fin

Publié le : 2020-06-29

Image de la publication
SERVICE PUBLIC FEDERAL SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT

26 JUIN 2020. - Arrêté royal n° 44 concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano



RAPPORT AU ROI
Sire,
Dans le cadre de la crise sanitaire COVID-19 en Belgique, une banque de données a été créée auprès de Sciensano, l'Institut belge de santé publique, par l'arrêté royal n° 18 du 4 mai 2020. Celle-ci contient des données spécifiques, nécessaires pour rechercher et contacter les personnes concernées, pour la réalisation d'études scientifiques, statistiques et/ou d'appui à la politique et pour l'accomplissement des missions des services d'inspection sanitaire dans les communautés et régions dans le cadre d'initiatives visant à combattre la propagation des effets néfastes causés par les maladies infectieuses.
Toutefois, l'arrêté royal n° 18 du 4 mai 2020 cessait ses effets le 4 juin 2020. Etant donné qu'il était très important pour la réalisation des objectifs susmentionnés que la banque de données puisse encore exister (temporairement) en tant que telle après cette date, l'arrêté royal n° 25 a été approuvé afin de la maintenir jusqu'au 30 juin 2020.
Dans son avis n° 67.425/3 du 26 mai 2020 sur une proposition de loi `portant création d'une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19', dont le contenu est quasi identique au contenu de l'arrêté royal n° 18, la section législation du Conseil d'Etat formule, notamment, les considérations et conclusions suivantes :
« La recherche des infections au COVID-19 relève [...] de la compétence des communautés. Cette compétence comprend également l'établissement d'une réglementation visant à protéger les personnes physiques lors du traitement de données à caractère personnel recueillies à la suite de cette recherche. Dans la mesure où la proposition de loi soumise pour avis prévoit des règles relatives au traitement de ces données à caractère personnel, elle empiète sur la compétence communautaire en matière de médecine préventive.
En outre, l'article 3, § 2, de la proposition de loi prévoit des règles relatives aux missions et au fonctionnement du centre de contact chargé de rechercher les infections au COVID-19. Ces règles relèvent également de la compétence communautaire en matière de médecine préventive.
Le traitement des données à caractère personnel dans la banque de données s'inscrit également dans le cadre des compétences fédérales en matière de recherche scientifique [...]. A cet égard, le projet se rattache aux activités de surveillance dont Sciensano est chargé par l'article 4 de la loi du 25 février 2018 « portant création de Sciensano ».
En conclusion, la proposition de loi concerne à la fois des compétences fédérales et des compétences communautaires. En outre, les deux aspects de la réglementation proposée s'avèrent être étroitement liés.
Dans sa forme actuelle, la proposition de loi soumise pour avis ne peut se concrétiser que si elle est transformée en un accord de coopération, pour lequel l'assentiment parlementaire est requis. »
Le Comité de concertation du 30 mai 2020 a pris la décision suivante : « A la lumière de l'avis du Conseil d'Etat sur la proposition de loi relative au tracing et à la banque de données, il a été décidé de conclure un accord de coopération. »
La Conférence Interministérielle Santé publique a élaboré un projet d'Accord de coopération entre l'Etat fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano.
Ce projet a été approuvé par le Comité de Concertation le 25 juin 2020, après quoi la procédure d'approbation par les différents gouvernements et parlements des entités fédérées a été entamée.
Toutefois, l'arrêté royal n° 18 tel que modifié par l'arrêté royal n° 25 du 28 mai 2020 cesse ses effets le 30 juin 2020. Etant donné qu'il est très important pour la réalisation des objectifs susmentionnés que la banque de données puisse encore exister (temporairement) en tant que telle après cette date, il est proposé de la maintenir jusqu'au 15 octobre 2020. Le délai pour l'effacement des données à caractère personnel est ajusté en conséquence (le 20 octobre 2020 au lieu du 5 juillet 2020).
En raison de la continuité du suivi des contacts et en vue d'éviter un vide juridique, le présent arrêté royal vise à prévoir une réglementation temporaire, qui tient compte dans la mesure du possible des avis 67.425/3 à 67.427/3 inclus et 67.424/3 du Conseil d'Etat et n° 42/2020 et n° 49/2020 de l'Autorité de protection des données.
Le contenu du présent arrêté est presque identique à celui du projet d'accord de coopération approuvé susmentionné, qui sera soumis au Conseil d'Etat et à l'Autorité de protection des données pour avis.
COMMENTAIRE GENERAL
Le 11 mars 2020, l'Organisation mondiale de la Santé (OMS) a déclaré que la flambée du virus SRAS-CoV-2, qui provoque la maladie COVID-19, constitue une pandémie.
La Belgique n'est, elle non plus, pas épargnée par cette pandémie. Dans le contexte de la crise sanitaire COVID-19 et afin de prévenir la poursuite de la propagation de la maladie, le Conseil national de sécurité, qui réunissait des représentants du gouvernement fédéral ainsi que des représentants des entités fédérées, a été chargé de prendre des mesures concertées afin de limiter la propagation du COVID-19.
1. Objectifs généraux
Le traçage des contacts des personnes infectées et l'incitation de ces contacts à prendre les mesures nécessaires est crucial pour prévenir l'apparition de nouveaux foyers d'infection, qui menacent la santé publique. Le suivi et le traçage des contacts peuvent être effectués de différentes manières. Les méthodes les plus évidentes sont le traçage manuel et numérique des contacts.
Une des mesures nécessaires dans le suivi manuel des contacts est le traçage précoce des personnes infectées ou sérieusement suspectées d'être infectées par le COVID-19, afin que ces personnes puissent recevoir les recommandations nécessaires (isolement à domicile, télétravail, etc.) pour éviter d'infecter d'autres personnes avec le virus SRAS-CoV-2. Comme il s'agit d'une tâche de soins de santé préventifs, elle relève de la compétence des entités fédérées.
