Suivi des patients et contacts COVID-19 : traitement et protection des données

Article
Dans le cadre de la lutte contre l’épidémie de coronavirus, des traitements de données à caractère personnel ont été mis en place pour le suivi des personnes testées positives et de leurs contacts. Nous rappelons également que les informations données par les personnes contactées aux agents de l’ARS sont soumises au secret professionnel ou médical, selon le statut de l’agent en question.
Corps de texte

Afin de limiter la propagation de l’épidémie de coronavirus, l’article 11 de la loi n°2020-546 du

11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions a créé le traitement de données « Contact Covid » dont le contenu et les finalités ont été exposées dans le décret n°2020-551 du 12 mai 2020 : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000041869923#LEGISCTA000041871160

Les personnes testées positives au Covid-19 et leurs contacts à risque sont invitées à respecter un isolement / quatorzaine, préférentiellement au domicile, afin de casser les chaînes de transmission. Dans ce cadre, l’Agence régionale de santé (ARS) Normandie doit assurer un suivi actif et régulier de ces personnes.

Ce suivi a 3 finalités :

-s’assurer pour les patients Covid + et leurs contacts du respect de la quatorzaine et des règles d’auto-surveillance et de protection (gestes barrières) ;

-rappeler les enjeux sanitaires : dépistage à réaliser, appel au médecin traitant en cas de symptômes (fièvre / toux) ;

-vérifier si, pour faciliter le respect de la quatorzaine ou de l’isolement, un appui au domicile ou un hébergement dans un lieu dédié, est nécessaire

 

Ce suivi prend la forme d’un appel téléphonique et/ou du remplissage par les personnes d’un questionnaire en ligne. C’est dans ce cadre que vous avez été contacté.

Pour faciliter ce suivi, l’ARS utilise un outil de télé-suivi alimenté par les données issues deContact Covid. Ce traitement de données à caractère personnel automatisé répond à une obligation légale en application des dispositions inscrites à l’article 6-1.c) du Règlement général sur la protection des données (RGPD) du 27 avril 2016] complété par l’article L. 1435-6 du code de la santé publique.

Les données collectées sont les suivantes :

  • Identification unique du patient, 
  • Nom patronymique / Nom d’usage,
  • Prénom ;
  • Sexe,
  • Date de naissance /âge
  • Liens familiaux ou de rattachement au cas positif Covid
  • Téléphone ;
  • Adresse mel ;
  • Département de résidence ;
  • Région de résidence ;
  • Situation du patient : positif ou négatif au Covid, en cours de test ou contact à risque d'un patient positif, en cours d’hospitalisation, symptomatique ou asymptomatique, décédé.
  • Accompagnement social le cas échéant,
  • La profession le cas échéant.

Les données seront conservées au plus tard jusqu’à la fin des investigations nécessaires à la maitrise des risques épidémiques et feront l’objet d’une anonymisation ou suppression dans un délai maximal de trois mois après la fin de ces investigations.

Les données ne pourront être communiquées qu’aux destinataires suivants : agents habilités de l’ARS.

Conformément au RGPD et à la loi n° 78-du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et dans les conditions prévues par ces mêmes textes, vous disposez d’un droit d’accès et de rectification des données vous concernant. Vous pouvez également demander la limitation du traitement de vos données.

Vous pouvez exercer ces droits, en vous adressant au Responsable de traitement ou au délégué à la protection des données de l’ARS Normandie. Les Coordonnées du délégué à la protection des données de l’ARS : [email protected]

Vous disposez enfin d’un droit d'introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés, si vous considérez que le traitement de données à caractère personnel vous concernant constitue une violation du RGPD et de la loi informatique et libertés.

