Protection des données

L'identification des cas positifs et le traçage des personnes à haut risque d'être infectées est une activité clé dans la lutte contre la pandémie. Elle relève des missions de la Direction de la santé dont la mission est d'assurer la protection de la santé publique tant en ce qui concerne l'hygiène du milieu que la surveillance et la lutte contre les maladies transmissibles, y compris prendre les mesures d'urgence nécessaires à la protection de la santé.

En parallèle et afin de maîtriser l'évolution de la pandémie, le gouvernement luxembourgeois a mis en place dès le début de la pandémie un programme de dépistage à grande échelle. Avec l'arrivée des premiers vaccins COVID-19, ce programme a été complété, par un programme de vaccination ambitieux. Dans le cadre de ces programmes, un certain nombre de données personnelles sont collectées et traitées.

La collecte et le traitement de données personnelles constituent des aspects importants de la lutte contre la pandémie de COVID-19 et de la vaccination. Ils répondent à un intérêt général de santé publique et permettent aux décideurs de prendre les mesures qui s'imposent en connaissance de cause. En effet, combattre efficacement la pandémie et offrir aux citoyens la meilleure protection possible contre le virus SARS-CoV-2 ne seraient pas possible sans traiter des données personnelles, tant en ce qui concerne la surveillance de la propagation et le suivi de l'évolution de la pandémie qu'en ce qui concerne la vaccination de la population. Ces données doivent pouvoir être collectées pour être ensuite analysées, étudiées, évaluées, afin de protéger la population et de définir la meilleure politique sanitaire. 

Large Scale Testing

Afin de contrôler l'évolution de la pandémie, le gouvernement luxembourgeois a entamé une nouvelle phase du programme de dépistage à grande échelle (le Large Scale Testing). Le dépistage contribue à briser les chaines d'infection en identifiant les cas positifs et en retraçant efficacement leurs contacts. Dans ce cadre, les données personnelles des résidents et travailleurs frontaliers invités à participer, et des participants au dépistage sont collectées et traitées par les quatre responsables de traitement (à savoir l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel) suivants:

  • La Direction de la santé car elle définit la stratégie, coordonne le dispositif et analyse les données personnelles des participants afin d'assurer un suivi du dispositif et de prendre les décisions épidémiologiques ainsi que les décisions politiques appropriées en matière de santé publique
  • Les laboratoires Réunis, qui assurent l'organisation des prélèvements, les prélèvements, la réalisation des tests, de la prise de rendez-vous à l'envoi des résultats
  • L'Inspection générale de la sécurité sociale car cette dernière identifie les catégories de personnes à inviter dans le cadre du programme de dépistage
  • Le Laboratoire national de santé, qui effectuera les analyses dans le cadre des tests sérologiques

Ces intervenants traitent les données personnelles conformément au Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE (règlement général sur la protection des données, ci-après le "Règlement"). Les traitements de données personnelles sont effectués afin de (i) pouvoir inviter les résidents et travailleurs frontaliers composant les échantillons représentatifs de la population, (ii) permettre aux participants d'effectuer le test, (iii) fournir aux participants les résultats, et (iv) surveiller l'évolution de l'infection COVID-19 au sein de la population afin de contrôler et de maintenir, au travers de décisions de santé publique appropriées, le taux des infections au niveau le plus bas possible.

Les catégories de données personnelles traitées par les différents intervenants dans le cadre du dépistage à grande échelle sont les suivantes; elles dépendent de la participation des personnes:

  • Données d'identification personnelles (ex.: nom, adresse, numéros de téléphone, adresse électronique)
  • Détails personnels (ex.: genre, date de naissance)
  • Données socio-démographiques permettant de procéder aux échantillonnages (ex. : profession, foyer)
  • Données d'identification émises par les services publics (ex.: matricule)
  • Données relatives à l'organisation du rendez-vous (ex. date, heure, station)
  • Données sur la santé (ex.: informations obtenues lors du test, information concernant L'infection par la COVID-19)