Compte tenu de la contagiosité du virus SRAS-CoV-2, il est également nécessaire d'identifier les personnes avec lesquelles la personne infectée ou suspectée d'être infectée a été en contact (traçage des contacts), afin que les recommandations nécessaires puissent également être prodiguées à ces personnes (se faire dépister, limiter les contacts, etc.) pour prévenir toute nouvelle propagation du COVID-19. Ces tâches de traçage de contacts sont elles aussi couvertes par le volet de suivi manuel des contacts. Là aussi, il s'agit d'une tâche de soins de santé préventifs qui relève de la compétence matérielle des entités fédérées.
La détection des infections par le COVID-19 relève donc de la compétence des communautés. Cette compétence comprend également la mise en place d'un système de protection des personnes physiques à l'égard du traitement des données à caractère personnel collectées à la suite d'une telle détection.
Afin de rendre le traitement des données de ce suivi manuel des contacts uniforme dans toute la Belgique, Sciensano, l'Institut belge de santé publique, a été chargé de rassembler les données de santé et les coordonnées des patients auprès des médecins, des laboratoires et des hôpitaux dans une base de données centrale unique.
Une base de données centrale est nécessaire compte tenu de la mobilité des citoyens entre les différentes entités fédérées. La gestion de différentes bases de données par entité fédérée signifierait donc que les bases de données devraient interagir dès que de tels déplacements ont lieu. Sur le plan pratique, cette interaction pourrait ralentir le fonctionnement des centres de contact puisqu'ils devraient attendre les contributions des autres entités fédérées. En outre, le transfert régulier de données à caractère personnel entre différentes bases de données décentralisées comporte un risque beaucoup plus élevé de fuites de données. Pour ces raisons, l'avis de l'Autorité de protection des données visant à mettre en place des bases de données décentralisées n'a pas été suivi. Dans l'optique d'une politique plus sûre et plus efficace, l'objectif du présent arrêté est avant tout de fournir la base juridique pour cette base de données centrale.
Cette base de données auprès de Sciensano, qui sera mise en place dans le cadre du présent arrêté (ci-après « Base de données I »), permettra l'échange de données avec les bases de données qui seront créées pour soutenir les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes. Ces dernières - également des bases de données centralisées (ci-après dénommées « Bases de données III et IV ») - seront également créées dans le cadre du présent arrêté.
Afin de permettre aux inspections sanitaires et aux équipes mobiles de remplir correctement les tâches qui leur sont confiées (notamment l'identification et la détection des foyers de COVID-19 et clusters, la prise de mesures sur place pour contenir les foyers de COVID-19 et les clusters), il est également nécessaire de prévoir un échange de données entre la Base de données I et les inspections sanitaires, ainsi qu'avec les équipes mobiles.
En outre, les fonctions de la surveillance épidémiologique existante doivent rester garanties. Il sera donc important de permettre aux institutions de recherche, y compris Sciensano, d'effectuer des études scientifiques ou statistiques liées à la propagation du coronavirus COVID-19 et/ou de soutenir la politique de lutte contre le coronavirus, par l'échange de données entre la Base de données I et la Base de données déjà existante auprès de Sciensano, qui est utilisée actuellement pour la recherche scientifique (ci-après « Base de données II »). C'est une tâche qui relève de la compétence matérielle de l'Etat en matière de recherche scientifique. Le traitement des données à caractère personnel dans la Base de données I s'inscrit également dans le cadre des compétences fédérales en matière de recherche scientifique, comme il ressort de l'article 1er, § 2 du présent arrêté. A ce titre, il s'inscrit dans le cadre des activités de surveillance confiées à Sciensano par l'article 4 de la loi du 25 février 2018 « portant création de Sciensano ».
Afin de pallier les limites en termes d'efficacité du suivi manuel des contacts, il est nécessaire de prévoir des moyens supplémentaires de traçage des contacts. En effet, il n'est pas toujours possible de se rappeler exactement avec qui on a été en contact pendant une certaine période, a fortiori de connaître les coordonnées de toutes ces personnes. C'est pourquoi, outre le suivi manuel des contacts, le présent arrêté prévoit un cadre permettant le suivi numérique des contacts par le biais d'une application de traçage numérique des contacts.
2. Suivi manuel des contacts
Afin de rendre le suivi manuel des contacts aussi efficace que possible, la Base de données I devrait faire office de base de données centrale dans la lutte contre la propagation du COVID-19. Sciensano, en tant que responsable du traitement, gère la Base de données I qui contient des données à caractère personnel provenant des prestataires de soins et des établissements de soins. Toutefois, aux fins énoncées dans le présent arrêté, il sera également nécessaire que le personnel des centres de contact (y compris les chercheurs sur le terrain) et les équipes mobiles partagent avec la Base de données I les données qu'ils ont recueillies. L'objectif est d'organiser un suivi manuel des contacts qui soit aussi efficace et complet que possible.
Cette base de données coexiste avec la Base de données II de Sciensano, créée en 2014, qui sera la destinataire des données collectées à partir de la Base de données I dans le cadre de la lutte contre le COVID-19, mais après pseudonymisation et uniquement pour utiliser ces données pour d'autres recherches scientifiques et épidémiologiques.
En vue d'échanger des données avec les inspections sanitaires régionales, les équipes mobiles et/ou les centres de contact désignés par les agences compétentes à partir de la Base de données I, deux bases de données supplémentaires gérées de manière centralisée seront créées - comme indiqué ci-dessus - à savoir les Bases de données III et IV, pour lesquelles (i) la Vlaams Agentschap Zorg en Gezondheid, (ii) l'Agence wallonne pour une Vie de Qualité, (iii) le ministère de la Communauté germanophone et (iv) la Commission communautaire commune sont chacun responsables du traitement pour leur domaine sanitaire respectif. Cela concerne les deux bases de données suivantes :
1. la base de données contenant les demandes d'appel et les demandes pour le personnel du centre de contact (Base de données III) ;
2. la base de données contenant les coordonnées des collectivités (Base de données IV).