Pour plus d’information, vous pouvez vous connecter sur https://www.cnil.fr/

L’ARS de Normandie procède à un traitement de données personnelles pour permettre l’établissement, la délivrance et la communication à l’assurance maladie des avis d’interruption de travail aux assurés Contact Covid 19 faisant l'objet d'une mesure d'isolement, d'éviction suite à l’apparition du coronavirus et la communication. Ce traitement est nécessaire au respect d'une obligation légale à laquelle l’ARS Normandie, en tant que responsable du traitement, est soumise [article 6-1.c) du Règlement général sur la protection des données (RGPD) du 27 avril 2016] conformément aux dispositions du décret n° 2020-73 du 31 janvier 2020 portant adoption de conditions adaptées pour le bénéfice des prestations en espèces pour les personnes exposées au coronavirus.

Les données personnelles vous concernant seront conservées pendant 2 ans et 3 mois, sous réserve d’avis sollicités près des archives départementales, après établissement de l’arrêt de travail et ne pourront être communiquées qu’aux destinataires suivants : agents habilités de l’ARS, de l’assurance maladie et du ministère chargé de la santé.

Conformément au RGPD et à la loi n° 78-du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et dans les conditions prévues par ces mêmes textes, vous disposez d’un droit d’accès, de rectification, d’opposition, de limitation des données vous concernant. Vous pouvez également demander la limitation du traitement de vos données.

Vous pouvez exercer ces droits, en vous adressant au délégué à la protection des données de l’ARS Normandie.

Vous disposez enfin d’un droit d'introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés, si vous considérez que le traitement de données à caractère personnel vous concernant constitue une violation du RGPD et de la loi informatique et libertés. Coordonnées du délégué à la protection des données de l’ARS : [email protected]

Afin de limiter la propagation de l’épidémie de « 2019-NcoV » sur le territoire, des mesures d’isolement, d’éviction ou de maintien à domicile peuvent être préconisées par les autorités pour les personnes ayant été en contact avec une personne infectée par le coronavirus 2019 n-CoV ou ayant séjourné dans une zone concernée par le foyer épidémique et dans des conditions d’exposition de nature à transmettre cette maladie. Aussi, l’ARS de Normandie a pu être amenée à recueillir des données à caractère personnelle d’usagers considérés comme cas probables, possibles, confirmés ou cas contacts selon la définition de Santé Publique France.

Ce traitement de données à caractère personnel automatisé répond à une obligation légale en application des dispositions inscrites à l’article 6-1.c) du Règlement général sur la protection des données (RGPD) du 27 avril 2016] complété par l’article L. 1435-6 du code de la santé publique.

Les données seront conservées au plus tard jusqu’à la fin des investigations nécessaires à la maitrise des risques épidémiques et feront l’objet d’une anonymisation ou suppression dans un délai maximal de trois mois après la fin de ces investigations.

Les données ne pourront être communiquées qu’aux destinataires suivants : agents habilités de l’ARS, à Santé Publique France et au Centre National de Référence des virus respiratoires (CNR).

Conformément au RGPD et à la loi n° 78-du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et dans les conditions prévues par ces mêmes textes, vous disposez d’un droit d’accès et de rectification des données vous concernant. Vous pouvez également demander la limitation du traitement de vos données.

Vous pouvez exercer ces droits, en vous adressant au délégué à la protection des données de l’ARS Normandie.

Vous disposez enfin d’un droit d'introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés, si vous considérez que le traitement de données à caractère personnel vous concernant constitue une violation du RGPD et de la loi informatique et libertés. Coordonnées du délégué à la protection des données de l’ARS : [email protected]

 

Afin de limiter la propagation de l’épidémie de « 2019-NcoV » sur le territoire, des mesures d’isolement, d’éviction ou de maintien à domicile peuvent être préconisées par les autorités pour les personnes ayant été en contact avec une personne infectée par le coronavirus 2019 n-CoV 

L’identification et la prise en charge des cas confirmés de COVID-19 et de leurs personnes contacts sont essentielles afin d’identifier et d’interrompre précocement les chaînes de transmission du virus, que dans le cadre de la levée du confinement strict, cette stratégie nécessite la mise en œuvre d’un dispositif de contact-tracing robuste permettant d’identifier rapidement le plus grand nombre possible de personnes nouvellement infectées. Il s’agit donc, en complément des mesures de distanciation sociale et physique qui doivent être strictement mises en œuvre et respectées, de poursuivre la lutte contre l’épidémie, d’éviter une reprise de la circulation virale à la hausse et de pouvoir diminuer la pression sur le système de santé, voire sa saturation. 

