Protection des données

L'identification des cas positifs et le traçage des personnes à haut risque d'être infectées est une activité clé dans la lutte contre la pandémie. Elle relève des missions de la Direction de la santé dont la mission est d'assurer la protection de la santé publique tant en ce qui concerne l'hygiène du milieu que la surveillance et la lutte contre les maladies transmissibles, y compris prendre les mesures d'urgence nécessaires à la protection de la santé.

En parallèle et afin de maîtriser l'évolution de la pandémie, le gouvernement luxembourgeois a mis en place dès le début de la pandémie un programme de dépistage à grande échelle. Avec l'arrivée des premiers vaccins COVID, ce programme a été complété, par un programme de vaccination ambitieux. Dans le cadre de ces programmes, un certain nombre de données personnelles sont collectées et traitées.

La collecte et le traitement de données personnelles constituent des aspects importants de la lutte contre la pandémie de COVID-19 et de la vaccination. Ils répondent à un intérêt général de santé publique et permettent aux décideurs de prendre les mesures qui s'imposent en connaissance de cause. En effet, combattre efficacement la pandémie et offrir aux citoyens la meilleure protection possible contre le virus SARS-CoV-2 ne seraient pas possible sans traiter des données personnelles, tant en ce qui concerne la surveillance de la propagation et le suivi de l'évolution de la pandémie qu'en ce qui concerne la vaccination de la population. Ces données doivent pouvoir être collectées pour être ensuite analysées, étudiées, évaluées, afin de protéger la population et de définir la meilleure politique sanitaire. 

Quels sont les objectifs du système d'information en place?

Le système d'information en place a pour finalités:

  1. de détecter, d'évaluer, de surveiller et de combattre la pandémie de COVID-19
  2. d'acquérir les connaissances fondamentales sur la propagation et l'évolution de la pandémie (suivis statistiques, études, recherche)
  3. de garantir aux citoyens l'accès aux moyens de protection et aux soins adéquats
  4. de suivre et d'évaluer de manière continue l'efficacité et la sécurité des vaccins et l'état de santé des personnes vaccinées
  5. de suivre et d'évaluer le programme de dépistage à grande échelle et le programme de vaccination

Il entend aussi répondre aux obligations de communication et aux demandes d'informations émanant des autorités de santé européennes ou internationales auxquelles le Luxembourg doit répondre. 

Qui est responsable du traitement des données personnelles?

Plusieurs entités sont responsables du traitement des données personnelles, à savoir:

1. La Direction de la santé, qui, dans le cadre de ses missions, suit l'évolution de l'actuelle pandémie et définit la stratégie épidémiologique tout en coordonnant les dispositifs mis en place.

La Direction de la santé est également responsable de l'organisation et de la gestion de la campagne de vaccination, ainsi que de son suivi et de son évaluation. Elle est surtout responsable de la sécurité et de la qualité des vaccins.

Ces deux programmes nécessitent la collecte et le traitement d'un certain nombre de données personnelles.

2. L'Inspection générale de la sécurité sociale, qui intervient également dans les programmes de dépistage à grande échelle et de vaccination, alors que c'est elle qui est chargée de l'identification des catégories de personnes à inviter dans le cadre de ces programmes.

Au niveau de la mise en œuvre du programme de dépistage à grande échelle, on peut encore citer le laboratoires d'analyses médicales chargé des tests dans le cadre de ce programme et le Laboratoire national de santé parmi les entités qui sont amenées à traiter des données à caractère personnel, alors que les premiers assurent l'organisation des prélèvements, les prélèvements, la réalisation des tests et l'envoi des résultats, et le deuxième effectue les mêmes analyses dans le cadre des tests sérologiques. 

Quelles données personnelles sont traitées?

Les données collectées des personnes infectées et des personnes à haut risque d'être infectées (noms, prénoms, date de naissance, adresse, numéro de téléphone, numéro de la sécurité sociale, coordonnées du médecin traitant, données permettant de déterminer si une personne est infectée, telles que résultat du test, diagnostic ou, pour les personnes à haut risque d'être infectées, la date du dernier contact, l'existence et la date d'apparition des symptômes).

Les données ayant pour objet d'identifier des catégories de personnes à inviter dans le cadre du programme de dépistage à grande échelle et le programme de vaccination (données socio-démographiques, données sur l'emploi, l'historique des dépistages et, dans le cadre du programme de vaccination, la date de rendez-vous pour la vaccination et l'administration du vaccin).

À noter qu'en ce qui concerne les personnes vulnérables, ce sont les médecins qui transmettent, sur demande de leur patient qui souhaite se faire vacciner, les données personnelles à la Direction de la santé. Toutefois, les données sensibles relatives à la pathologie dont souffre le patient ne sont traitées que par les médecins et non transmises à la Direction de la santé qui est juste informée que le patient est une personne vulnérable en raison de son état de santé.