Une personne (présumée) infectée qui est contactée par le centre de contact pour fournir des informations sur les personnes avec lesquelles elle a été en contact ne doit pas préciser les circonstances dans lesquelles ce contact a eu lieu.
Il est prévu une dérogation au secret professionnel pour les personnes suivantes :
- les prestataires de soins de santé ;
- les personnes tenues de garder le secret professionnel.
S'agissant des prestataires de soins de santé, ils sont relevés de leur obligation de garder le secret lorsqu'ils doivent alimenter la base de données I pour les finalités prévues dans le présent arrêté, d'une part, mais aussi lorsqu'ils sont contactés par le centre de contact, en tant que personne (présumée) infectée, pour fournir des informations sur les personnes avec lesquelles ils ont été en contact, d'autre part.
En ce qui concerne les autres personnes dépositaires, par état ou par profession, des secrets qu'on leur confie, elles sont également relevées de leur obligation de garder le secret lorsqu'elles sont contactées par le centre de contact, en tant que personne (présumée) infectée, pour fournir des informations sur les personnes avec lesquelles elles ont été en contact.
Ces Bases de données III et IV échangent des données entre elles et avec la Base de données I dans le cadre du suivi des contacts.
On entend par « collectivités » des communautés de personnes pour lesquelles les inspections sanitaires compétentes jugent qu'il existe un risque accru de propagation du coronavirus COVID-19, sur la base des dernières informations scientifiques. Il peut par exemple s'agir d'un hôpital, une école, un centre d'asile, une prison, une maison de repos et de soins, un lieu de travail, une institution pour des personnes handicapées, une garderie, un centre de revalidation ou une caserne. Les institutions que l'on peut entendre par « collectivités » peuvent, le cas échéant, être clarifiées au moyen d'un arrëté vise à l'article 1 § 4.
Finalités du traitement relatives au stockage et à l'échange de données à caractère personnel dans la base de données (I) créée à cet effet auprès de Sciensano
Les finalités du traitement de cette collecte de données dans la Base de données I et de l'échange ultérieur de données vers les Bases de données II, III et IV sont au nombre de quatre.
1. La collecte et l'échange de données servent à identifier et à contacter - par tout moyen de communication possible - les personnes infectées confirmées et les personnes pour lesquelles un médecin a de sérieuses raisons de soupçonner une infection, afin de leur prodiguer les recommandations nécessaires et de poursuivre le suivi de ces personnes, ainsi que de fournir des informations sur les personnes avec lesquelles elles ont été en contact.
Afin d'atteindre cette finalité de traitement, un échange de données entre les Bases de données I et III est prévu, le cas échéant également avec la Base de données IV.
2. La collecte et l'échange de données sont nécessaires pour contacter les personnes avec lesquelles les personnes infectées ou suspectées d'être infectées (ci-après dénommées « personnes index ») ont été en contact, par tout moyen de communication possible, pour fournir des consignes en matière d'hygiène et de prévention, pour proposer une quarantaine et/ou pour les inviter à subir un test de dépistage du coronavirus COVID-19 et son suivi ultérieur. Le centre de contact prendra également contact avec le médecin de référence ou, à défaut, avec le responsable administratif de la collectivité à laquelle appartient le patient (présumé) infecté, afin de les informer de l'infection (présumée) de la personne qui fait partie de cette collectivité.
Afin d'atteindre cette finalité de traitement, un échange de données entre les Bases de données I et III est prévu, le cas échéant également avec la Base de données IV. La Base de données I doit ensuite être alimentée par les données des personnes avec lesquelles les personnes index sont entrées en contact, recueillies par les centres de contact concernés.
3. La collecte et l'échange de données sont nécessaires tant pour les inspections sanitaires compétentes des entités fédérées dans le cadre de leurs missions réglementaires que pour les tâches qui seront confiées aux équipes mobiles des services d'inspection sanitaire. Les inspection sanitaire sont celles visées respectivement dans le décret du 21 novembre 2003 relatif à la politique de santé préventive (pour la Flandre), le décret du 2 mai 2019 modifiant le Code wallon de l'Action sociale et de la Santé en ce qui concerne la prévention et la promotion de la santé (pour la Wallonie), l'ordonnance du 19 juillet 2007 relative à la politique de prévention en santé et l'arrêté du 23 avril 2009 du Collège réuni de la Commission communautaire commune relatif à la prophylaxie des maladies transmissibles (pour Bruxelles) et le décret du Parlement de la Communauté germanophone du 1er juin 2004 relatif à la promotion de la santé et à la prévention médicale et ses arrêtés d'exécution.
Cela comprend également le traçage et le suivi de clusters, en utilisant des équipes mobiles pour identifier ces clusters dans les collectivités et les communautés de vie, certaines mesures étant prises par l'entité fédérée respective.
Pour atteindre cette finalité de traitement, il est prévu un échange de données entre la Base de données I et les inspections sanitaires ainsi que les équipes mobiles désignées par celles-ci, chacune dans leur domaine de compétence.
4. Enfin, après pseudonymisation des données, la collecte et l'échange de données servent à mettre ces données à la disposition de la Base de données II pour la recherche scientifique, statistique et/ou de soutien politique par les instituts de recherche, en ce compris Sciensano, dans le cadre de la lutte contre le coronavirus COVID-19 et des politiques connexes.
Pour atteindre cette finalité de traitement, un échange de données pseudonymisées entre la Base de données I et la Base de données II est prévu.
Catégories de données à caractère personnel collectées dans le cadre du présent arrêté
Les catégories de données à caractère personnel collectées sont les suivantes : données d'identification et de contact, données relatives aux tests, prescriptions, résultats d'examens par CT-scan et diagnostics présumés des personnes, d'une part, et données relatives aux personnes infectées ou sérieusement suspectées d'être infectées ainsi qu'aux patients hospitalisés dont le diagnostic du coronavirus a été confirmé dans les hôpitaux, d'autre part. Nombre de ces données sont collectées par les laboratoires, les centres de triage, les hôpitaux et les médecins, les MCC (médecins coordinateurs et conseillers) dans les collectivités (par exemple, les centres de soins résidentiels, les centres d'asile et les prisons). Le diagnostic présumé en l'absence de test ne concerne que l'infection présumée par le coronavirus COVID-19. Ce diagnostic présumé ne peut être posé que par le médecin qui, sur la base d'un examen médical, établit l'infection par le coronavirus COVID-19 présumée.
