Coronavirus : que prévoit l’arrêté royal « tracing »?

Le 4 mai dernier a été publié au Moniteur Belge un arrêté royal de pouvoirs spéciaux n° 18 portant sur la création auprès de Sciensano d’une banque de données centralisée dans le cadre de la lutte contre la propagation du coronavirus COVID-19. Nous vous proposons de parcourir ce texte qui est au croisement entre santé publique et protection de la vie privée.

untitled

Dans le cadre de la crise de santé publique en Belgique causée par COVID-19, l'Institut belge de santé publique Sciensano s'est vu confier la mission, en tant que responsable du traitement, de recueillir des données de santé des patients auprès de divers prestataires de soins ou organisations de santé ou de soins, dans le cadre de ses activités de surveillance prévues par la loi, et de les traiter dans une banque de données. À cet égard, il peut être songé à des données de tests, prescriptions et diagnostics présumés, respectivement auprès de laboratoires, médecins, MCC (médecins coordinateurs et conseillers) dans les maisons de repos, centres d'asile et prisons et postes de triage d'une part et les données des patients hospitalisés avec un diagnostic confirmé du coronavirus auprès des hôpitaux d'autre part. Par ailleurs, des données à caractère personnel relatives aux personnes avec lesquelles le patient est entré en contact sont également enregistrées. Le traitement des données à caractère personnel des personnes pour lesquelles le médecin a une forte présomption d'infection est également très important étant donné que ces personnes doivent aussi pouvoir être contactées pour leur demander avec qui elles ont été en contact.

Tout d’abord, il convient de souligner que cet arrêté tient compte des observations formulées par l'Autorité de protection des données (avis n° 36/2020 du 29 avril 2020). Par ailleurs, les concepts et les données à caractère personnel dans la banque de données mentionnés dans l’arrêté ont été recommandés par le COVID-19 Risk Management Group (composé d’experts de Sciensano et des autorités de santé).

 

Qui gère quelles données ?

L’article 1er de l’arrêté prévoit que Sciensano est le responsable du traitement pour cette banque de données centralisée (donc assume la responsabilité du respect de la protection des données à caractère personnel au sens du RGPD).

L’article 2 de l’arrêté prévoit que la banque de données gérée par Sciensano contient des données à caractère personnel que les médecins, les hôpitaux, les laboratoires et le centre de contact (chargé de contacter par téléphone les personnes) communiquent à Sciensano. Le même article énumère les données à caractère personnel que la banque de données contient selon le profil des personnes.

 

1. Pour les personnes pour lesquelles le médecin présume une infection ou pour lesquelles un test médical a été prescrit ou qui ont subi un test dans le cadre de la lutte contre la propagation du coronavirus COVID-19, il s’agit des données suivantes :

    • le numéro de registre national (ou équivalent pour les personnes qui n’y sont pas enregistrées) ;
    • le nom et le prénom ;
    • le sexe ;
    • la date de naissance et, le cas échéant, la date de décès ;
    • l'adresse ;
    • le type, la date, le numéro de l'échantillon et le résultat du test ou le diagnostic présumé en l'absence de test ;
    • le numéro INAMI du prescripteur du test ;
    • les informations de contact (numéros de téléphone) de l'intéressé et de la personne à contacter en cas d'urgence ;
    • la collectivité dont la personne fait partie ;
    • l'exercice ou pas de la profession de prestataire de soins.

 

2. Pour les patients hospitalisés avec un diagnostic confirmé du coronavirus COVID-19, il s’agit des données suivantes :

    • le numéro de registre national (ou équivalent pour les personnes qui n’y sont pas enregistrées) ;
    • le sexe ;
    • l'adresse ;
    • le type, la date, le numéro de l'échantillon, le résultat du test ou le diagnostic présumé en l'absence de test ;
    • le service hospitalier, le numéro d'identification et les données de localisation de l'hôpital ;
    • la collectivité dont la personne fait partie ;
    • le résultat du CT scan ;
    • les informations de contact de l'intéressé (numéros de téléphone) et de la personne à contacter en cas d'urgence ;
    • l'exercice ou pas de la profession de prestataire de soins.

 

3. Pour les personnes, visées aus deux points précédents, avec lesquelles le patient est entré en contact, qui sont communiquées par le centre de contact, il s’agit des données suivantes :

    • le numéro de registre national (ou équivalent pour les personnes qui n’y sont pas enregistrées) ;
    • le nom et le prénom ;
    • le sexe ;
    • le cas échéant, la date de décès ;
    • l'adresse ;
    • le numéro de téléphone ;
    • risque élévé / faible ;
    • le lien entre le patient et les personnes avec lesquelles il a été en contact. Cette dernière donnée est effacée 21 jours après l'enregistrement dans la banque de données.

