Pour faire face à la pandémie, les chercheurs ont développé des vaccins nommés Pfizer et BioNTech qui ont permis de mettre en place une politique vaccinale dans tous les pays destinataires. Après Pfizer et BioNTech, d’autres pays ont développé des vaccins venant s’ajouter aux deux premiers. Il s’agit des vaccins Spoutnik V et AstraZeneca.

Ainsi, pour organiser au mieux la campagne de vaccination, le gouvernement vient de créer un fichier d’information : « SI Vaccin Covid », pour « Système d’information du Vaccin Covid » regroupant les données des personnes vaccinées contre le Covid-19. Cette base de données – à l’initiative du ministère des Solidarités et de la Santé et cogérée par la Direction générale de la santé et par l’Assurance maladie – est entrée en vigueur le 4 janvier 2021.

C’est ce fichier qui a réveillé des inquiétudes et remis sur la table des sujets sensibles, comme la liberté de se faire vacciner et l’exploitation des données personnelles par les autorités publiques.

Comme en France et de nombreux autres pays de l’Union européenne, le vaccin ne sera pas obligatoire de l’autre côté des Pyrénées. Mais, les autorités vont donc donner naissance à ce qu’elles décrivent comme un "registre" contenant les noms des "personnes auxquelles on l’aura proposé et qui l’auront tout simplement refusé". Elles soulignent ensuite qu’il "sera partagé avec d’autres pays européens", mais qu’il ne sera toutefois pas rendu public, insistant sur "le plus grand respect pour la protection des données".

Cela nous amène à nous interroger : la création des fichiers des personnes vaccinées et non vaccinées est-elle juridiquement valable ?

Si en France l’autorisation de la création d’un fichier des personnes vaccinées a été donnée par la CNIL (I) telle n’est pas le cas pour le fichier des personnes ne souhaitant pas se faire vacciner (II).

 

I. La création des fichiers sur les personnes vaccinées : les recommandations de la CNIL

En France, la mise en place de ce système a été validée par la CNIL après avoir donné son avis, la commission nationale informatique et libertés, qui rappelle que "ces données sont protégées par le secret médical et ne doivent être traitées que par des personnes soumises au secret professionnel."

 

A)   Sur les finalités et l’intérêt du système d’information

Le projet de décret a prévu plusieurs finalités visant principalement à organiser la vaccination des personnes, le suivi et l’approvisionnement en vaccins et consommables, la production d’informations à destination des personnes vaccinées, la mise à disposition de données relatives à la vaccination à des fins de calcul d’indicateurs et de recherche, un suivi de pharmacovigilance ainsi que la prise en charge financière des actes liés à la vaccination.

La Commission a pris acte de l’engagement du ministère de préciser les notions d’identification et d’orientation vers un parcours de soins adapté dans le projet de décret, le ministère ayant indiqué que ces mentions renvoyaient spécifiquement à l’orientation de personnes souffrant d’effets indésirables suite à la vaccination. Sous cette réserve, les finalités sont apparues déterminées, explicitées et légitimes, conformément à l’article 5 du RGPD.

La Commission a pris par ailleurs acte que ce traitement n’a pas vocation à être étendu à d’autres vaccinations que celle contre le coronavirus SARS-CoV-2.

La Commission a constaté que ce traitement sera alimenté, au fur et à mesure de l’extension de l’éligibilité à la vaccination, par des versements successifs de données issues des bases des régimes d’assurance maladie obligatoire et complétée par des professionnels de santé. Elle a observé qu’à terme, lorsque la campagne vaccinale sera étendue à l’ensemble de la population adulte telle qu’envisagée par le ministère, le SI « Vaccin Covid » comportera les données de santé d’une majeure partie de la population française.

 

B)   Sur les destinataires des données et les accédants

Le projet de décret a autorisé de nombreux acteurs à être destinataires des données à caractère personnel contenues dans le SI « Vaccin Covid ».

La Commission a estimé nécessaire de rappeler :

Que les données traitées dans le cadre du SI « Vaccin Covid » sont protégées par le secret médical, tel que prévu à l’article L. 1110-4 du code de la santé publique ;

Qu’aux termes de l’article 35 (4°) de la loi n° 78-17 du 6 janvier 1978 modifiée, l’acte autorisant un traitement en application des dispositions de l’article 31 doit préciser les destinataires ou catégories de destinataires habilités à recevoir communication des données.

À cet égard, la Commission a rappelé que seules les personnes habilitées et soumises au secret professionnel doivent pouvoir accéder aux données du SI « Vaccin Covid », dans les strictes limites de leur besoin d’en connaître pour l’exercice de leurs missions.