Les données collectées dans le cadre du programme de vaccination (informations standards relatives à son identification et de ses coordonnées de contact, mais aussi des informations concernant l'allocation du vaccin), des données permettant de déterminer la présence d'éventuelles contre-indications ou de problèmes de santé ou autres facteurs de risques. Sont également collectées les données relatives à la décision d'administrer le vaccin, aux caractéristiques de la vaccination (produit vaccinal, lieu d'injection, numéro du lot, numéro d'administration, date de péremption) ou encore au vaccinateur. 

Sous quelles forme les données collectées sont-elles conservées?

Les données personnelles nominatives sont en règle générale pseudonymisées avant d'être anonymisées. Parfois, les données collectées sont tout de suite anonymisées sans passer par le procédé de la pseudonymisation. Il en est ainsi notamment des données collectées dans le cadre de l'invitation des personnes vulnérables à se faire vacciner qui sont anonymisées au plus tard trois semaines après l'envoi de l'invitation à se faire vacciner.

La pseudonymisation constitue un procédé de traitement de données personnelles qui consiste à traiter lesdites données de telle manière qu'on ne puisse pas attribuer les éléments collectés à une personne physique précise sans avoir recours à des informations supplémentaires. Ce procédé, contrairement à l'anonymisation, est réversible. Il constitue une mesure de sécurité pour les personnes dont les données ont été collectées leur assurant un certain degré de confidentialité tout en permettant de traiter ces données dans le cadre d'une politique sanitaire précise. Il respecte le principe de proportionnalité qui guide le traitement des données personnelles.

Dans la pratique, un tel procédé consiste à remplacer des données directement identifiantes (nom, prénom …) par des données indirectement identifiantes (numéro de classement …) afin de réduire leur sensibilité.

Les données sont ensuite anonymisées. L'anonymisation consiste à modifier le contenu ou la structure de données personnelles afin de rendre très difficile ou impossible la "ré-identification" des personnes concernées. En règle générale, la durée au bout de laquelle les données sont anonymisées est plus longue que celle pour la pseudonymisation. 

Quelle durée de conservation?

Plusieurs durées de conservation sont prévues afin de répondre au principe de proportionnalité, et selon l'objectif des traitements effectués.

(i) concernant les données à caractère personnel collectées et traitées dans le but de lutter contre la pandémie

Ces données sont pseudonymisées au plus tard à l'issue d'une durée de six mois après leur collecte pour une période de trois ans à l'issue de laquelle elles sont anonymisées.

Ces durées reflètent le souci de suivre l'impact de l'épidémie sur base des connaissances acquises dernièrement sur le virus SARS-CoV-2 et notamment sur l'immunité des personnes ayant été infectées. En effet, selon celles-ci, une personne ayant contracté la COVID-19 dispose généralement d'une immunité dont la durée moyenne est de six mois. Par ailleurs, en cas de réinfection, celle-ci survient classiquement avec les coronavirus saisonniers dans un délai relativement court, le plus souvent inférieur à douze mois.

Dans un objectif de santé publique, il est essentiel de suivre les réinfections afin notamment de déterminer si elles sont dues ou non à la présence d'un nouveau variant du virus plus contagieux, et d'aligner la politique sanitaire en conséquence. Il est dès lors important de conserver les données à caractère personnelles relatives à une première infection afin de pouvoir identifier une réinfection. Toutefois, l'identification d'une possible réinfection doit avoir lieu dans les meilleurs délais afin d'initier les démarches nécessaires à la mise en œuvre des mesures sanitaires adéquates. Il n'y a partant lieu de prévoir des délais trop longs.

La conservation des données sous forme pseudonymisée pendant une durée de trois ans coïncide avec la durée complète d'une pandémie qui connaît souvent plusieurs vagues successives. Cette durée permet un suivi complet.

(ii) concernant les données collectées et traitées dans le cadre du programme de vaccination 

Les données à caractère personnel collectées

  • pour le vaccinateur sont anonymisées au plus tard à l'issue d'une durée de deux ans après leur collecte.
  • pour la personne à vacciner sont anonymisées au plus tard à l'issue d'une durée de vingt ans après leur collecte, à l'exception de certaines données, à savoir les données d'identification et les coordonnées de contact qui sont anonymisées au bout de deux ans au plus tard après leur collecte, car elles sont sujettes à changement ou encore celles qui permettent de déterminer la présence d'éventuelles contre-indications, d'autres facteurs de risques qui sont anonymisées à l'issue d'une durée de dix ans.

    La durée de conservation des données de vingt ans se justifie au regard de la pharmacovigilance qui consiste à enregistrer et évaluer les effets secondaires ou indésirables résultant de l'administration des médicaments, en l'occurrence des vaccins. Il est dans l'intérêt des patients que les dossiers soient conservées longtemps. La pratique en effet montre qu'il n'est pas rare que des effets secondaires à des médicaments ou vaccins se manifestent après plusieurs années voire après 10 ans ou même plus. Il est dès lors important de pouvoir lier l'administration d'un médicament ou vaccin précis et les effets secondaires. Une durée de conservation longue de certaines données permet un tel lien.
  • En cas de réfutation de l'indication de la vaccination par le vaccinateur, les données à caractère personnel, dans la mesure où elles auront été collectées, sont anonymisées au plus tard à l'issue d'une période 2 ans après leur collecte. En cas de retrait de l'accord à se faire vacciner de la personne concernée, les données sont anonymisées après 3 mois. 