Le dispositif de prise en charge des cas de COVID-19 et de leurs contacts à risque repose sur une organisation à trois niveaux : 

- Niveau 1 : Les acteurs de la prise en charge de médecine de ville et des établissements de santé assurent la prise en charge des cas possibles de COVID-19, notamment des actes nécessaires à cette prise en charge (prescription d’un test RT-PCR et de masques chirurgicaux, encadrement de la mesure d’isolement dont arrêt de travail le cas échéant), l’identification a minima des personnes contacts du foyer du cas et la délivrance des conduites à tenir, 

- Niveau 2 : Les plateformes territoriales de l’Assurance Maladie sont en charge de : 

o finaliser l’identification des personnes contacts à risque d’un cas confirmé de COVID-19 ou probable TDM+ initiée par le niveau 1,

o rechercher des personnes contacts hors du foyer notamment, par interrogatoire du cas et confirmation par un appel téléphonique auprès des personnes concernées

o assurer la prise en charge des personnes contacts à risque identifiées, notamment des actes nécessaires à cette prise en charge

o assurent l’interface avec le niveau 3 du dispositif, pour les situations complexes (cas confirmés dans certaines collectivités, clusters…) ; 

- Niveau 3 : Les ARS, en lien avec Santé publique France en région : 

o identifient les chaines de transmission sur leur territoire et préviennent et détectent les clusters,

o assurent aussi, en lien avec le niveau 2, la gestion des situations complexes, notamment la survenue des cas dans certaines collectivités ,

o Le cas échéant, déploient des moyens d’investigation sur le terrain, organisent des campagnes de dépistage ciblées et proposent au Préfet de département des mesures de contrôle spécifiques. 

Pour ce troisième niveau, les Agences régionales de santé (ARS) mettent en œuvre des traitements de données à caractère personnel automatisé qui répond à une obligation légale en application des dispositions inscrites à l’article 6-1.c) du Règlement général sur la protection des données (RGPD) du 27 avril 2016] complété par l’article L. 1435-6 du code de la santé publique.

Les données collectées sont les suivantes : 

• Nom patronymique ;

• Prénom ;

• Sexe, 

• Date de naissance ;

• Type de contact (Précision) 

• Niveau de risque / cas possible (O/ N) / Prélèvement

• Coordonnées : 

o Téléphone ;

o Adresse mel ;

o Adresse domicile

• Profession

• Détails des entretiens (Date de l’échange, recommandations fournies O/N, arrêt de travail fait  O/N), 

• Contexte d’exposition (Lien avec le cas, contact type, date dernier contact)

• Prise en charge (Symptomatique O/N, Type de symptômes, date début des symptômes, Hospitalisation O/N, Hospitalisation lieu, Hospitalisation date, dépistage O/N, dépistage date, dépistage résultat)

Les données seront conservées au plus tard jusqu’à la fin des investigations nécessaires à la maitrise des risques épidémiques et feront l’objet d’une anonymisation ou suppression dans un délai maximal de trois mois après la fin de ces investigations. 

Les données ne pourront être communiquées qu’aux destinataires suivants : agents habilités de l’ARS, les caisses d’assurance maladie, Santé publique France, le CPIAS.

Conformément au RGPD et à la loi n° 78-du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et dans les conditions prévues par ces mêmes textes, vous disposez d’un droit d’accès et de rectification des données vous concernant. Vous pouvez également demander la limitation du traitement de vos données. 

Vous pouvez exercer ces droits, en vous adressant au Responsable de traitement ou au délégué à la protection des données de l’ARS Normandie. Les Coordonnées du délégué à la protection des données de l’ARS : [email protected]

Vous disposez enfin d’un droit d'introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés, si vous considérez que le traitement de données à caractère personnel vous concernant constitue une violation du RGPD et de la loi informatique et libertés.