En ce qui concerne les tests, non seulement les résultats des tests sont importants, mais aussi le type de test prescrit et/ou effectué, ainsi que la date du test, sont indispensables. D'une part, pour déterminer si un patient est infecté ou non et, d'autre part, pour permettre aux chercheurs de mener des recherches qualitatives et statistiques supplémentaires sur les tests de COVID-19. Une infection par COVID-19 peut également être déduite des résultats des examens par CT-scan. La collecte de ces données permet d'obtenir plus de clarté sur l'évolution générale de la maladie COVID-19 chez un patient infecté.
En vue de l'identification sans équivoque des personnes concernées (c'est-à-dire les patients hospitalisés, les personnes infectées ou les personnes fortement suspectées d'être infectées) et de la mise en relation des données collectées, il est absolument indispensable de conserver également le numéro d'identification à la sécurité sociale des personnes concernées dont les données sont traitées dans la Base de données I et de permettre un accès général au Registre national. Cela soulage également les médecins, les hôpitaux et les laboratoires qui mettent les informations à disposition (c'est-à-dire les informateurs), car ils n'ont à fournir que les données qui ne se trouvent pas dans le Registre national. Etant donné que l'ensemble du système de soins de santé en Belgique repose sur l'utilisation du numéro de Registre national pour identifier effectivement un patient, ce numéro est également essentiel pour le traitement dans le cadre du suivi manuel des contacts, en vue d'identifier correctement la personne index ainsi que les personnes avec lesquelles la personne index a été en contact.
Dans la mesure strictement nécessaire pour atteindre les finalités de traitement définies dans le présent arrêté, les données à caractère personnel collectées seront également reliées à des données à caractère personnel provenant d'autres bases de données, telles que les registres de la Banque carrefour, à partir desquels les données d'identification correctes peuvent être obtenues, la base de données Cobrha contenant les données d'identification précises des médecins et des établissements de soins concernés et la base de données des titulaires de DMG. Un lien avec d'autres données à caractère personnel qui n'est pas nécessaire dans le cadre de ces mêmes finalités n'est donc pas autorisé (par exemple, les données à caractère personnel ne peuvent en aucun cas être liées à des fins fiscales aux données à caractère personnel du Service public fédéral Finances ou, aux fins de la lutte contre la fraude, être liées à des données à caractère personnel provenant d'autres sources authentiques).
L'utilisation de ces sources authentiques est d'une importance fondamentale afin de réduire au minimum la charge administrative pesant sur les informateurs, d'accroître la qualité des données et de garantir la communication fluide des résultats des tests aux prestataires de soins qui traitent un patient infecté.
L'inclusion du numéro INAMI du médecin traitant dans la Base de données I est également importante. Ce numéro est utilisé pour identifier et vérifier le médecin qui a prescrit le test, ou le médecin qui a pris la décision d'annulation. Cela s'applique également au numéro INAMI du laboratoire ou du centre de triage qui a effectué le test. En outre, ces données sont utilisées à des fins statistiques, ainsi que pour améliorer la qualité des tests effectués conformément à l'article 5, (1), b du Règlement Général sur la Protection des Données, sans que cela n'entraîne jamais de responsabilité pénale pour les médecins ou les laboratoires. Pour que cela soit possible, le numéro INAMI du médecin ou du laboratoire doit également être traité et conservé.
Par ailleurs, les données à caractère personnel des personnes avec lesquelles la personne infectée ou la personne pour laquelle il existe un soupçon sérieux d'infection sont également enregistrées. La collecte et le traitement des données à caractère personnel des personnes avec lesquelles la personne infectée ou les personnes pour lesquelles il existe un soupçon sérieux d'infection, ont été en contact, sont effectués sur la base des scripts élaborés par le système de traçage du centre de contact. Même après que les personnes avec lesquelles la personne infectée, ou la personne pour laquelle il existe un soupçon sérieux d'infection, a été en contact ont déjà été contactées par les centres de contact, les données de ces personnes sont conservées en vue du suivi ultérieur de ces personnes.
En vue d'études épidémiologiques, il est également nécessaire de disposer d'informations sur les personnes qui ont été testées avec un résultat négatif et les personnes qui ont été infectées mais ne le sont plus. Le premier permet de tirer des conclusions utiles sur le rapport entre les résultats négatifs et positifs des tests, le second permet également de tirer des conclusions sur l'immunité de la population.
Les données collectées par les équipes mobiles peuvent en outre être transférées à Sciensano pour être stockées dans la Base de données I en vue de leur traitement et de leur communication ultérieurs, mais uniquement pour les finalités de traitement fixées dans le présent arrêté.
Le présent arrêté n'énumère que les catégories de données à caractère personnel collectées, mais contient déjà une liste non exhaustive des données à caractère personnel qui relèvent de la catégorie en question afin d'accroître la transparence entourant la collecte et le traitement des données dans ce contexte. Ceci afin de permettre au système de suivi manuel des contacts d'évoluer sous toutes ses facettes en fonction des nouveaux acquis de la science et de la nécessité de pouvoir réagir rapidement en cette période de crise Covid-19.
Accès et transfert de données à caractère personnel
Il va sans dire que le centre de contact désigné par les autorités régionales compétentes ou les agences compétentes ne recevra que les informations nécessaires au traçage des contacts et dans la mesure où les personnes concernées relèvent de la compétence de l'autorité régionale ou de l'agence concernée. Plus précisément, la Base de données III contient les demandes d'appel pour le personnel des centres de contact. Elle est alimentée à partir de la Base de données centrale I, et ce uniquement avec les données des personnes infectées ou suspectées d'être infectées et uniquement dans la mesure où ces données sont nécessaires au suivi des contacts, comme le nom, les coordonnées et l'indication que la personne doit être appelée en tant que personne (suspectée d'être) infectée. Les résultats de cette enquête de contact sont à leur tour saisis dans la Base de données I. Enfin, la Base de données IV contient les coordonnées des collectivités auxquelles la personne concernée appartient, et qui échangent des données avec les Bases de données I ainsi que III et IV.
