de santé et, le cas échéant, date d'apparition des premiers symptômes ;
  • Les coordonnées du patient ou, à défaut, d'une personne de confiance : adresse postale, numéro de téléphone, adresse électronique ;
  • Les données d'identification et coordonnées des médecins : numéro RPPS, nom, prénom, adresse du lieu d'exercice et adresse de messagerie sécurisée ;
  • Les caractéristiques techniques du prélèvement : numéro de prélèvement, date et heure du prélèvement, lieu de prélèvement ;
  • Les informations relatives au résultat des analyses biologiques : identification et coordonnées du laboratoire, type d'analyse réalisée, date et heure de la validation de l'analyse, résultat de l'analyse, compte-rendu d'analyse.

Données provenant de CONTACT- COVID :

Pour le patient zéro (personne positive au COVID-19) :

  • Les données d'identification (noms, prénoms, date de naissance, sexe) de la personne et de ses éventuels représentants légaux et le numéro d'inscription au répertoire national d'identification des personnes physiques ou le code d'admission au bénéfice de l'aide médicale d'Etat sous la mention « immatriculation » lorsque la personne en dispose d'un ;
  • Les coordonnées de contact (adresse de résidence, le numéro de téléphone et l'adresse électronique) ;
  • La désignation de l'organisme d'affiliation assurant la prise en charge des frais de santé ;
  • Les coordonnées et la spécialité du médecin à l'origine de l'inscription dans le traitement de données ;
  • Les données permettant de déterminer que la personne est infectée (caractère positif du test, date de prélèvement ou, pour patient hospitalisé, l'existence de symptômes associés à un scanner ;
  • Le cas échéant, l'existence de symptômes et la date de leur apparition ;
  • Les données relatives à la situation de la personne au moment du dépistage (hospitalisé, à domicile ou déjà à l'isolement) ;
  • La déclaration d'un besoin d'accompagnement social et d'appui à l'isolement ;
  • La mention de la profession et du lieu d'exercice professionnel ;
  • Le cas échéant, les régions ou états, autres que ceux de résidence, dans lesquels la personne s'est rendue dans les quatorze derniers jours ;
  • Le cas échéant, la fréquentation, dans les quatorze derniers jours, des catégories d’établissements suivantes, ainsi que les coordonnées de l’établissement : Structure d’accueil du jeune enfant (Crèche, micro-crèche et MAM), milieu scolaire (y compris les établissements d’enseignement supérieur), établissements de santé, EHPAD, EMS de personnes  handicapées, établissements pénitentiaires, structures d’aide sociale à l’enfance, établissements sociaux d’hébergement et d’insertion et structures de soins résidentiels de personnes sans domicile fixe, structure d’hébergement collectif touristique ;
  • Le cas échéant, la participation, dans les quatorze derniers jours, à un rassemblement de plus de dix personnes (localisation et date) ;
  • La mention d'une identification dans le traitement comme ancien cas contact ;
  • Les données d'identification et les coordonnées des personnes évaluées comme contacts à risque de contamination (nom, prénom, sexe, date de naissance, numéro de téléphone, adresse électronique) ;
  • Le cas échéant, le consentement du patient zéro à la divulgation de son identité à chaque personne évaluée comme étant un contact à risque de contamination ;
  • Les dates et heures de création, modification, traitement de la fiche et des contacts ;

Pour chaque personne évaluée comme contact à risque de contamination :