Ces traitements trouvent leur fondement légal dans:

  • La décision du conseil de gouvernement du 8 juillet 2020
  • La loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie COVID-19
  • La loi du 24 juillet 2020 autorisant l'État à participer au financement de la deuxième phase du programme de dépistage à grande échelle dans le cadre de la pandémie de COVID-19

Les données personnelles sont susceptibles d'être transférées par les responsables du traitement et du contrôle des données aux catégories de destinataires suivantes:

  • Le Centre des technologies de l'information de l'État, en charge d'envoyer les invitations et de mettre à disposition la plateforme de prise de rendez-vous
  • LDL CONNECT SA, en charge d'assurer la hotline sur toute question relative au Large Scale Testing
  • L'Inspection générale de la sécurité sociale qui pseudonymise les données afin de les mettre à disposition des organismes publics de recherche afin de faire des projections permettant d'observer l'évolution de la pandémie et de produire des tableaux de suivi (par exemple: suivi du taux de positivité par commune, par tranche d'âge, ou encore par secteur professionnel)
  • L'Agence eSanté, qui est responsable d'assurer le transfert technique des résultats des tests à la Division de l'Inspection sanitaire de la Direction de la santé
  • La division de l'Inspection sanitaire de la Direction de la santé, qui reçoit les résultats des tests afin d'assurer le traçage mais aussi le suivi épidémiologique de la pandémie
  • Le Laboratoire national de santé qui, en tant que laboratoire de référence, peut recevoir les échantillons positifs afin de faire le séquencement génétique du virus pour déterminer la variante

Les données personnelles seront conservées par chaque intervenant pour une durée n'excédant pas celle nécessaire au regard des finalités poursuivies, conformément à leurs obligations légales respectives. À titre d'exemple, la Direction de la santé conserve les données personnelles sur base des prescriptions de la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie COVID-19.

Chaque personne physique dont les données sont traitées dispose d'un droit de demander l'accès à ses données personnelles et d'obtenir leur copie ainsi que, dans le cas où ces données personnelles seraient incomplètes ou erronées, leur rectification. Elle dispose également du droit à la limitation du traitement de ses données personnelles, du droit de s'opposer à leur utilisation ainsi que du droit d'obtenir leur effacement, aux conditions et dans les limites prévues par le règlement général sur la protection des données.

Il est possible de demander à exercer les droits listés ci-dessus en soumettant une demande écrite, signée et en justifiant de son identité:

  • Pour le traitement relatif à l'échantillonnage, à l'Inspection générale de la sécurité sociale igss@igss.etat.lu 26, rue Zithe, L-2763 Luxembourg
  • Pour le traitement relatif à la gestion des invitations, la prise de rendez-vous, et au suivi de la pandémie, à la Direction de la santé info_donnees@ms.etat.lu 13a, rue de Bitbourg, L-1273 Luxembourg
  • Pour le traitement relatif aux tests de dépistage par pcr, aux Laboratoires Réunis dpo@labo.lu 38, rue Hiehl, Z.A.C. Laangwiss, L-6131 Junglinster
  • Pour le traitement relatif aux tests sérologiques, au Laboratoire national de santé dpo@lns.etat.lu 1, rue Louis Rech, L-3555 Dudelange
  • Il est également possible d'introduire une réclamation auprès de la Commission nationale pour la protection des données par courrier à l'adresse suivante: 15, boulevard du Jazz, L - 4370 Belvaux ou en complétant le formulaire en ligne qui est disponible sur le site de la CNPD dans la section Particuliers -> Faire valoir vos droits

Contact Tracing

L'identification des cas positifs et le traçage des personnes (Contact Tracing) à haut risque d'être infectées est une activité clé dans la lutte contre la crise de la COVID-19. Son objectif vise à (i) identifier les cas positifs, afin de les mettre en isolement; et (ii) leurs contacts à haut risque d'être infectés, afin de leur demander de se mettre en auto-quarantaine en attendant de pouvoir se faire tester.