Le centre de contact contacte non seulement les personnes dont les médecins ont de sérieux soupçons d'infection et celles avec lesquelles le test COVID-19 du coronavirus a révélé qu'elles sont infectées, mais aussi les personnes avec lesquelles elles ont eu des contacts étroits. Le centre de contact désigné par les autorités régionales compétentes ou par les agences compétentes reçoit ces informations de la Base de données I auprès de Sciensano. En cas de contacts avec des personnes au sein d'une collectivité appartenant à un groupe de population vulnérable, le centre de contact prendra contact avec le médecin de référence ou, à défaut, avec le responsable administratif de cette collectivité pour un suivi complémentaire de la situation. Dans le cas de contacts avec des personnes individuelles, le centre de contact contacte ces personnes par téléphone, leur prodigue ensuite les recommandations appropriées sur la base des informations qu'elles fournissent (rester chez soi, travailler à domicile, se faire tester, etc.) et confirme ces recommandations par voie électronique. Cet envoi électronique n'est qu'une confirmation des recommandations données oralement. Il est également possible que des enquêteurs de terrain effectuent des visites physiques auprès des personnes concernées lorsque le contact téléphonique ou électronique est impossible.
Les équipes mobiles et les inspections sanitaires des entités fédérées matériellement et territorialement compétentes ou les agences compétentes ont accès aux données contenues dans la Base de données I dans la mesure où l'accès a lieu dans le cadre des finalités de traitement en matière de suivi des contacts définies dans le présent arrêté; l'accès se fait dans le cadre de leurs compétences régionales respectives en matière d'initiatives de lutte contre la propagation des effets néfastes causés par les maladies infectieuses, ces initiatives étant limitées aux initiatives de lutte contre les effets néfastes du coronavirus COVID-19.
Les données pseudonymisées contenues dans la Base de données II ne peuvent être transférées à des tiers que dans le cadre d'études scientifiques ou statistiques en matière de lutte contre la propagation du coronavirus COVID-19 et/ou pour soutenir les politiques dans ce domaine. Ce transfert n'est possible qu'après délibération de la chambre « sécurité sociale et santé » du Comité de sécurité de l'information.
Compétence du Comité de sécurité de l'information
Le Comité de sécurité de l'information est un organe indépendant dont la tâche est d'autoriser la communication de données à caractère personnel dans le secteur social et des soins de santé, dans le respect des principes fondamentaux de la protection des données et afin de promouvoir la protection des données et la sécurité de l'information.
La soumission de la communication de données à caractère personnel à une délibération du Comité de sécurité de l'information est une règle établie par la loi fédérale et constitue une mesure de protection des données dès la conception et protection des données par défaut au sens du Règlement général sur la protection des données. Elle est basée sur les articles 6, paragraphe 2 et 9, paragraphe 4 du Règlement général sur la protection des données.
En effet, les délibérations du Comité de sécurité de l'information précisent les mesures de sécurité de l'information à respecter par les participants à une communication de données et évaluent de manière préventive qu'il n'y a pas d'excès de données à caractère personnel communiquées à l'organisme récepteur par rapport aux données qui sont nécessaires à celui-ci pour atteindre des finalités légitimes de traitement.
Les délibérations du Comité de sécurité de l'information sont contraignantes pour les participants à l'échange de données. D'autre part, ils visent à fournir une sécurité juridique aux participants à l'échange de données afin qu'un partage efficace et efficient des données ne soit pas inutilement hypothéqué par un manque de clarté concernant les mesures de sécurité de l'information à implémenter ou concernant la légitimité de la communication des données à caractère personnel.
Les délibérations du Comité de sécurité de l'information ne portent que sur l'échange (électronique) de données. Dans ses délibérations, le Comité de sécurité de l'information est lié par les dispositions légales régissant les finalités du traitement par les autorités qui reçoivent les données. Les délibérations du Comité de sécurité de l'information ne constituent qu'une base juridique permettant à un organisme traitant des données à caractère personnel à des fins légitimes de communiquer ces données à d'autres organismes, à des fins légitimes pour lesquelles l'organisme destinataire peut traiter des données à caractère personnel.
Les délibérations du Comité de sécurité de l'information ne constituent pas une base juridique pour la première collecte et le premier traitement de données à caractère personnel par l'organisme émetteur. Au contraire, l'organisme destinataire doit traiter les données à caractère personnel en vertu des bases juridiques dont il dispose. Par conséquent, le Comité de sécurité de l'information ne peut pas étendre la finalité du traitement initial par l'organisme émetteur, ni fournir une base juridique pour le traitement par l'organisme récepteur autre que celle prévue par la loi ou en vertu de celle-ci.
Le Comité de sécurité de l'information n'est pas une autorité de contrôle au sens du Règlement général sur la protection des données. Elle n'est donc pas compétente pour contrôler le respect des règles, pour résoudre les problèmes et les litiges ou pour traiter les plaintes. En effet, c'est l'Autorité de protection des données qui est compétente pour ces questions. L'Autorité de protection des données peut à tout moment comparer toute délibération du Comité de sécurité de l'information avec des normes juridiques plus élevées et, en cas de non-conformité, demander au Comité de sécurité de l'information de reconsidérer sa délibération sur les points qu'elle a soulevés.
Dans le cadre du présent arrêté, le Comité de la sécurité de l'information délibère sur des échanges concrets d'informations, dans la mesure où ils ne sont pas encore prévus par le présent arrêté. Ces délibérations ne peuvent être accordées que pour des communications dans le cadre des finalités de traitement et pour les catégories de données à caractère personnel définies dans le présent arrêté. Par conséquent, le Comité de sécurité de l'information ne peut en aucun cas déterminer lui-même d'autres finalités de traitement ou catégories de données à caractère personnel pour la communication de données à caractère personnel à la base de données de Sciensano ou par celle-ci.