Il appartient donc au responsable de traitement de définir pour chaque destinataire des profils fonctionnels strictement limités aux besoins d’en connaître pour l’exercice des missions des personnes habilitées. À cet égard, elle a précisé que des mesures devront être mises en place dès que possible afin que les personnes habilitées ne puissent accéder aux différentes données relatives aux personnes concernées que lorsqu’elles en ont effectivement besoin.

Bien que l’article 35 de la loi informatique et liberté n’exige pas un tel niveau de précision, la Commission estime que le ministère devrait mentionner la liste des traitements et des systèmes d’information dans lesquels les données du SI « Vaccin Covid » seront appelées à figurer, les catégories de données transmises pour chacun de ces traitements ou systèmes, ainsi que les organismes responsables de ces traitements. Dans l’hypothèse où il n’entendrait pas compléter le décret sur ce point, la Commission a invité le ministère à diffuser ces informations, par exemple en les rendant publiques sur son site web.

Dans un objectif de transparence vis-à-vis des personnes concernées, la Commission demande que le principe du recours à des sous-traitants soit mentionné dans le décret et dans l’hypothèse où il n’entendrait pas compléter le décret sur ce point, la Commission invite le ministère à diffuser cette information, ainsi que la liste des sous-traitants, par exemple en les rendant publiques sur le son site web. Elle rappelle par ailleurs que le recours à des sous-traitants devra respecter les dispositions de l’article 28 du RGPD et que des conventions devront être conclues avant toute mise en œuvre du traitement. Elle relève que ces conventions devront notamment prévoir la possibilité de réaliser des audits pour s’assurer de la conformité du traitement mis en œuvre, et que de tels audits devraient être réalisés afin de vérifier l’application effective des obligations prévues dans les conventions. La Commission demande que de tels audits soient réalisés régulièrement.

 

C)   Sur la transmission de données pseudonymisées

La Commission relève que la liste des données pseudonymisées transmises à chaque organisme n’est pas détaillée dans le projet de décret. Elle a rappelé que, conformément au principe de minimisation, prévu à l’article 5 du RGPD, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées pourront être transmises aux destinataires identifiés dans le projet de décret. À des fins de transparence, elle invite le ministère à préciser dans le décret la liste des données pouvant être transmises dans ce cadre.

L’article 3 du projet de décret prévoit que la plateforme des données de santé (PDS) et la CNAM sont destinataires des données pseudonymisées aux fins de « faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus », finalités qui ne figurent pas expressément à l’article 1er du projet de décret. La Commission relève que ces finalités sont celles mentionnées à l’article 30-I de l’arrêté du 10 juillet 2020.

 

D)   Sur la limitation des droits d’opposition et à l’effacement des personnes concernées

La Commission a relevé que le projet de décret écarte la possibilité pour les personnes concernées d’exercer leur droit à l’effacement et leur droit d’opposition pour des motifs d’intérêt public.

La Commission s’est félicitée de l’engagement du ministère de permettre aux personnes concernées d’exercer leur droit d’opposition sans limitation jusqu’à l’expression de leur consentement à l’acte vaccinal. La Commission a considéré donc que le droit à l’effacement pourra également être exercé.

Le ministère a également précisé que les personnes concernées ne pourront plus exercer leur droit d’opposition après l’expression de leur consentement à l’acte vaccinal. La Commission considère que cette limitation vise à garantir un objectif important d’intérêt public au vu des finalités poursuivies par le traitement, notamment dans le cadre de la pharmacovigilance.

Néanmoins, s’agissant du droit d’opposition, l’article 4 du projet de décret prévoit que les personnes concernées pourront l’exercer pour « la transmission des données à des fins de recherche » à la PDS et la CNAM. La Commission a compris qu’il est ici fait référence à l’amélioration des connaissances sur le virus et que le droit d’opposition pourra s’exercer sans limitation dans cette hypothèse, même après l’expression du consentement à l’acte vaccinal.

Elle en déduit par ailleurs que les personnes concernées ne pourront donc s’opposer à la transmission des données « pour les besoins de la gestion de l’urgence sanitaire » mentionnés à l’article 3-II (4°) du projet de décret.

 

E)   Sur les données traitées dans le cadre du SI « Vaccin Covid » et Sur les mesures de sécurité

La Commission a invité le ministère à préciser dans le décret que le numéro d’inscription au répertoire national d’identification des personnes physiques est traité en tant qu’identifiant national de santé.