Les activités de traçage effectuées par la Division de l'Inspection sanitaire de la Direction de la santé impliquent la collecte et le traitement de données personnelles, à la fois des personnes testées positives à la COVID-19 et des personnes à haut risque d'être infectées, afin d'identifier les contacts d'une personne testée positivement à la COVID-19 et de leur fournir les documents relatifs à la quarantaine, ainsi qu'une ordonnance médicale pour se faire tester.

La Direction de la santé utilise également les données collectées pour produire les statistiques appropriées en vue d'évaluer, de surveiller et de combattre la pandémie notamment au travers de décisions en matière de santé publique adaptées à la propagation et à l'évolution de la pandémie.

Ces activités sont encadrées par la loi modifiée du 17 juillet 2020 portant introduction d'une série de mesures de lutte contre la pandémie COVID-19.

Les données personnelles vous concernant, collectées et traitées sont les suivantes:

  • données d'identification personnelles incluant les données de contact (nom, prénom, adresse postale, adresse e-mail, numéro de téléphone et numéro de référence)
  • donnée d'identification émise par les services publics (matricule CNS)
  • date de contact avec la personne testée positivement à la COVID-19
  • pour les personnes positives uniquement: date de naissance, date des premiers symptômes, date du test, et le lieu de travail / employeur

Dépendant de votre situation, vos données personnelles sont susceptibles d'être accédées par les destinataires suivant:

  • l'Inspection générale de la sécurité sociale qui pseudonymise les données afin de les mettre à disposition des organismes publics de recherche en vue de produire des projections permettant de suivre l'évolution de la pandémie
  • le ministère de l'Éducation nationale, de l'Enfance et de la Jeunesse, qui assiste la Direction de la santé dans les activités de traçage dès lors qu'un établissement scolaire d'apprentissage ou d'accueil est concerné; et agit comme point de contact auprès de l'établissement afin de faciliter la mise en place des directives de la Direction de la santé

Ces destinataires sont tenus de respecter les obligations légales en matière de protection des données, en ce compris le secret professionnel ou les obligations de confidentialité applicables.

Vos données personnelles sont conservées par la division de l'Inspection sanitaire de la Direction de la santé selon les périodes de conservation arrêtées par la loi modifiée du 17 juillet 2020 portant introduction d'une série de mesures de lutte contre la pandémie COVID-19.

Dans les limites et sous les conditions prévues par la loi modifiée du 17 juillet 2020 portant introduction d'une série de mesures de lutte contre la pandémie COVID-19 et par le règlement général sur la protection des données, vous disposez d'un droit de demander l'accès à vos données personnelles et d'obtenir leur copie ainsi que, dans le cas où ces données personnelles seraient incomplètes ou erronées, leur rectification. Vous disposez également du droit à la limitation du traitement de vos données personnelles, du droit de vous opposer à leur utilisation ainsi que du droit d'obtenir leur effacement.

Il est possible de demander à exercer les droits listés ci-dessus en soumettant une demande écrite, signée et en justifiant de votre identité à la Direction de la santé - info_donnees@ms.etat.lu - 13a, rue de Bitbourg, L-1273 Luxembourg

Il est également possible d'introduire une réclamation auprès de la Commission nationale pour la protection des données par courrier à l'adresse suivante: 15, boulevard du Jazz, L - 4370 Belvaux ou en complétant le formulaire en ligne qui est disponible sur le site de la CNPD dans la section Particuliers -> Faire valoir vos droits.

Vaccination

La campagne de vaccination repose sur la collecte et le traitement de données à caractère personnel.

L'accès à un vaccin sûr et de qualité contre la COVID-19 constitue une partie décisive du dispositif national de lutte contre la pandémie.