Le Comité de sécurité de l'information, en particulier la chambre « sécurité sociale et santé », ne peut que préciser davantage, pour les finalités de traitement définies dans le présent arrêté, quelles données à caractère personnel spécifiques relevant d'une certaine catégorie de données à caractère personnel peuvent être traitées, rendues accessibles et/ou communiquées à l'une des Bases de données II, III, IV ou communiquées de la Base de données IV à la Base de données centrale I auprès de Sciensano, dans la mesure où cela est utile pour atteindre la finalité du traitement en question.
Les délibérations du Comité de sécurité de l'information sont publiées sur les sites web respectifs.
Afin de permettre au système de suivi manuel des contacts d'évoluer dans toutes ses facettes en fonction des nouveaux acquis de la science ainsi que de la nécessité de réagir rapidement en période de crise COVID-19 (i) les institutions pouvant être reprises sous le vocable de « collectivités » (ii) les catégories de fournisseurs d'informations qui doivent obligatoirement communiquer des données à caractère personnel à Sciensano pour stockage et traitement ultérieurs dans la base de données centrale et (iii) les catégories de données à caractère personnel traitées dans les Bases de données I, II, III et IV peuvent être clarifiées, modifiées ou complétées par le biais d'un arrêté royal délibéré en Conseil des Ministres et en Conférence Interministérielle Santé publique.
Le Comité de sécurité de l'information ne pourra donc pas déterminer quelles institutions peuvent être reprises sous le vocable de collectivités, quels catégories de fournisseurs d'informations doivent obligatoirement communiquer des données à caractère personnel à Sciensano ou quelles catégories de données à caractère personnel sont traitées dans les Bases de données I, II, III et IV. Ces éléments doivent être établis par le biais d'un arrêté royal visé à l'article 1er § 4. Ceci n'empêche pas que le Comité de sécurité de l'information peut exercer ses compétences tels que décrites dans le présent arrêté en ce qui concerne les flux de données concernant les collectivités, les catégories supplémentaires de fournisseurs d'informations et les catégories supplémentaires de données personnelles.
Mesures de sécurité
Les responsables respectifs du traitement prennent également les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité élevé. Cela signifie, entre autres, que les bases de données respecteront les principes de la protection des données dès la conception et par défaut. Il sera également garanti que la pseudonymisation des données à caractère personnel soit effectuée de telle sorte que les données à caractère personnel ne puissent plus être associées à une personne spécifique sans que des données supplémentaires soient utilisées, et que cette pseudonymisation soit effectuée conformément à la nouvelle définition contenue dans le Règlement général sur la protection des données.
Délai de conservation des données à caractère personnel
En tout état de cause, les données à caractère personnel sont supprimées de la Base de données centrale (I) au plus tard 60 jours après leur stockage. Cette période de 60 jours tient compte des développements les plus récents de la recherche épidémiologique (par exemple dans le domaine des tests) nécessaires pour assurer un suivi correct des personnes. Les données pseudonymisées contenues dans la Base de données II à des fins de recherche scientifique seront supprimées conformément aux dispositions de la loi du 10 avril 2014 contenant diverses dispositions en matière de santé et de l'accord de coopération conclu en application de celle-ci entre l'INAMI et Sciensano. Les données à caractère personnel de la Base de données III sont supprimées quotidiennement et celles de la Base de données IV sont soit mises à jour, soit supprimées tous les dix ans.
Les données à caractère personnel reçues seront en tout cas supprimées par le responsable du traitement cinq jours après le jour où le présent arrêté cesse ses effets, à savoir au plus tard le 20 octobre 2020.
Transparence et droits des personnes concernées
Des mesures sont prises par les responsables des traitements respectifs pour assurer la transparence nécessaire en ce qui concerne le traitement des données à caractère personnel et pour respecter l'exercice des droits des personnes concernées en matière de données à caractère personnel.
La communication aux citoyens doit être concise, transparente et compréhensible à différents niveaux. Lorsque l'on contacte la personne concernée par l'intermédiaire des centres de contact, la communication concernant le traitement de ses données à caractère personnel doit être transparente. Un site web où la personne concernée peut facilement trouver toutes les informations est également prévu.
Traçage numérique des contacts
Le présent arrêté fournit également un cadre permettant le suivi de contacts à l'aide d'une application numérique de traçage de contacts.
Une application numérique de traçage de contacts peut permettre aux citoyens de déterminer eux-mêmes s'ils ont été récemment en contact avec une personne infectée. Une exigence fondamentale pour empêcher la propagation du virus basée sur les technologies numériques est la confiance des citoyens dans ces technologies et la plus grande participation possible des citoyens à ces technologies. Leur utilisation doit donc être soumise aux garanties les plus strictes et respecter les exigences en matière de droits fondamentaux. L'application des principes de protection des données dès la conception spécifiques au Règlement général sur la protection des données doit être au centre du développement d'une application numérique de traçage de contacts. A cet égard, le Comité européen de la protection des données recommande les applications numériques de traçage de contacts qui utilisent Bluetooth et fonctionnent de manière décentralisée, une méthode également adoptée dans le présent arrêté. Les recommandations des autorités nationales et internationales compétentes, en particulier la Commission européenne, le Comité européen de la protection des données et l'Autorité belge de protection des données, ont été prises en compte lors de l'élaboration du présent arrêté.
En fin de compte, la décision d'installer et d'utiliser une application numérique de traçage de contacts appartient au citoyen et à lui seul. Le présent arrêté opte pour un système dans lequel tant l'installation que l'utilisation d'une application numérique de traçage de contacts sont effectuées volontairement par la personne concernée. En outre, la communication de toute contamination éventuelle détectée reste également volontaire.