Pour plus d’information, vous pouvez vous connecter sur les sites https://www.normandie.ars.sante.fr/ et https://www.cnil.fr/

La prévention d’une recrudescence de l’épidémie en phase de « déconfinement » impose la mise en œuvre d’un système d’information national de suivi du dépistage covid-19, dénommé « SIDEP », pour une durée maximale de six mois à compter de la fin de l’état d’urgence sanitaire.

  • Finalités et responsable de traitement :

SIDEP est un traitement de données à caractère personnel, placé sous la responsabilité de la Direction générale de la santé du ministère des Solidarités et de la Santé, qui a pour finalité de centraliser les données des patients ayant fait l’objet d’un test de dépistage du Covid-19 en vue de permettre :

1. La transmission des résultats d’analyse biologique au patient, au médecin traitant et/ou au médecin prescripteur identifiés lors du prélèvement, dans le cadre de la prise en charge du patient,
2. La transmission aux organismes en charge de la réalisation d’enquêtes sanitaires destinées à identifier les cas contacts pour limiter la propagation du virus (Santé publique France, agences régionales de santé, organismes d’assurance maladie) et de l’accompagnement des personnes infectées et de leurs cas contacts,
3. La mise à disposition de données pseudonymisées utiles à la surveillance épidémiologique (production de statistiques au niveau national ou régional permettant d’analyser l’évolution de l’épidémie et les besoins relatifs à l’organisation des soins),
4. La recherche sur le virus et les moyens de lutter contre sa propagation.

  • Base légale et caractère réglementaire du traitement :

Ce traitement s’inscrit dans le cadre de l’exécution des missions d’intérêt public (article 6.1.e) RGPD confiées à la Direction générale de la santé. Il bénéficie également d’un encadrement législatif et réglementaire (article 11 de la loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire – décret d’application pris après avis de la CNIL).

  • Catégories de données traitées

Les données traitées concernent toutes personnes majeures ou mineures faisant l’objet d’un dépistage Covid-19. Elles sont collectées auprès de ces personnes et auprès des laboratoires de biologie médicale procédant aux analyses.

Les catégories de données traitées sont les suivantes :

1. Données d’identification de la personne dépistée : numéro d’inscription au répertoire national d’identification des personnes physiques, nom, prénom, sexe, date de naissance, lieu de naissance ;

2. Situation du patient : professionnel du secteur sanitaire ou médico-social, résident dans un lieu d’hébergement collectif, patient hospitalisé dans un établissement de santé, date d’apparition des premiers symptômes, le cas échéant ;

3. Coordonnées de contact du patient ou, à défaut, d’une personne de confiance : adresse postale, numéro de téléphone, adresse électronique ;

4. Données d’identification et coordonnées des médecins responsables : numéro RPPS, nom, prénom, adresse du lieu d’exercice et adresse de messagerie sécurisée ;

5. Caractéristiques techniques du prélèvement : numéro de prélèvement, date et heure du prélèvement, lieu de prélèvement ;

6. Informations sur le résultat du test : identification et coordonnées du laboratoire, type d’analyse réalisée, date et heure de la validation de l’analyse, résultat de l’analyse, compte rendu d’analyse.

  • Durée de conservation des données

Les données seront conservées dans le système d’information pendant une durée maximale de trois mois à compter de leur collecte.

  • Destinataires des données

1. Santé publique France, les agences régionales de santé et les organismes d’assurance maladie sont destinataires des données traitées dans SIDEP qui leur sont nécessaires pour la réalisation des enquêtes sanitaires. Seules les personnes dûment habilitées, agissant sous leur responsabilité, peuvent avoir accès aux données.

2. Des données pseudonymisées sont transmises à :

  • Santé publique France et les agences régionales de santé, pour la production d’indicateurs pour leurs missions de surveillance épidémiologique,

    • la Direction de la recherche, des études, de l’évaluation et des statistiques du ministère chargé de la santé, pour sa mission d’analyse et de diffusion des informations statistiques dans les domaines de la santé,
    • La plateforme des données de santé (Health data Hub) et la Caisse nationale de l’assurance maladie, à des fins de recherche sur le virus et sur les moyens de lutter contre sa propagation.