 

Pour quoi faire ?

L’article 3 de l’arrêté prévoit que le traitement de ces données à caractère personnel dans la banque de données poursuit les finalités suivantes :

    • rechercher et contacter les personnes visées aux points 1 à 3 par le biais d’un centre de contact dans le cadre de la lutte contre la propagation du coronavirus COVID-19 ;
    • réaliser des études scientifiques, statistiques et/ou d'appui à la politique, après pseudonymisation, par des épidémiologistes associés au COVID-19 Risk Assessment Group ou pour des épidémiologistes accrédités par le comité de sécurité de l'information;
    • communiquer des données aux services d'inspection de la santé des régions, dans le cadre d'initiatives visant à combattre la propagation des effets nocifs causés par les maladies infectieuses.

Le centre de contact utilise les données à caractère personnel de la banque de données pour contacter les personnes chez qui le médecin présume une infection et les personnes dont le test médical était positif et pour retrouver l'identité des personnes avec lesquelles elles ont été en contact. Sur la base des informations que les personnes contactées communiquent, le centre de contact leur fournir des recommandations adéquates par la voie électronique.

Remarque : le Vlaams Agentschap Zorg en Gezondheid, l'Agence wallonne pour une Vie de Qualité, le Ministère de la Communauté Germanophone et la Commission communautaire commune sont, chacun dans son propre domaine de compétence, les responsables du traitement pour les traitements de données à caractère personnel par le centre de contact.

 

Garde-fou supplémentaire : Comité de sécurité de l’information

L’article 4 de l’arrêté prévoit que la communication de données à caractère personnel à Sciensano en vue du traitement dans la banque de données s'effectue toujours après délibération de la chambre sécurité sociale et santé du Comité de sécurité de l'information institué conformément au RGPD.

Ce Comité détermine quels types de données à caractère personnel il communique à Sciensano pour traitement dans la banque de données et il détermine aussi quels types de donnés à caractère personnel il peut recevoir de Sciensano en provenance de la banque de données pour la réalisation des finalités citées plus haut.

Dans le cadre de son examen, le Comité détermine au moins les éléments suivants :

    • la finalité exacte du traitement ;
    • l'identité du responsable du traitement ;
    • les catégories de données à caractère personnel traitées dans la mesure où celles-ci sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité pour laquelle elles sont traitées ;
    • les catégories de personnes concernant lesquelles des données à caractère personnel sont traitées ;
    • la durée de conservation des données à caractère personnel ;
    • les mesures visant à garantir un traitement licite et loyal des données à caractère personnel ;
    • la façon selon laquelle les personnes dont les données à caractère personnel sont traitées sont informées de ce traitement.

Toutes les personnes qui ont accès à la banque de données prennent les mesures utiles pour garantir que les données à caractère personnel enregistrées soient traitées de manière confidentielle et uniquement pour les finalités mentionnées plus haut. Cet accès vaut uniquement pour les utilisateurs individuels habilités à exercer le droit d'accès, sous la responsabilité exclusive des instances concernées. Par ailleurs, conformément au RGPD, Sciensano désigne un délégué à la protection des données chargé de veiller au respect par Sciensano des règles et principes contenus dans le RGPD.

 

Délai de conservation

L’article 5 de l’arrêté prévoit que les données à caractère personnel reçues sont effacées par le responsable du traitement avant le 9 juin 2020. Une nuance : dans la mesure où Sciensano communique les données à caractère personnel aux épidémiologistes associés au COVID-19 Risk Assessment Group ou aux épidémiologistes accrédités par le Comité de sécurité de l'information des fins de recherche scientifique, statistique et/ou d'appui à la politique, et ce toujours après pseudonymisation, le délai de conservation est déterminé par le Comité de sécurité de l'information.

 

Entrée en vigueur et suites

L’article 6 de l’arrêté prévoit qu’il entre en vigueur le 4 mai et cesse ses effets le 4 juin 2020. Ce court délai s’explique par le fait qu’il est délicat de régler une matière aussi sensible par arrêté de pouvoirs spéciaux. D’ici-là, une proposition de loi est donc attendue.

Enfin, il faut rappeler que cet arrêté vise uniquement le traçage « manuel » (dont il faut avoir à l’esprit que l’implémentation pratique revient aux Régions). En complément, la commission Économie de la Chambre a approuvé hier une proposition de résolution qui encadre l'usage éventuel d'une application pour smartphone permettant de tracer les contacts d'une personne contaminée par le COVID-19 et qui devrait arriver en séance plénière la semaine prochaine. Une proposition de loi devrait être déposée sous peu afin de concrétiser les balises posées par ce texte. Affaire à suivre.

 

Retour vers la fiche thématique