Le décret définit les finalités du traitement, les catégories de données à caractère personnel enregistrées dans le système d'information (SI), les destinataires et les droits des personnes concernées au titre du règlement général européen sur la protection des données personnelles (RGPD).

Les finalités du traitement de données sont multiples. Il doit notamment permettre d'identifier les personnes éligibles à la vaccination, l'envoi de bons à ces personnes, le traitement d'information sur la consultation préalable et l'organisation de la vaccination, l'envoi à la personne vaccinée d'un "récapitulatif des informations sur la vaccination".

Il a aussi pour objectif "le suivi de l’approvisionnement en vaccins et consommables", la prise en charge financière des actes liés à la vaccination, ainsi que "la mise à disposition de données pour permettre leur réutilisation à des fins de présentation de l’offre de vaccination, de surveillance de la couverture vaccinale, de mesure de l’efficacité et la sécurité vaccinale, de pharmacovigilance, de production des indicateurs portant sur la qualité et la cohérence des statistiques produites dans le cadre de la crise sanitaire, d’appui à l’évaluation de la politique publique de vaccination, et de réalisation d’études et de recherches".

Le décret mentionne en outre "la délivrance, en cas d'apparition d'un risque nouveau," aux personnes vaccinées de l'information prévue par le code de la santé publique et, le cas échéant, "leur orientation vers un parcours de soins adaptés".

Dans l'avis de la Cnil sur le projet de décret qui lui avait été soumis par l'exécutif, cette dernière avait demandé au ministère des solidarités et de la santé de "préciser les notions d'identification et d'orientation vers un parcours de soins adapté". Le ministère avait répondu qu'elles renvoyaient "spécifiquement à l'orientation des personnes souffrant d'effets indésirables suite à la vaccination", peut-on lire dans la délibération de la commission publiée au JO.

La Cnil a aussi pris acte que le traitement de données mis en œuvre n'avait "pas vocation à être étendu à d'autres vaccinations".

Le décret signé de Matignon et du ministère des solidarités et de la santé dresse la liste des données personnelles qui seront enregistrées dans le système d'information:

• les données d'identification de la personne invitée à se faire vacciner ou vaccinée (nom, prénoms, date de naissance, etc.)
• les références du ou des bons de vaccination délivrés
• les données relatives à la réalisation de la vaccination (date de la/des injections, information permettant l'identification du vaccin injecté, précisions sur l'administration, le lieu de vaccination, le -> -> professionnel de santé ayant réalisé la consultation préalable et l'acte)
• les données relatives à la santé de la personne (critères médicaux d'éligibilité à la vaccination, traitements, identification de contre-indication, effets indésirables associés)
• les données d'identification du professionnel de santé ou personne placée sous sa responsabilité ayant réalisé la consultation préalable ainsi que celles de l'établissement ou structure de rattachement.

Le texte précise que les professionnels concourant à la vaccination "sont tenus d'enregistrer sans délai les données recueillies".

Il donne ensuite en détail les nombreux acteurs qui pourront être destinataires de ces informations protégées par le secret médical: les professionnels de santé concourant à la vaccination, le médecin traitant, mais aussi pour certaines parties des données la direction du numérique des ministères des affaires sociales (Dinum), la Cnam, et l'Agence nationale de sécurité du médicament et des produits de santé (ANSM) pour la pharmacovigilance.

Des accès à des données pseudonymisées du SI pour certaines finalités précisées par le texte sont aussi prévues pour des personnes habilitées par Santé publique France (SPF), par les directions des ARS (agence régionales de santé), ou la direction de la recherche, des études, de l'évaluation et des statistiques (Drees).

Dans son avis, la Cnil pointe les "nombreux acteurs" concernés, et estime qu'il appartient au ministère et à la Cnam de définir "dès que possible" et pour chaque destinataire de données, "des profils fonctionnels strictement limités aux besoins d'en connaître pour l'exercice des missions des personnes habilitées".

La Cnil relate que le ministère de la santé lui a indiqué prévoir "une mise en relation" du SI avec des "portails patients tiers afin de faciliter la prise de rendez-vous, sans pour autant être en mesure, à ce stade, de préciser quelles en seraient les conditions".

Si la loi informatique et libertés "n'exige pas un tel niveau de précision", la Cnil a tout de même souhaité que le ministère mentionne la liste des traitements et des systèmes d'informations dans lesquels les données du SI Vaccin Covid seront appelées à figurer ainsi que la liste des données transmises, "par exemple en les rendant publiques sur son site web".

La Cnil relève que la Dinum a été désignée par la direction générale de la santé (DGS) comme "tiers de confiance" pour conserver des données identifiantes pendant 30 ans à des fins de pharmacovigilance et permettre de garantir la sécurité et l'intégrité de ces informations. Elle "s'étonne" par ailleurs du recours à cette direction du ministère pour "produire des indicateurs de pilotage", pour le compte de la DGS.

Expliquant que le ministère et la Cnam envisagent de sous-traiter la mise en œuvre du SI, la Cnil a demandé que ce principe de sous-traitance, ainsi que la liste des prestataires choisis, soient rendus publics. La commission a rappelé que tout recours à un sous-traitant doit respecter l'article 28 du RGPD et nécessite de conclure des conventions prévoyant la réalisation d'audits.

Par ailleurs, la Cnil prend acte de l'engagement du ministère à indiquer les "mesures adéquates de pseudonymisation" évoquées dans le décret dans "l'analyse d'impact sur la protection des données qui lui sera transmise".

Le décret de Matignon et du ministère de la santé précisent enfin les droits d'accès, de rectification et de limitation dont disposent les personnes auxquelles se rattachent les données du SI Vaccin Covid et qui peuvent s'exercer auprès du directeur de l'organisme d'assurance maladie de rattachement.

Compte tenu des "motifs d'intérêt public", il prévoit que le droit à l'effacement des données ne s'applique pas.

En revanche, le droit d'opposition, c'est-à-dire le refus d'utilisation des données, ne peut s'appliquer qu'en ce qui concerne le traitement de données enregistrées suite à l'identification des personnes éligibles à la vaccination "et uniquement jusqu'à l'enregistrement, par un professionnel de santé concourant à la prise en charge vaccinale, du consentement de la personne".

Il peut aussi s'appliquer contre la transmission des données au Health Data Hub.

Dans son avis, la Cnil s'est félicitée de l'engagement à permettre aux personnes d'exercer une droit d'opposition jusqu'au consentement à la vaccination, considérant que le droit à l'effacement "pourra également être exercé" jusqu'à ce moment.

La limitation de ces droits par la suite "vise à garantir un objectif important d'intérêt public au vu des finalités poursuivies par le traitement, notamment dans le cadre de la pharmacovigilance", a-t-elle ajouté.

Elle a invité le ministère à "prévoir un dispositif permettant à chaque personne concernée de faire exercice de son droit d'opposition" à la transmission des informations au Health Data Hub "dès la création de la fiche le concernant" dans le SI Vaccin Covid, "par exemple par l'ajout d'une case à cocher par le professionnel de santé".

La Cnil a relayé qu'en raison du contexte d'urgence, le ministère n'a pas été en mesure de transmettre "les informations techniques nécessaires concernant la mise en œuvre du traitement", et pris acte de l'engagement de l'exécutif à lui transmettre "dans les meilleurs délais" l'analyse d'impact qui doit précéder cette mise en œuvre.