Traitement des données personnelles dans le cadre du COVID19

Article
Visuel

Afin de maîtriser les risques épidémiques liés à la COVID-19, les ARS mettent en œuvre des traitements de données à caractère personnel ayant pour finalité : le suivi des cas possibles et confirmés d’infection, le suivi des personnes dites contact d’un cas confirmé, le suivi actif et régulier des malades et des personnes contacts isolés à domicile, en complément du suivi sanitaire.

Corps de texte

Afin de maîtriser les risques liés à l’épidémie de COVID-19, les agences régionales de santé (ARS) mettent en œuvre, depuis le début de la crise, des traitements de données à caractère personnel ayant pour finalité :

  • le suivi des cas possibles et confirmés d’infection ;
  • le suivi des personnes dites contact d’un cas confirmé.

Dans le cadre de la stratégie de déconfinement présentée par le gouvernement le 28 avril 2020, ce dispositif d’identification et de prise en charge des cas et des personnes contacts repose sur une organisation en trois niveaux.

Les ARS sont chargées du traçage de niveau 3 : situations relevant des chaînes de transmission ou de cluster ainsi que les cas ayant eu des contacts multiples lors d’un rassemblement.

Afin de faciliter la mise en œuvre de ce dispositif, l’ARS Auvergne-Rhône-Alpes a recours à l’application régionale ARA-COVID, module applicatif paramétré aux besoins régionaux du contact-tracing et issue de la suite logicielle MICROSOFT Dynamics.

  1. Objet du traitement contact-tracing

Le traitement a pour objet l’enregistrement, l’investigation et le suivi épidémiologique par les ARS des cas confirmés de COVID-19 et des cas contacts, en vue d’identifier les chaînes et cas groupés de contamination et de prendre les mesures destinées à limiter la propagation de l’épidémie.

  1. Base juridique

Article 6 (1) e du règlement général sur protection des données – RGPD. Ce traitement relève des missions d’intérêt public dont sont investies les ARS en application de l’article L. 1431-2 1° b) du Code de la santé publique.

  1. Catégorie de données traitées
  • Date de signalement de la situation COVID à l'ARS par le référent de la structure, date du 1er cas signalé, résultat de l’investigation, localisation géographique du cas… ;
  • Données d’identification de la personne : nom de famille, nom d’usage, prénom, date de naissance, sexe, adresse, coordonnées (téléphone, e-mail) NIR, code régime de la sécurité sociale ;
  • Date et statut des appels effectués par l’Assurance Maladie ;
  • Date et Résultats de test(s) ;
  • Symptomatique : oui / non
  • Cas contact(s) de la personne, date du dernier contact.
  • Le cas échéant, participation à un ou des évènements dans l’hypothèse de cas groupés.
  1. Source des données

Les données sont :

  • soit collectées et saisies manuellement par les agents de l’ARS lors des appels téléphoniques auprès des cas ;
  • soit importées par fichiers sécurisés provenant des traitements « Contact Covid » mis en œuvre par l’Assurance Maladie, et de la base de données nationale de tests SIDEP.
  1. Personnes concernées

Le traitement de données concerne les cas de COVID-19 (avéré ou suspecté) et les cas contacts (dont l’infection est avérée ou suspectée).

  1. Destinataires des données

Les agents de l’ARS spécialement habilités à accéder à ces données.

  1. Durée de conservation des données

Les données collectées sont conservées 3 mois avant d’être anonymisées puis conservées pendant une durée de 6 mois.

Vous pouvez accéder aux données vous concernant, vous opposer au traitement de ces données, pour des raisons tenant à votre situation particulière, les faire rectifier ou geler l’utilisation de vos données.

Toute demande d’exercice de vos droits doit être effectuée auprès du délégué à la protection des données (DPO) de l’ARS Auvergne-Rhône-Alpes :

  • Soit par courrier électronique : ars-ara-dpd@ars.sante.fr
  • Soit par courrier postal
    Délégué à la protection des données - ARS Auvergne Rhône Alpes - 241 Rue Garibaldi - 69003 Lyon

Vous disposez également du droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL) si vous estimez que le traitement de vos données constitue une violation de la réglementation.