🟦 Décret du 22 juin 2023 portant création d’un traitement de données à caractère personnel dénommé « système d’information de veille et sécurité sanitaires » (SI-VSS)

Références

NOR : SPRZ2316043D
ELI : https://www.legifrance.gouv.fr/eli/decret/2023/6/22/SPRZ2316043D/jo/texte
Alias : https://www.legifrance.gouv.fr/eli/decret/2023/6/22/2023-499/jo/texte
Source : JORF n°0144 du 23 juin 2023, texte n° 26

Informations

Publics concernés : agences régionales de santé.

Objet : création d’un traitement de données à caractère personnel, dénommé « système d’information de veille et sécurité sanitaires » (SI-VSS).

Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.

Notice : le décret crée un traitement de données à caractère personnel dénommé « système d’information de veille et sécurité sanitaires » (SI-VSS) pour permettre aux agences régionales de santé d’assurer l’enregistrement et la traçabilité de la régulation, de la gestion et du suivi des signalements d’évènements qu’elles reçoivent au titre de leurs missions. Il précise les finalités du traitement, les informations et catégories de données à caractère personnel qui y sont enregistrées, les personnes habilitées à accéder au traitement et les destinataires des données, leur durée de conservation, ainsi que les modalités d’exercice de leurs droits par les personnes concernées.

Références : le décret peut être consulté sur le site Légifrance (https://www.legifrance.gouv.fr).

En-tête

La Première ministre,
Sur le rapport du ministre de la santé et de la prévention,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le code de l’action sociale et des familles, notamment ses articles L. 331-8-1, R. 331-8 et R. 331-9 ;
Vu le code de la santé publique, notamment ses articles L. 1413-2, L. 1413-7 et L. 1431-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu l’avis de la Commission nationale de l’informatique et des libertés en date du 13 avril 2023,
Décrète :

Article 1

I. – Il est créé un traitement de données à caractère personnel, dénommé « système d’information de veille et sécurité sanitaires » (SI-VSS), placé sous la responsabilité conjointe du ministère chargé de la santé et des agences régionales de santé, et mis en œuvre pour l’exécution d’une mission d’intérêt public, conformément au e du 1 de l’article 6 du règlement (UE) du 27 avril 2016 susvisé, et pour les motifs d’intérêt public mentionnés au i du 2 de l’article 9 du même règlement.
II. – Ce traitement a pour finalités :
1° D’assurer la traçabilité de la régulation, de la gestion et du suivi des signalements d’évènements que les agences régionales de santé reçoivent au titre de leurs missions prévues à l’article L. 1431-2 du code de la santé publique et des dispositions de l’article L. 331-8-1 du code de l’action sociale et des familles ;
2° De mettre à disposition des données permettant le suivi des conséquences sanitaires des signalements déclarés, le suivi et l’évaluation des mesures prises, ainsi que l’appui aux politiques publiques mises en œuvre par les agences régionales de santé dans le cadre de leurs missions.

Article 2

Les catégories de données à caractère personnel et informations susceptibles d’être enregistrées dans le traitement mentionné à l’article 1er sont :
1° Les informations relatives à la description de l’évènement, de sa cause potentielle et des éléments nécessaires à en assurer l’évaluation et le traitement : nature et typologie du signalement, date et lieu géographique de survenue de l’évènement, identification de l’établissement concerné le cas échéant, description chronologique des faits et éléments de contexte pertinents, caractéristiques particulières de l’évènement, mesures de gestion et de contrôle effectuées par l’agence régionale de santé et par les autres autorités compétentes ;
2° S’agissant des déclarants de l’évènement : les données d’identification, les coordonnées et la structure de rattachement ;
3° S’agissant des personnes exposées, ayant fait l’objet du signalement :
a) Les données d’identification et les coordonnées ;
b) Les autres données d’investigation recueillies permettant la réduction du risque et la prévention de la chaîne de contamination : circonstances de l’exposition, déplacements effectués et lieux fréquentés ;
c) Les données de santé permettant de déterminer l’exposition de la personne concernée, ainsi que sa situation au moment de l’événement : données médicales en lien direct avec le signalement et la pathologie, et informations relatives à la prise en charge de la personne concernée ;
4° S’agissant des personnes susceptibles d’apporter des informations utiles à l’investigation, dont les personnes de confiance : les données d’identification, les coordonnées et le lien avec la personne exposée ;
5° S’agissant des personnes ayant eu un contact avec la personne exposée durant la période de contagiosité ou les personnes ayant été exposées au même événement ou à la même source de contamination : les données d’identification, les coordonnées et les circonstances du contact ;
6° S’agissant des personnes disposant d’un compte utilisateur du SI-VSS : les données d’identification, les coordonnées professionnelles, l’agence régionale de santé et le service de rattachement.
Le cas échéant, l’identité de la personne exposée à une maladie infectieuse n’est communiquée aux personnes ayant eu un contact avec elle qu’avec son consentement.