Combinée aux autres éléments de la politique de lutte globale contre le virus, à savoir la prévention, le diagnostic et dépistage (tests), l'isolement des personnes infectées, le traçage et la mise en quarantaine des contacts, la prise en charge des patients COVID-19 ainsi que la sensibilisation et l'information, la vaccination jouera un rôle crucial pour sauver des vies, endiguer la pandémie, protéger le système de santé et de soins et contribuer au rétablissement de notre économie.

Dans ce cadre, les données personnelles des personnes invitées à se faire vacciner et des personnes vaccinées sont collectées et traitées par les responsables du traitement et des utilisateurs des données (à savoir les entités qui déterminent les finalités et les moyens des traitements de données à caractère personnel) suivants:

  • La Direction de la santé car elle a la responsabilité d'organiser et de gérer la campagne de vaccination mais aussi d'assurer le suivi de la sécurité et de la qualité des vaccins ainsi que l'adoption vaccinale (proportion de personnes vaccinées avec une certaine dose de vaccin au cours d'une période donnée) et la couverture vaccinale (proportion de la population considérée comme protégée par la vaccination, au terme d'une période donnée) nationales
  • L'Inspection générale de la sécurité sociale car cette dernière identifie, sur base de la stratégie de vaccination, les personnes qui seront invitées à se faire vacciner

Ces intervenants traitent les données personnelles conformément au Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE (règlement général sur la protection des données, ci-après le "Règlement").

Les traitements de données personnelles de la campagne de vaccination sont effectués afin de (I) pouvoir inviter les personnes à se faire vacciner, (II) permettre aux personnes qui le souhaitent de se faire vacciner, (III) suivre la sécurité du / des vaccin(s) ainsi que sa / leur qualité, notamment au travers du suivi de son efficacité, et (IV) suivre l'adoption et la couverture vaccinale.

Ces traitements trouvent leur fondement légal dans:

  • Loi modifiée du 17 juillet 2020 portant introduction d'une série de mesures de lutte contre la pandémie COVID-19
  • Loi du 24 novembre 2015 modifiant la loi modifiée du 21 novembre 1980 portant organisation de la Direction de la santé et la loi modifiée du 16 aout 1968 portant création d'un Centre de logopédie et de services audiométrique et orthophonique
  • Loi du 4 juillet 2000 relative à la responsabilité de l'État en matière de vaccinations
  • Règlement grand-ducal modifié du 15 décembre 1992 relatif à la mise sur le marché des médicaments

Les catégories de données personnelles traitées par les responsables du traitement et des utilisateurs des données sont les suivantes; elles dépendent de la participation des personnes à la campagne de vaccination:

  • les données d'identification (nom, prénoms, date de naissance, sexe)
  • les coordonnées de contact (numéro de téléphone et adresse électronique)
  • le numéro d'identification national
  • le critère d'allocation du vaccin tel que défini par la stratégie de vaccination
  • les données permettant de déterminer la présence éventuelle de contre-indications, la présence de problèmes de santé ou d'autres facteurs de risque, et la survenue éventuelle d'effets indésirables
  • l'administration du vaccin (décision, date, lieu de la vaccination)
  • les caractéristiques de la vaccination (site d'injection, marque du produit vaccinal, numéro de lot, numéro d'administration et date de péremption)

Les données personnelles sont susceptibles d'être transférées par les responsables du traitement et des utilisateurs des données aux destinataires suivants:

  • le Centre des technologies de l'information de l'État, en charge d'envoyer les invitations, de mettre à disposition la plateforme de prise de rendez-vous et de gérer le système d'information au travers duquel les données personnelles en lien avec la vaccination sont traitées
  • le Service national d'immunologie allergologie du CHL pour avis allergologique urgent suite au passage en centre de vaccination des personnes présentant un risque allergique majeur à l'injection vaccinale
  • en cas d'ouverture d'un dossier de pharmacovigilance, au Centre régional de pharmacovigilance de Lorraine. Il est à noter que le Centre régional de pharmacovigilance de Lorraine aura accès par défaut aux dossiers des femmes enceintes au moment de l'administration du vaccin afin de pouvoir les suivre jusqu'à leur terme au travers de l'envoi de deux courriers électroniques
  • l'Inspection générale de la sécurité sociale qui reçoit les données afin de les mettre à disposition, sous forme pseudonymisée, des différents organismes publics de recherche à des fins de recherche scientifique