Encourager l'utilisation à grande échelle, par les citoyens, d'une même application numérique de traçage de contacts développée selon le principe de la protection des données dès la conception, est donc une mesure pleinement conforme au principe établi dans le Règlement général sur la protection des données, qui dispose que les mesures doivent être choisies de manière à permettre d'atteindre les objectifs fixés de la manière la plus efficace et la moins invasive possible en termes de droit à la protection de la vie privée.
Toutes les applications numériques de traçage de contacts utilisées en Belgique, dans le cadre du traçage de contacts des autorités, doivent, conformément au présent arrêté, être basées sur le système DP3T, un système open-source développé par un groupe paneuropéen d'universitaires spécialisés, entre autres, dans le cryptage, la sécurisation des informations, la protection de la vie privée et l'épidémiologie, et qui est déjà utilisé dans d'autres pays européens. Cela devrait permettre de minimiser l'ingérence dans la sphère privée. Le présent arrêté n'empêche pas le développement d'autres solutions numériques dans le cadre du secteur privé ou des institutions de recherche, pour autant qu'elles soient volontaires, prévoient un consentement explicite et informé et respectent pleinement toutes les exigences du Règlement général sur la protection des données.
Etant donné la nature pleinement volontaire de l'utilisation d'une application numérique de traçage de contacts et le fait que l'utilisation du système DP3T minimise l'ingérence dans la sphère privée, l'utilisation de telles applications contribue au bon équilibre entre le droit à la santé et l'ingérence dans la sphère privée.
Le système DP3T a été publié, et le code source est public afin qu'il puisse être vérifié par des experts indépendants. En ce sens, il répond à la recommandation de l'APD dans son avis 34/2020 consistant à demander de publier le code source.
Une application numérique de traçage de contacts basée sur le DP3T se compose d'une application mobile qui peut être installée et utilisée par l'utilisateur sur une base volontaire en local sur son appareil, et d'un journal central des enregistrements. L'application mobile enregistre les contacts entre les utilisateurs sans les identifier. Le journal des enregistrements permet à un utilisateur de transmettre volontairement une infection identifiée et le moment probable de cette infection de manière contrôlée, afin que les autres utilisateurs puissent être informés s'ils ont été en contact avec l'utilisateur infecté pendant la période où il a été contagieux, sans que l'identité de l'utilisateur infecté ou de l'autre utilisateur avec lequel il était en contact puisse être identifiée.
Une application numérique de traçage de contacts basée sur le système DP3T ne stocke que des données totalement pseudonymisées ou anonymes sur le dispositif de l'utilisateur, notamment des clés sécurisées et des numéros de série temporairement aléatoires, sans référence à l'identité des personnes entre lesquelles le contact a eu lieu ou au lieu où ce contact a eu lieu. La durée approximative du contact est conservée car elle est nécessaire pour établir si le contact a eu lieu entre le début de la contagiosité et l'établissement de l'infection.
Le présent arrêté prévoit que Sciensano est responsable du traitement du journal central des enregistrements. Sciensano doit s'assurer que les mesures techniques et organisationnelles nécessaires ont été prises pour protéger le journal des enregistrements, et que les données de celui-ci ne sont pas croisées avec d'autres bases de données. Compte tenu de l'expérience spécifique de Sciensano en matière de protection des données lors du traitement de données relatives à la santé pour la recherche scientifique et de la mise en oeuvre de telles méthodes de sécurisation et de pseudonymisation des données, Sciensano semble être le responsable le plus adapté pour effectuer ce traitement.
Les fonctionnalités, modalités et conditions techniques d'utilisation d'une application numérique de traçage des contacts prévues par le présent arrêté sont limitées à ce qui est strictement nécessaire pour déterminer les garanties de protection des droits et libertés fondamentaux des citoyens, et notamment la protection des informations traitées.
Le présent arrêté ne traite que des applications numériques de traçage de contacts dans le cadre de l'épidémie de COVID-19. Les autres applications numérique de santé, telles que les applications de triage, d'autosurveillance, de suivi dans le cadre d'une relation de soins ou les applications de soins à distance, ne sont pas couvertes ou régies par le présent arrêté.
Garanties visant à sauvegarder les droits fondamentaux et en particulier la protection des données à caractère personnel
Le présent arrêté détermine le cadre juridique dans lequel fonctionne une application numérique de traçage de contacts. Lors de la rédaction du présent arrêté, les recommandations des autorités nationales et internationales compétentes, notamment la Commission européenne, le Comité européen de protection des données et l'Autorité belge de protection des données, ont été prises en compte.
Comme l'ont confirmé les autorités susmentionnées, la législation européenne relative à la protection de la vie privée fournit une base juridique pour le développement et l'utilisation d'une application numérique de traçage de contacts, en particulier les articles 6, § 1er, point e), et 9, § 2, point i), du Règlement Général sur la Protection des Données. Le présent arrêté s'appuie donc sur ces bases juridiques spécifiques.
Le présent arrêté fournit la base juridique permettant d'atteindre les objectifs suivants:
• tout d'abord, une application numérique de traçage de contacts doit enregistrer les contacts entre utilisateurs de manière automatisée sans qu'il soit possible de retracer l'identité des utilisateurs ;
• deuxièmement, une application numérique de traçage de contacts doit donner à l'utilisateur dont l'infection par COVID-19 a été identifiée la possibilité de déclarer volontairement qu'il est infecté par le COVID-19, et ce de manière autorisée et contrôlée afin d'éviter toute déclaration fausse ou erronée ;
• la notification de l'infection devrait alors permettre aux autres utilisateurs qui sont entrés en contact avec l'utilisateur infecté par le COVID-19 pendant la période où celui-ci a été contagieux d'être informés qu'ils se trouvaient à proximité de cette personne infectée, sans donner le nom, le lieu ou le moment exact de l'infection.