Toutes les personnes qui accèdent à ces données sont soumises au secret professionnel, dont le non-respect est passible d’un an d’emprisonnement et de 15 000 € d’amende (article 226-13 du code pénal). Aucune autre communication de données ne sera effectuée.

  • Droits des personnes concernées sur leurs données :

En raison de motifs impérieux de santé publique qui s’attachent aux mesures de gestion prises pour lutter contre l’épidémies de covid-19, le traitement des données par SIDEP et les transmissions de données vers les destinataires prévus au 1° et au 2° du paragraphe précédent sont obligatoires. En application de l’article 23 du RGPD, les personnes concernées ne peuvent donc pas s’y opposer.

En revanche, les personnes concernées disposent :

  • d’un droit d’accès, de rectification et de limitation à SIDEP.

    • du droit de s’opposer à la réutilisation des données les concernant à des fins de recherche,

Pour exercer l’un de ces droits ou obtenir davantage d’information sur le traitement, les personnes peuvent s’adresser au ministère de la santé, en justifiant de leur identité, soit par voie électronique à l’adresse suivante [email protected], soit par courrier postal : Ministère des solidarités et de la santé – Référent en protection des données - Direction générale de la santé - 14, avenue Duquesne 75350 PARIS 07 SP.
Si une personne estime que ses droits ne sont pas respectés, elle peut déposer une réclamation auprès de la Commission nationales informatique et libertés (CNIL) : https://www.cnil.fr/fr/plaintes/ »

« Le système d’identification unique des victimes dénommé SI-VIC, a été créé par l’article L. 3131-9-1 du code de la santé publique.
Il a pour finalité l’aide au pilotage, l’établissement d’une liste unique de victimes en cas d’attentat, et l’information des familles et proches de victimes dans le cadre de situations sanitaires exceptionnelles.

Ce système d’information, lorsque mis en œuvre, permet aux autorités sanitaires d’effectuer un suivi global et individuel des personnes impliquées par l’évènement. Les informations qu’il contient sur les modalités des prises en charge sanitaire peuvent être utilisées si besoin pour informer les familles et les proches, ainsi que pour faciliter l’accompagnement dans d’éventuelles futures démarches.

Ces données, de type administratives et strictement non médicales, sont accessibles à l’ensemble des acteurs coordonnant la situation sanitaire exceptionnelle, selon leurs habilitations :

  •  les établissements de santé, les Cellules d’Urgence Médico-Psychologique et les SAMU accèdent uniquement aux données des personnes qu’ils prennent en charge ;
  •  les agences régionales de santé (ARS) accèdent aux données de l’ensemble des personnes prises en charge dans leur région ;
  •  la direction générale de la santé (DGS) accède aux données de l’ensemble des personnes prises en charge lors d’une situation sanitaire exceptionnelle sur le territoire français ;
  •  en cas d’activation : la cellule interministérielle d’aide aux victimes (CIAV) ou la cellule d’information du public (CIP) ont accès aux données.

Ces informations sont conservées selon l’article R. 3131-10-2 du code de la santé publique.

Conformément au Règlement général sur la protection des données – RGDP, et à la loi du 6 janvier 1978 modifiée relative aux fichiers, à l’informatique et aux libertés, si vous avez été enregistrés dans ce système d’information, vous pouvez, à tout moment, accéder aux informations vous concernant et faire rectifier les données inexactes.

Vous pouvez obtenir davantage d’information sur le traitement et exercer vos droits auprès de la direction générale de la santé au ministère chargé de la santé, responsable du traitement, en écrivant à l’adresse suivante : [email protected]

Vous disposez d’un droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL), si vous considérez que le traitement n’est pas conforme à la réglementation sur la protection des données. »

Contact Covid est l’outil mis à la disposition des professionnels de santé et structures assurant la prise en charge sanitaire et médico-sociale (médecins, laboratoires de biologie et pharmaciens, établissements de santé, etc.) ainsi que des agents habilités de l’Assurance Maladie et des agences régionales de santé (ARS).