La Commission a relevé en outre que les lieux de vaccination seront identifiés et localisés dans le SI « Vaccin Covid ». Ces données pouvant révéler des informations sensibles concernant la personne, telles qu’une vaccination dans un lieu de privation de liberté, des mesures de confidentialité adaptées devront être prévues.

La Commission a souligné qu’en raison du contexte d’urgence le ministère n’a pas été en mesure de lui transmettre les informations techniques nécessaires concernant la mise en œuvre du traitement. Elle n’a donc pas été en mesure de vérifier la conformité du traitement au RGPD avant que celui-ci soit déployé.

La Commission a rappelé que la réalisation d’une analyse d’impact relative à la protection des données, qui ne lui a pas été fournie, doit être effectuée avant la mise en œuvre du traitement.

 

II. La création des fichiers des personnes non vaccinées : une violation des données des personnes concernées ?

A)   Une mesure très contestable au regard du RGPD

Si en France, le décret de création d’un fichier des personnes vaccinées a été validé par la CNIL après avis, certains pays tels que l’Espagne ont trouvé juste selon eux de créer un fichier des personnes ne souhaitant pas se faire vacciner. Cette décision semble très contestable au regard du RGPD.

En effet, le RGPD définit en son article 4.1 les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Par ailleurs, l’article 4.15 définit les « données concernant la santé » comme les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

Partant de ce principe, le règlement exige d’obtenir le consentement préalable des personnes concernées pour leur traitement. Le règlement définit le consentement de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Selon le gouvernement espagnol, "L’enregistrement du rejet de la vaccination peut être intéressant pour nous aider à analyser les raisons pour lesquelles il est rejeté et à insister sur des campagnes d’information et de sensibilisation pour insister sur l’importance des vaccins". Mais cela ne répond pas à la question de comment sera recueillit le consentement des personnes concernées ne souhaitant pas se faire vacciner pour que leurs données soient enregistrées. En s’obstinant, ces pays, dont l’Espagne, violeraient le principe fondamental du respect des données à caractère personnel.

Il faut rappeler que dans le considérant 1 du RGPD, le parlement européen élève la protection des personnes physiques à l’égard du traitement des données à caractère personnel comme un droit fondamental.

Ainsi, les autorités espagnoles et ces pays européens pros fichier des personnes ne souhaitant pas se faire vacciner devront prendre toutes les mesures tendant au respect des données à caractère personnel des personnes physiques et de leur droit à donner ou non leur consentement. Dans tous les cas, c’est un nid à contentieux qui s’ouvrira si cette mesure est mise en place.

 

B)   La création d’un fichier des personnes non vaccinées : vers un passeport vert ?

Et si ce fichier des personnes ne souhaitant pas se faire vacciner était l’ouverture de ce qu’on appelle le passeport vert ? En effet, ce mécanisme est de plus en plus réfléchi par les différentes autorités de ce monde. Il aura pour objectif de permettre aux seules personnes vaccinées d’avoir accès aux différentes frontières mieux à certains endroits tels que les cinémas, les restaurants, les endroits skiables, les bars, etc.

Le sous-entendu de cette mesure est tout d’abord de rendre le vaccin obligatoire alors que les États s’étaient engagés à ne pas le rendre obligatoire. Ensuite, il s’agit de créer des frustrations au sein de la société, car, certains auront le droit d’accéder dans des lieux par exemple de divertissement pendant que d’autres n’auront pas ce droit parce qu’ils auraient refusé l’injection.

De nombreux concitoyens s’inquiètent d’une possible mise en place d’un « passeport vert » ou « passeport vaccinal ». C’est ainsi que dans question écrite n° 35865, 26/01/202 au ministre de la Santé et des Solidarités, le député du département de la Loire Dino Cinieri a souhaité avoir confirmation que le Gouvernement n’envisage pas la modification par ordonnance de l’article L. 1111-4 du code de la Santé publique qui dispose qu’« aucun acte médical ni aucun traitement ne peut être pratiqué sans le consentement libre et éclairé de la personne et ce consentement peut être retiré à tout moment » et que par ailleurs aucune forme de discrimination ne sera imposée aux personnes qui refuseront de se faire vacciner contre la covid-19.

Les autorités seraient donc invitées à plus de clarté sur cette question afin de ne pas encore réveiller une ébullition sociale qui n’est pas encore cicatrisée depuis l’avènement des gilets jaunes et qui bouillonne au fur et à mesure que le virus perdure entraînant encore plus de mesures très restrictives des libertés fondamentales. 

Il convient de noter que le Conseil d’Europe a voté une résolution le 27 janvier 2021, qui indique que le vaccin ne doit pas être obligatoire.