Qui a accès aux données des personnes infectées ou à haut risque d'être infectées?

Seuls les médecins et professionnels de santé ainsi que les fonctionnaires, employés ou salarié mis à disposition par le ministre ayant la Santé dans ses attributions ou toute autre personne, nommément désignée par le Directeur de la santé et partant rattachée aux autorités nationales, ont accès aux données des personnes infectées ou à haut risque d'être infectées.

Ces personnes ne peuvent par ailleurs accéder aux données relatives à la santé que dans la stricte mesure où l'accès est nécessaire à l'exécution des missions légales ou conventionnelles qui leur sont confiées dans le cadre de la lutte contre la pandémie. Ces personnes sont par ailleurs soumises au secret professionnel, et toute violation de ce dernier est sanctionné en vertu de l'article 458 du Code pénal.

À noter toutefois, que les données sont susceptibles d'être transférées par les différents intervenants responsables du traitement des données. Parmi les destinataires, qui peuvent se voir transférer des données, il y a lieu de citer:

  • le Centre des technologies de l'information de l'État en tant que sous-traitant informatique de la Direction de la Santé
  • l'Agence eSanté en tant que responsable du transfert technique des résultats des tests PCR et sérologiques à l'Inspection sanitaire qui est une division de la Direction de la santé
  • l'Inspection générale de la sécurité sociale qui pseudonymise les données personnelles collectées et traitées dans le cadre de la pandémie afin de les mettre à disposition des organismes publics de recherche, conformément à ses missions
  • le prestataire en charge de la hotline et qui peut prendre les rendez-vous de dépistage et de vaccination à la demande des personnes ne disposant pas d'un moyen d'accéder aux espaces en ligne dédiés

Les données peuvent-elles être traitées à des fins de recherche scientifique, historique ou statistiques?

Oui. Les données peuvent être traitées à de telles fins dans les conditions prévues par le règlement européen général sur la protection des données et par la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, sous réserve d'être pseudonymisées, c'est-à-dire traitées de telles manière qu'on ne puisse pas attribuer les données à une personne physique donnée sans avoir recours à des informations supplémentaires. 

Peut-on s'opposer au traitement des données?

Les personnes infectées ou à haut risque d'être infectées ne peuvent s'opposer au traitement de leurs données dans le système d'information ayant pour but essentiel de lutter contre la pandémie tant qu'elles ne peuvent se prévaloir d'un test de dépistage négatif. Pour des raisons de santé publique, il est impératif de conserver les données des personnes dont le test de dépistage montre clairement une infection au virus SARS-CoV-2. 

Quels sont les droits des personnes physiques en matière de protection des données?

Toute personne physique dont les données sont traitées dispose du droit de demander l'accès à ses données personnelles et d'obtenir leur copie voire leur rectification au cas où les données seraient erronées ou incomplètes. Elles disposent aussi du droit à la limitation du traitement des données personnelles, du droit de s'opposer à leur utilisation ainsi que du droit à obtenir leur effacement aux conditions et limites prévues par la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie COVID-19 et par le règlement général sur la protection des données de l'Union européenne (2016/679).

Il est possible de demander à exercer ces droits en soumettant une demande écrite et en justifiant de son identité:

  • pour le traitement relatif au suivi de la pandémie et à l'organisation et à la gestion de la vaccination, à la Direction de la santé - info_donnees@ms.etat.lu - 13a, rue de Bitbourg, L-1273 Luxembourg
  • pour le traitement relatif à l'identification des catégories de personnes à inviter aux programmes de dépistage à grande échelle et au programme de vaccination, à l'Inspection générale de la sécurité sociale - igss@igss.etat.lu - 26, rue Zithe, L-2763 Luxembourg
  • pour le traitement relatif aux tests de dépistage par PCR effectués dans le cadre du programme de dépistage à grande échelle, aux Laboratoires Réunis - dpo@labo.lu - 38, rue Hiehl, Z.A.C. Laangwiss, L-6131 Junglinster
  • pour le traitement relatif aux tests sérologiques, au Laboratoire national de santé - dpo@lns.etat.lu - 1, rue Louis Rech, L-3555 Dudelange

Il est également possible d'introduire une réclamation auprès de la Commission nationale pour la protection des données par courrier à l'adresse suivante: 15, boulevard du Jazz, L - 4370 Belvaux ou en complétant le formulaire en ligne qui est disponible sur le site de la CNPD dans la section Particuliers- faire valoir ses droits. 

Dernière modification le