Les données personnelles seront conservées par chaque intervenant pour une durée n'excédant pas celle nécessaire au regard des finalités poursuivies, conformément à leurs obligations légales respectives. À titre d'exemple, la Direction de la santé conserve les données personnelles sur base des prescriptions de la loi modifiée du 17 juillet 2020 portant introduction d'une série de mesures de lutte contre la pandémie COVID-19.

Chaque personne physique dont les données sont traitées dispose d'un droit de demander l'accès à ses données personnelles et d'obtenir leur copie ainsi que, dans le cas où ces données personnelles seraient incomplètes ou erronées, leur rectification. Elle dispose également du droit à la limitation du traitement de ses données personnelles, du droit de s'opposer à leur utilisation ainsi que du droit d'obtenir leur effacement, aux conditions et dans les limites prévues par le règlement général sur la protection des données.

Il est possible de demander à exercer les droits listés ci-dessus en soumettant une demande écrite et en justifiant de son identité:

  • Pour le traitement relatif à l'organisation et à la gestion de la campagne de vaccination ainsi qu'au suivi de la sécurité, de la qualité et de la couverture vaccinale, à la Direction de la santé - info_donnees@ms.etat.lu - 13a, rue de Bitbourg, L-1273 Luxembourg
  • Pour le traitement relatif à la gestion des personnes à inviter à se faire vacciner, à l'Inspection générale de la sécurité sociale - igss@igss.etat.lu - 26, rue Zithe, L-2763 Luxembourg

Il est également possible d'introduire une réclamation auprès de la Commission nationale pour la protection des données par courrier à l'adresse suivante: 15, boulevard du Jazz, L - 4370 Belvaux ou en complétant le formulaire en ligne qui est disponible sur le site de la CNPD dans la section Particuliers Faire valoir vos droits.

FAQ

Quels sont les objectifs du système d'information en place?

Le système d'information en place a pour finalités:

  1. de détecter, d'évaluer, de surveiller et de combattre la pandémie de COVID-19
  2. d'acquérir les connaissances fondamentales sur la propagation et l'évolution de la pandémie (suivis statistiques, études, recherche)
  3. de garantir aux citoyens l'accès aux moyens de protection et aux soins adéquats
  4. de suivre et d'évaluer de manière continue l'efficacité et la sécurité des vaccins et l'état de santé des personnes vaccinées
  5. de suivre et d'évaluer le programme de dépistage à grande échelle et le programme de vaccination

Il entend aussi répondre aux obligations de communication et aux demandes d'informations émanant des autorités de santé européennes ou internationales auxquelles le Luxembourg doit répondre. 

Qui est responsable du traitement des données personnelles?

Plusieurs entités sont responsables du traitement des données personnelles, à savoir:

1. La Direction de la santé, qui, dans le cadre de ses missions, suit l'évolution de l'actuelle pandémie et définit la stratégie épidémiologique tout en coordonnant les dispositifs mis en place.

La Direction de la santé est également responsable de l'organisation et de la gestion de la campagne de vaccination, ainsi que de son suivi et de son évaluation. Elle est surtout responsable de la sécurité et de la qualité des vaccins.

Ces deux programmes nécessitent la collecte et le traitement d'un certain nombre de données personnelles.

2. L'Inspection générale de la sécurité sociale, qui intervient également dans les programmes de dépistage à grande échelle et de vaccination, alors que c'est elle qui est chargée de l'identification des catégories de personnes à inviter dans le cadre de ces programmes.