Ce traitement mis en oeuvre par la Caisse nationale de l’assurance maladie, se fonde sur l’exécution d’une mission d’intérêt public (article 6-1-e du RGPD) a pour finalité de :

  • identifier les personnes infectées,
  • identifier les personnes avec lesquelles ces personnes infectées ont été en contact et présentant un risque d’infection,
  • réaliser des enquêtes sanitaires, en présence notamment de cas groupés,
  • accompagner et orienter les personnes infectées ou présentant un risque d’infection, notamment pour qu’elles puissent bénéficier de tests et de masques pris en charge,
  • assurer le pilotage et le suivi statistique des actions.

L’Agence nationale de santé publique est destinataire des données sous une forme préalablement pseudonymisée pour assurer ses missions de surveillance épidémiologique et de recherche sur le virus et les moyens de lutter contre sa propagation.

Les données pseudonymisées pourront également être utilisées pour la réalisation d’études et d’évaluations.

Quelles informations trouve-t-on dans Contact Covid ?

Pour répondre aux finalités de l’outil, un certain nombre de données seront recueillies et traitées pour les personnes infectées et les personnes avec qui elles ont eu un contact :

  • les données d’identification dont le numéro de sécurité sociale et de rattachement,
  • les coordonnées de contact et relatives à l’hébergement,
  • les données concernant la santé strictement limitées au statut virologique ou sérologique des personnes,
  • les données relatives à la situation de la personne au moment de son dépistage (hospitalisée, à domicile ou déjà à l’isolement),
  • les données nécessaires à la réalisation des enquêtes sanitaires pour établir notamment des chaînes de transmission ou « clusters » (la profession, la fréquentation ou non d’une collectivité comme un rassemblement de plus de 10 personnes, une crèche, un établissement scolaire, un Ehpad, un établissement pénitentiaire… ainsi que la réalisation d’un voyage récent hors de sa région et de son Etat de résidence),
  • la déclaration d’un besoin en accompagnement social et d’appui à l’isolement.

Quelle protection des données personnelles ?

La garantie de la protection de la vie privée et le respect du secret médical sont 2 éléments indispensables pour que la responsabilité et la solidarité de chacun puissent s’exercer en confiance.

Ainsi, les collaborateurs de l’Assurance Maladie chargés d’identifier les personnes contact et de les appeler ont été choisis pour leur expérience en la matière : personnel médical et paramédical de l’Assurance Maladie, conseillers habitués à accompagner les professionnels de santé et les patients dans leurs parcours de santé, etc. Ils doivent en outre appliquer des consignes strictes d’information des personnes appelées, sur leurs droits en matière de communication de données.

De plus, les données hébergées dans Contact Covid ne sont accessibles qu’à des professionnels astreints au secret professionnel : les médecins ayant prescrit le test ou assurant le suivi des personnes et les collaborateurs strictement habilités par l’Assurance Maladie et les ARS. Les laboratoires de biologie médicale et les pharmaciens d’officine accèdent aux seules données d’identification et de contact des personnes pour pouvoir assurer la réalisation de tests ou la dispensation de masques pris en charge par l’Assurance Maladie.

En cas de besoin, les personne peuvent, si elles le souhaitent, être directement mises en relation avec la cellule territoriales d’appui à l’isolement compétente ou se voir remettre le numéro pour l’appeler.

Enfin, le patient reste libre de communiquer ou non les informations qui lui sont demandées pour stopper l’épidémie. A l’exception des coordonnées et du résultat du test du patient malade, qui sont indispensables à l’existence même du dispositif, l’ensemble des autres informations recueillies dans l’outil le sont sur la base des déclarations volontaires des personnes positives au Covid-19 et de leurs contacts. Point important : la divulgation de l’identité du patient infecté aux personnes avec lesquelles il a été en contact et qui sont susceptibles d’être infectées n’est possible qu’avec son consentement.

Les personnes peuvent s'opposer à la réutilisation de leurs données pour des études ou des évaluations.

