Par Margo Bernelin (Chargée de recherche, UMR 6297 Droit et changement social CNRS/Université de Nantes)
Alors qu’en ce premier trimestre 2021 l’on redoute les effets des variants du virus SARS-Cov-2 et que la campagne de vaccination a débuté laborieusement en France, le numérique et l’usage des données personnelles demeurent des outils centraux à la gestion de la crise sanitaire. En effet, collecter et analyser les données identifiantes doivent permettre de mieux cerner le risque épidémique lié au virus, d’organiser la prise en charge des patients, de mesurer et d’anticiper la propagation du virus, de tenter de l’endiguer et d’informer la population. Pour ce faire, c’est une masse de données qui est collectée, qu’il s’agisse des résultats de diagnostics, des données liées aux consultations en ville mais aussi à l’hôpital, des données sur les décès ou encore des données concernant les cas contacts. Toutefois, il semble complexe pour le citoyen de prendre la mesure des différentes collectes de données en lien avec le virus ainsi que des droits qui leur sont reconnus. Le Webinaire DataSanté organisé le 14 décembre 2020, a été l’occasion de revenir sur ce constat en présentant les différentes étapes de collecte des données personnelles en lien avec le virus.
La collecte des données personnelles, et en particulier des données de santé (c’est-à-dire les données qui révèlent l’état de santé physique ou mental, passé présent ou futur d’une personne) débute avec la réalisation d’un test de dépistage au virus. Ce test emporte la collecte de données personnelles (noms, prénoms, date de naissance, emploi exercé, adresse, mode d’hébergement, etc.) lesquelles sont rassemblées au sein d’un système d’information dénommé « système d’information national de dépistage » (SI-DEP ; article 11 loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire ; décret n° 2020-551 du 12 mai 2020). Les données collectées doivent permettre la prise en charge du patient si le test s’avère positif. Ces données sont versées, sauf opposition de la personne, à la Plateforme nationale des données de santé et à la Caisse Nationale d’Assurance Maladie à des fins d’enquête et de recherche scientifique. L’individu testé ne pourra, en revanche, pas s’opposer à la collecte de ses données dans le SI-DEP ni en exiger l’effacement en raison de l’urgence sanitaire de la situation.
La collecte des données au sein du SI-DEP, n’est qu’une première étape. En effet, si le test de dépistage s’avère positif un autre système d’information sera renseigné : le SI « Contact Covid ». Dans cette perspective, le patient dépisté est invité à indiquer ses derniers déplacements et à nommer les personnes qu’il/elle a pu croiser. Le cas échéant, il indique les numéros de téléphone ou tout autre moyen permettant de contacter ces personnes. Les données permettent de prendre en charge les personnes potentiellement infectées et contribuent aussi à suivre la propagation du virus. Les cas contacts peuvent demander l’effacement des données collectées auprès du patient 0 mais ils ne pourront en demander de même pour les données qu’ils auront eux-mêmes fournies sur leur situation. De manière analogue au SI-Dep, ces données seront accessibles pour la recherche scientifique sauf opposition de la personne.
La centralisation des données pour la recherche constitue une troisième étape dans le traitement des données personnelles. Dans cette perspective, la Caisse Nationale d’Assurance Maladie et la Plateforme nationale des données de santé (Health data hub) sont autorisées à recevoir des données diverses à l’image des données des deux SI décrits mais aussi des données relatives aux soins des patients, aux prescriptions médicamenteuses, aux appels d’urgence, des données d’imagerie etc. Les données directement identifiantes ne sont pas accessibles et seul des projets d’intérêt public en lien avec l’épidémie peuvent être conduits.
À ces collectes de données centralisées au niveau national s’ajoute, depuis le 25 décembre dernier, une nouvelle étape : le système d’information : « Vaccin Covid » (Décret n° 2020-1690 du 25 décembre 2020). Les données collectées au sein de ce SI visent à identifier les personnes invitées à se faire vacciner ou celles qui ont déjà reçu le vaccin. Ainsi, les noms, prénoms, sexe, dates de naissance, lieux de naissance, numéros d’inscription au répertoire national d’identification des personnes physiques, coordonnées sont recueillis tout comme les références aux bons de vaccinations. Afin de suivre les stocks de vaccins, des données sur la réalisation de l’injection sont collectées tout comme les données médicales ayant justifié l’éligibilité au vaccin. De nouveau, les personnes vaccinées ne peuvent s’opposer à ce traitement des données, ni demander l’effacement de ces dernières.
Ces différents dispositifs créent un maillage numérique sans précédent et attestent de la place centrale reconnue à la collecte de données personnelles dans la gestion de la crise actuelle. Ce « tout numérique » conduit à éclipser le fait que ces outils ne sont performants que s’ils sont accompagnés de moyens humains pour renseigner les différents systèmes d’information, analyser les données et contacter les malades. Pourtant, et alors même que ces dispositifs n’ont pas fait l’objet d’une évaluation, leur utilité semble d’ores et déjà attestée comme en témoigne leur potentielle pérennisation au sein du code de la santé publique. En effet, un projet de loi présenté à l’Assemblée nationale en décembre dernier (projet n°3714) prévoit qu’en cas d’urgence sanitaire, un système d’information soit créé à des fins de gestion de crise et recherche scientifique (le SI « suivi des victimes de situations sanitaires exceptionnelles »). La dynamique en faveur du numérique n’est donc pas prête de s’inverser.
Texte issu d’un webinaire ayant eu lieu le 14/12/2020 (voir plus d’informations).