Au niveau de la mise en œuvre du programme de dépistage à grande échelle, on peut encore citer le laboratoires d'analyses médicales chargé des tests dans le cadre de ce programme et le Laboratoire national de santé parmi les entités qui sont amenées à traiter des données à caractère personnel, alors que les premiers assurent l'organisation des prélèvements, les prélèvements, la réalisation des tests et l'envoi des résultats, et le deuxième effectue les mêmes analyses dans le cadre des tests sérologiques. 

Quelles données personnelles sont traitées?

Les données collectées des personnes infectées et des personnes à haut risque d'être infectées (noms, prénoms, date de naissance, adresse, numéro de téléphone, numéro de la sécurité sociale, coordonnées du médecin traitant, données permettant de déterminer si une personne est infectée, telles que résultat du test, diagnostic ou, pour les personnes à haut risque d'être infectées, la date du dernier contact, l'existence et la date d'apparition des symptômes).

Les données ayant pour objet d'identifier des catégories de personnes à inviter dans le cadre du programme de dépistage à grande échelle et le programme de vaccination (données socio-démographiques, données sur l'emploi, l'historique des dépistages et, dans le cadre du programme de vaccination, la date de rendez-vous pour la vaccination et l'administration du vaccin).

À noter qu'en ce qui concerne les personnes vulnérables, ce sont les médecins qui transmettent, sur demande de leur patient qui souhaite se faire vacciner, les données personnelles à la Direction de la santé. Toutefois, les données sensibles relatives à la pathologie dont souffre le patient ne sont traitées que par les médecins et non transmises à la Direction de la santé qui est juste informée que le patient est une personne vulnérable en raison de son état de santé.

Les données collectées dans le cadre du programme de vaccination (informations standards relatives à son identification et de ses coordonnées de contact, mais aussi des informations concernant l'allocation du vaccin), des données permettant de déterminer la présence d'éventuelles contre-indications ou de problèmes de santé ou autres facteurs de risques. Sont également collectées les données relatives à la décision d'administrer le vaccin, aux caractéristiques de la vaccination (produit vaccinal, lieu d'injection, numéro du lot, numéro d'administration, date de péremption) ou encore au vaccinateur. 

Sous quelles forme les données collectées sont-elles conservées?

Les données personnelles nominatives sont en règle générale pseudonymisées avant d'être anonymisées. Parfois, les données collectées sont tout de suite anonymisées sans passer par le procédé de la pseudonymisation. Il en est ainsi notamment des données collectées dans le cadre de l'invitation des personnes vulnérables à se faire vacciner qui sont anonymisées au plus tard trois semaines après l'envoi de l'invitation à se faire vacciner.

La pseudonymisation constitue un procédé de traitement de données personnelles qui consiste à traiter lesdites données de telle manière qu'on ne puisse pas attribuer les éléments collectés à une personne physique précise sans avoir recours à des informations supplémentaires. Ce procédé, contrairement à l'anonymisation, est réversible. Il constitue une mesure de sécurité pour les personnes dont les données ont été collectées leur assurant un certain degré de confidentialité tout en permettant de traiter ces données dans le cadre d'une politique sanitaire précise. Il respecte le principe de proportionnalité qui guide le traitement des données personnelles.

Dans la pratique, un tel procédé consiste à remplacer des données directement identifiantes (nom, prénom …) par des données indirectement identifiantes (numéro de classement …) afin de réduire leur sensibilité.

Les données sont ensuite anonymisées. L'anonymisation consiste à modifier le contenu ou la structure de données personnelles afin de rendre très difficile ou impossible la "ré-identification" des personnes concernées. En règle générale, la durée au bout de laquelle les données sont anonymisées est plus longue que celle pour la pseudonymisation. 

Quelle durée de conservation?

Plusieurs durées de conservation sont prévues afin de répondre au principe de proportionnalité, et selon l'objectif des traitements effectués.