Article 3

I. – Sont habilités à accéder au traitement mentionné à l’article 1er, à raison de leurs attributions respectives et dans la limite du besoin d’en connaître :
1° Les personnels des agences régionales de santé spécialement habilités par leurs directeurs généraux ;
2° Les personnels des cellules d’intervention en région de l’Agence nationale de santé publique désignés par le directeur général de l’agence et spécialement habilités par les directeurs généraux des agences régionales de santé ;
3° Le cas échéant et sans préjudice du respect du secret médical, les sous-traitants auxquels les responsables de traitement ont recours, dans le respect des conditions fixées par l’article 28 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.
II. – Les professionnels de santé ou structures qui, par leur compétence, leur expertise ou leur implantation géographique, peuvent concourir à la réduction du risque et à la gestion de l’évènement, sont destinataires des seules données mentionnées à l’article 2 nécessaires aux actions qui leur incombent.
III. – Sont destinataires des données enregistrées dans le SI-VSS à raison de leurs attributions respectives et dans la limite du besoin d’en connaître :
1° Le centre opérationnel de régulation et de réponse aux urgences sanitaires et sociales du ministère chargé de la santé, pour les seules données mentionnées aux 1°, 2° et 6° de l’article 2, à l’exclusion des coordonnées des déclarants de l’évènement et des coordonnées professionnelles et du service de rattachement des personnes disposant d’un compte utilisateur du SI-VSS ;
2° L’Agence nationale de santé publique à des fins de surveillance épidémiologique, pour les seules données mentionnées aux 1° et 2° de l’article 2, à l’exclusion des mesures de gestion et de contrôle effectuées par l’agence régionale de santé et par les autres autorités compétentes ;
3° La Haute Autorité de santé lorsque le signalement porte sur un évènement indésirable grave associé aux soins, pour les seules données mentionnées au 1° de l’article 2, à l’exclusion de l’identification de l’établissement concerné et des mesures de gestion et de contrôle effectuées par l’agence régionale de santé et par les autres autorités compétentes.

Article 4

Les données mentionnées à l’article 2 sont conservées pendant une durée maximale de six ans à compter de la date de clôture du dossier de signalement.
Les données techniques et de traçabilité liées à l’utilisation du traitement mentionné à l’article 1er font l’objet d’un enregistrement et sont conservées pendant une durée d’un an.

Article 5

I. – Les personnes dont les données et informations sont traitées reçoivent les informations prévues aux articles 13 et 14 du règlement (UE) du 27 avril 2016 susvisé, et en particulier l’information selon laquelle le droit d’opposition ne s’applique pas au traitement de données tel que prévu au III.
Cette information est disponible sur le site internet du ministère chargé de la santé et des agences régionales de santé. Les personnes concernées reçoivent, le cas échéant, également cette information lors de la première prise de contact effectuée dans le cadre des investigations de l’agence régionale de santé.
II. – Les personnes dont les données sont traitées peuvent exercer leurs droits d’accès et de rectification des données, ainsi que le droit à la limitation du traitement, prévus respectivement aux articles 15, 16 et 18 du même règlement, auprès de l’agence régionale de santé territorialement compétente.
III. – En application du e du 1 de l’article 23 du même règlement, le droit d’opposition ne s’applique pas au présent traitement.

Article 6

Le ministre de la santé et de la prévention est chargé de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.

Date et signature(s)

Fait le 22 juin 2023.

Élisabeth Borne
Par la Première ministre :

Le ministre de la santé et de la prévention,
François Braun