  • Les données d'identification de la personne et de ses éventuels représentants légaux (noms, prénoms, date de naissance, sexe) et le numéro d'inscription au répertoire national d'identification des personnes physiques ou le code d'admission au bénéfice de l'aide médicale d'Etat sous la mention « immatriculation » lorsque la personne en dispose d'un ;
  • Les coordonnées (adresse de résidence, le numéro de téléphone et l'adresse électronique) ;
  • La désignation de l'organisme d'affiliation assurant la prise en charge des frais de santé ;
  • Les coordonnées du médecin traitant ou du médecin désigné par le patient pour assurer sa prise en charge ;
  • Les données permettant de déterminer que cette personne est infectée (caractère positif du test, date de prélèvement ou, pour patient hospitalisé, existence de symptômes associés à un scanner) ;
  • Le cas échéant, l'existence de symptômes et la date de leur apparition ;
  • Les données relatives à la situation de la personne au moment de la prise de contact (hospitalisé, à domicile ou déjà à l'isolement) ;
  • La déclaration d'un besoin d'accompagnement social et d'appui à l'isolement ;
  • La mention de la profession et du lieu d'exercice professionnel ;
  • Le cas échéant, les régions ou États, autres que ceux de résidence, dans lesquels la personne s'est rendue dans les quatorze derniers jours ;
  • Le cas échéant, la fréquentation, dans les quatorze derniers jours, des catégories d’établissements suivantes, ainsi que les coordonnées de l’établissement : Structure d’accueil du jeune enfant (Crèche, micro-crèche et MAM), milieu scolaire (y compris les établissements d’enseignement supérieur), établissements de santé, EHPAD, EMS de personnes handicapées, établissements pénitentiaires, structures d’aide sociale à l’enfance, établissements sociaux d’hébergement et d’insertion et structures de soins résidentiels de personnes sans domicile fixe, structure d’hébergement collectif touristique ;
  • Le cas échéant, la participation, dans les quatorze derniers jours, à un rassemblement de plus de dix personnes (date et localisation) ;
  • La confirmation du niveau de risque à la suite de sa réévaluation lors de l'entretien réalisé avec cette personne lors de l'enquête sanitaire ;
  • La connaissance éventuelle par cette personne du patient zéro, lorsque ce dernier a consenti à la divulgation à cette personne de son identité ;
  • L'information relative à une éventuelle cohabitation avec le patient zéro ;
  • La date du dernier contact avec le patient zéro ;
  • Les dates de prélèvement et les résultats des tests ;
  • La déclaration d'un besoin d'un prélèvement à domicile ;
  • Les dates de création, modification et traitement de la fiche et des contacts.

Ces données ne peuvent être communiquées qu’aux destinataires suivants :

  • Les agents habilités de l’ARS ;
  • Les agents habilités de la Cellule Régionale Occitanie de l’Agence nationale de santé publique/Santé publique France.

Ces données (non pseudonymisées) sont conservées pendant une durée maximale de trois mois à compter de leur collecte. Mais elles ne peuvent être conservées au-delà du 31 décembre 2021.

Les données pseudonymisées ne peuvent être conservées que jusqu’au 31 décembre 2021.

Les données sont dites pseudonymisées lorsqu’elles ne permettent plus d’identifier de manière directe les personnes. Ce sont des données ne comportant pas les informations suivantes : nom, prénoms, numéro d'inscription au répertoire national d'identification des personnes physiques, adresse et coordonnées de contact téléphonique et électronique.

 

Vos droits sur les données vous concernant

Conformément au RGPD et à la loi n° 78-du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (loi informatique et libertés) et dans les conditions prévues par ces mêmes textes, vous disposez d’un droit d’accès et de rectification des données vous concernant, ainsi que d’un droit à demander la limitation du traitement de vos données.

Vous pouvez également vous opposer, pour des raisons tenant à votre situation particulière, au traitement des données vous concernant.

Vous pouvez exercer ces droits, en vous adressant à la Déléguée à la Protection des Données de l’ARS Occitanie, à l’adresse suivante :

Par courriel à l’adresse : ARS-OC-DPO@ars.sante.fr

Ou

Par voie postale :
Agence Régionale de Santé Occitanie
Déléguée à la Protection des Données
26-28 Parc club du Millénaire
1 025, rue Henri Becquerel
CS 30001
34067 MONTPELLIER Cedex 2

Vous disposez, par ailleurs, d’un droit d'introduire une réclamation auprès d'une autorité de contrôle, en particulier auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), si vous considérez que le traitement de données à caractère personnel vous concernant constitue une violation du Règlement Général sur la Protection des Données et de la Loi Informatique et Libertés.

Aller plus loin

Sur le même sujet