(i) concernant les données à caractère personnel collectées et traitées dans le but de lutter contre la pandémie

Ces données sont pseudonymisées au plus tard à l'issue d'une durée de six mois après leur collecte pour une période de trois ans à l'issue de laquelle elles sont anonymisées.

Ces durées reflètent le souci de suivre l'impact de l'épidémie sur base des connaissances acquises dernièrement sur le virus SARS-CoV-2 et notamment sur l'immunité des personnes ayant été infectées. En effet, selon celles-ci, une personne ayant contracté la COVID-19 dispose généralement d'une immunité dont la durée moyenne est de six mois. Par ailleurs, en cas de réinfection, celle-ci survient classiquement avec les coronavirus saisonniers dans un délai relativement court, le plus souvent inférieur à douze mois.

Dans un objectif de santé publique, il est essentiel de suivre les réinfections afin notamment de déterminer si elles sont dues ou non à la présence d'un nouveau variant du virus plus contagieux, et d'aligner la politique sanitaire en conséquence. Il est dès lors important de conserver les données à caractère personnelles relatives à une première infection afin de pouvoir identifier une réinfection. Toutefois, l'identification d'une possible réinfection doit avoir lieu dans les meilleurs délais afin d'initier les démarches nécessaires à la mise en œuvre des mesures sanitaires adéquates. Il n'y a partant lieu de prévoir des délais trop longs.

La conservation des données sous forme pseudonymisée pendant une durée de trois ans coïncide avec la durée complète d'une pandémie qui connaît souvent plusieurs vagues successives. Cette durée permet un suivi complet.

(ii) concernant les données collectées et traitées dans le cadre du programme de vaccination 

Les données à caractère personnel collectées

  • pour le vaccinateur sont anonymisées au plus tard à l'issue d'une durée de deux ans après leur collecte.
  • pour la personne à vacciner sont anonymisées au plus tard à l'issue d'une durée de vingt ans après leur collecte, à l'exception de certaines données, à savoir les données d'identification et les coordonnées de contact qui sont anonymisées au bout de deux ans au plus tard après leur collecte, car elles sont sujettes à changement ou encore celles qui permettent de déterminer la présence d'éventuelles contre-indications, d'autres facteurs de risques qui sont anonymisées à l'issue d'une durée de dix ans.
    La durée de conservation des données de vingt ans se justifie au regard de la pharmacovigilance qui consiste à enregistrer et évaluer les effets secondaires ou indésirables résultant de l'administration des médicaments, en l'occurrence des vaccins. Il est dans l'intérêt des patients que les dossiers soient conservées longtemps. La pratique en effet montre qu'il n'est pas rare que des effets secondaires à des médicaments ou vaccins se manifestent après plusieurs années voire après 10 ans ou même plus. Il est dès lors important de pouvoir lier l'administration d'un médicament ou vaccin précis et les effets secondaires. Une durée de conservation longue de certaines données permet un tel lien.
  • En cas de réfutation de l'indication de la vaccination par le vaccinateur, les données à caractère personnel, dans la mesure où elles auront été collectées, sont anonymisées au plus tard à l'issue d'une période 2 ans après leur collecte. En cas de retrait de l'accord à se faire vacciner de la personne concernée, les données sont anonymisées après 3 mois. 

Qui a accès aux données des personnes infectées ou à haut risque d'être infectées?

Seuls les médecins et professionnels de santé ainsi que les fonctionnaires, employés ou salarié mis à disposition par le ministre ayant la Santé dans ses attributions ou toute autre personne, nommément désignée par le Directeur de la santé et partant rattachée aux autorités nationales, ont accès aux données des personnes infectées ou à haut risque d'être infectées.