Les données seront accessibles pendant une durée de 3 mois maximum après la clôture du suivi et archivées pour les durées prévues par la loi d’organisation de l’état d’urgence sanitaire.

Consulter la notice d'information sur l'utilisation des données personnelles collectées dans Contact Covid sur AMELI.FR (PDF)

Traitement de contact tracing

Afin de maîtriser les risques épidémiques liés à l’épidémie de COVID-19, les Agences régionales de santé (ARS) mettent en œuvre, depuis le début de la crise, des traitements de données à caractère personnel ayant pour finalité :

  • le suivi des cas possibles et confirmés d’infection ;
  • le suivi des personnes dites contact d’un cas confirmé.

Dans le cadre de la stratégie de déconfinement présentée par le Gouvernement le 28 avril 2020, ce dispositif d’identification et de prise en charge des cas et des personnes contacts repose sur une organisation en trois niveaux.

Les ARS sont chargées du traçage de niveau 3 : situations relevant des chaînes de transmission ou de cluster ainsi que les cas ayant eu des contacts multiples lors d’un rassemblement. Afin de faciliter la mise en œuvre de ce dispositif, les ARS ont recours à l’application SORMAS.

 

Objet du traitement de données SORMAS

Le traitement a pour objet l’enregistrement, l’investigation et le suivi épidémiologique par les ARS des cas confirmés de COVID-19 et des cas contacts, en vue d’identifier les chaînes et cas groupés de contamination et de prendre les mesures destinées à limiter la propagation de l’épidémie.

Base juridique :

Article 6 (1) e du règlement général sur protection des données – RGPD : ce traitement relève des missions d’intérêt public dont sont investies les ARS en application de l’article L. 1431-2 1° b) du Code de la santé publique.

 

Données traitées

Catégories de données traitées

Pour les cas de COVID-19 :

  • Descriptif du cas : date de signalement et qualification du cas, statut et résultat de l’investigation, localisation géographique du cas… ;
  • Données d’identification : seuls le nom et prénom sont obligatoires ; profession ; lieu de résidence, coordonnées, numéro de sécurité sociale (NIR) si connu ;
  • Résultats de test(s) ;
  • Hospitalisation : nom de l’établissement, dates et conditions de prise en charge ;
  • Symptômes ;
  • Données épidémiologiques : source(s) d’exposition et/ou origine de la contamination ;
  • Rapport de visites cliniques ;
  • Traitements et prescriptions ;
  • Cas contact(s) de la personne.

+ Le cas échéant, participation à un ou des évènements dans l’hypothèse de cas groupés.

Pour les cas contacts :

  • Descriptif du cas contact : date de signalement et qualification du cas, localisation géographique, date et source de la contamination, le cas échéant identification et relation avec le cas source, statut du suivi… ;
  • Données d’identification de la personne (seuls le nom et prénom sont obligatoires), profession, lieu de résidence, coordonnées, numéro de sécurité sociale (NIR) si connu ;
  • Rapport de visites cliniques de suivi.

Source des données

Les données sont issues du traitement « Contact Covid » mis en œuvre par l’assurance maladie (Décret n°2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions).

Personnes concernées

Le traitement de données concerne les personnes infectées par la COVID-19 et les personnes avec qui elles ont eu un contact.

Destinataire des données

Les agents de l’ARS spécialement habilités à accéder à ces données.

Durée de conservation des données

Les données collectées sont conservées 3 mois après leur collecte.

Vos droits sur les données vous concernant

Vous pouvez accéder aux données vous concernant, vous opposer au traitement de ces données, pour des raisons tenant à votre situation particulière, les faire rectifier ou geler l’utilisation de vos données.

Toute demande d’exercice de vos droits doit être effectuée auprès du Responsable des traitement ou du Délégué à la Protection des Données (DPO) de l’ARS Normandie :

Par courrier :

Délégué à la protection des données

Pôle juridique

Agence Régionale de Santé (ARS) Normandie

Espace Claude Monet

2, place Jean Nouzille

14000 CAEN

Par mail :

[email protected]

Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) si vous estimez que le traitement de vos données constitue une violation de la réglementation.