Ces personnes ne peuvent par ailleurs accéder aux données relatives à la santé que dans la stricte mesure où l'accès est nécessaire à l'exécution des missions légales ou conventionnelles qui leur sont confiées dans le cadre de la lutte contre la pandémie. Ces personnes sont par ailleurs soumises au secret professionnel, et toute violation de ce dernier est sanctionné en vertu de l'article 458 du Code pénal.

À noter toutefois, que les données sont susceptibles d'être transférées par les différents intervenants responsables du traitement des données. Parmi les destinataires, qui peuvent se voir transférer des données, il y a lieu de citer:

  • le Centre des technologies de l'information de l'État en tant que sous-traitant informatique de la Direction de la Santé
  • l'Agence eSanté en tant que responsable du transfert technique des résultats des tests PCR et sérologiques à l'Inspection sanitaire qui est une division de la Direction de la santé
  • l'Inspection générale de la sécurité sociale qui pseudonymise les données personnelles collectées et traitées dans le cadre de la pandémie afin de les mettre à disposition des organismes publics de recherche, conformément à ses missions
  • le prestataire en charge de la hotline et qui peut prendre les rendez-vous de dépistage et de vaccination à la demande des personnes ne disposant pas d'un moyen d'accéder aux espaces en ligne dédiés

Les données peuvent-elles être traitées à des fins de recherche scientifique, historique ou statistiques?

Oui. Les données peuvent être traitées à de telles fins dans les conditions prévues par le règlement européen général sur la protection des données et par la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, sous réserve d'être pseudonymisées, c'est-à-dire traitées de telles manière qu'on ne puisse pas attribuer les données à une personne physique donnée sans avoir recours à des informations supplémentaires. 

Peut-on s'opposer au traitement des données?

Les personnes infectées ou à haut risque d'être infectées ne peuvent s'opposer au traitement de leurs données dans le système d'information ayant pour but essentiel de lutter contre la pandémie tant qu'elles ne peuvent se prévaloir d'un test de dépistage négatif. Pour des raisons de santé publique, il est impératif de conserver les données des personnes dont le test de dépistage montre clairement une infection au virus SARS-CoV-2. 

Quels sont les droits des personnes physiques en matière de protection des données?

Toute personne physique dont les données sont traitées dispose du droit de demander l'accès à ses données personnelles et d'obtenir leur copie voire leur rectification au cas où les données seraient erronées ou incomplètes. Elles disposent aussi du droit à la limitation du traitement des données personnelles, du droit de s'opposer à leur utilisation ainsi que du droit à obtenir leur effacement aux conditions et limites prévues par la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie COVID-19 et par le règlement général sur la protection des données de l'Union européenne (2016/679).

Il est possible de demander à exercer ces droits en soumettant une demande écrite et en justifiant de son identité:

  • pour le traitement relatif au suivi de la pandémie et à l'organisation et à la gestion de la vaccination, à la Direction de la santé - info_donnees@ms.etat.lu - 13a, rue de Bitbourg, L-1273 Luxembourg
  • pour le traitement relatif à l'identification des catégories de personnes à inviter aux programmes de dépistage à grande échelle et au programme de vaccination, à l'Inspection générale de la sécurité sociale - igss@igss.etat.lu - 26, rue Zithe, L-2763 Luxembourg
  • pour le traitement relatif aux tests de dépistage par PCR effectués dans le cadre du programme de dépistage à grande échelle, aux Laboratoires Réunis - dpo@labo.lu - 38, rue Hiehl, Z.A.C. Laangwiss, L-6131 Junglinster
  • pour le traitement relatif aux tests sérologiques, au Laboratoire national de santé - dpo@lns.etat.lu - 1, rue Louis Rech, L-3555 Dudelange

Il est également possible d'introduire une réclamation auprès de la Commission nationale pour la protection des données par courrier à l'adresse suivante: 15, boulevard du Jazz, L - 4370 Belvaux ou en complétant le formulaire en ligne qui est disponible sur le site de la CNPD dans la section Particuliers- faire valoir ses droits. 

Dernière modification le