Ce cadre juridique est nécessaire mais ne doit pas être confondu avec le libre choix du citoyen d'installer, d'utiliser et de désinstaller une application numérique de traçage de contacts. Le présent arrêté fixe le cadre des garanties techniques et relatives aux droits humains qu'une application numérique de traçage de contacts doit respecter, mais n'impose en aucun cas au citoyen l'obligation d'installer, d'utiliser ou de désinstaller une application numérique de traçage de contacts. Sur la recommandation de l'APD dans son avis 34/2020, il est également précisé qu'un (non-) utilisateur ne peut subir aucun désavantage ou avantage de quelque manière que ce soit selon qu'il utilise ou non une application numérique de traçage de contacts. Toutefois, l'application numérique de traçage de contacts sera assortie de conditions d'utilisation en vertu desquelles l'utilisation illicite sera sanctionnée à la fois contractuellement et selon les règles du droit commun.
L'installation d'une application numérique de traçage de contacts active un certain nombre d'opérations techniques décrites ci-dessus, en particulier la génération de clés sécurisées et de numéros de série temporairement aléatoires. Par la suite, il appartient toujours à l'utilisateur d'une application numérique de traçage de contacts d'activer les autres actions techniques, qu'elles soient actives ou non et sur une base volontaire, en confirmant une contamination par le COVID-19 via l'application. Il va sans dire qu'il s'agit d'une étape nécessaire pour aider à atteindre l'objectif ultime d'une application numérique de traçage de contacts, à savoir la réduction de l'épidémie de COVID-19, et la prévention de nouvelles résurgences.
Le présent arrêté est conforme à tous les principes de la législation relative à la protection des données :
• il détermine les finalités pour lesquelles une application numérique de traçage de contacts peut traiter des données ;
• il désigne le responsable du traitement qui doit appliquer les garanties prévues par le présent arrêté dans le cadre strict des objectifs définis. Sciensano est l'institution la mieux placée à cet effet. L'article 4, § 1er de la loi du 25 février 2018 portant création de Sciensano dispose que cette institution remplit certaines missions relatives à la santé, notamment la recherche scientifique et l'évaluation des risques, au niveau fédéral, régional et communautaire, ainsi qu'au niveau européen et international ;
• il définit les catégories de données, tant personnelles que non identifiables, qui peuvent être traitées par une application numérique de traçage de contacts ;
• il souligne la possibilité pour un utilisateur d'une application numérique de traçage de contacts de garder le contrôle de ses données et, au choix, de supprimer ses données ;
• il souligne le besoin de transparence et d'information de l'utilisateur d'une application numérique de traçage de contacts ;
• il détermine les périodes de conservation applicables aux données collectées ;
• il garantit que les données sont collectées dans un journal des enregistrements ou une base de données distincte et ne sont pas croisées avec d'autres bases de données ;
• il interdit le traitement des données collectées à d'autres fins ;
• il impose des exigences techniques et organisationnelles au responsable de traitement afin de garantir que les données collectées sont protégées contre tout traitement non autorisé ou illicite et contre toute perte, destruction ou détérioration accidentelle;
• il prévoit qu'une application numérique de traçage de contacts s'auto-éteindra afin de garantir qu'aucune autre donnée ne sera collectée une fois que la fin de l'épidémie de coronavirus COVID-19 sera déclarée.
Divers
D'une manière générale, il convient de souligner que, conformément au Règlement général sur la protection des données, les données à caractère personnel sont traitées légitimement sur la base du présent arrêté et en aucun cas sur la base du consentement de la personne concernée.
Enfin, il est très important que le présent arrêté prévoie les principes de base, mais laisse également une marge de manoeuvre suffisante pour ajuster le processus sans heurts afin d'accroître l'efficacité du traçage des contacts.
Le Roi peut, par arrêté délibéré en Conseil des Ministres et en Conférence Interministérielle Santé publique, définir les modalités requises pour la mise en oeuvre du présent arrêté.
J'ai l'honneur d'être,
Sire,
de Votre Majesté
le très respectueux et très fidèle serviteur,
La Ministre des Affaires sociales et de la Santé publique,
M. DE BLOCK

26 JUIN 2020. - Arrêté royal n° 44 concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d'un suivi des contacts des personnes (présumées) infectées par le coronavirus COVID-19 auprès sur la base d'une base de données auprès de Sciensano
PHILIPPE, Roi des Belges,
A tous, présents et à venir, Salut.
Vu le Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi spéciale du 8 août 1980 de réformes institutionnelles, et notamment ses articles 5 § 1, I et 6bis, § 2, 1° et 2° et 92bis ;
Vu que l'autorité fédérale n'est pas exclusivement compétente en ce qui concerne la politique de crise au cas où une pandémie (aiguë) nécessite des mesures urgentes. L'autorité fédérale, les Communautés et les Régions sont compétentes chacune dans les limites de leurs compétences propres. L'autorité fédérale est, à ce titre, compétente aussi à tout le moins pour la coordination ou la gestion d'une situation de crise de type pandémique. Vu que l'autorité fédérale et les entités fédérées ont la compétence d'adopter des mesures portant sur la lutte contre une crise touchant la santé publique, chacune dans le cadre de ses compétences matérielles.
Vu le décret du Parlement flamand du 21 novembre 2003 relatif à la politique de santé préventive ;
Vu le décret du Parlement de la Communauté germanophone du 1er juin 2004 relatif à la promotion de la santé et à la prévention médicale ;
Vu l'ordonnance du 19 juillet 2007 relative à la politique de prévention en santé ;
Vu la loi du 10 avril 2014 portant des dispositions diverses en matière de santé et l'accord de coopération conclu en application de celle-ci entre l'INAMI et Sciensano ;
Vu la loi du 25 février 2018 portant création de Sciensano, articles 4, § 4 et 7, § 2;
Vu la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le décret du Parlement flamand du 21 novembre 2003 relatif à la politique de santé préventive ;
Vu le décret du 2 mai 2019 modifiant le Code wallon de l'Action sociale et de la Santé en ce qui concerne la prévention et la promotion de la santé;
Vu le décret du Parlement flamand du 29 mai 2020 portant organisation de l'obligation de déclaration et du suivi des contacts dans le cadre du COVID-19 ;
Vu l'arrêté du Collège réuni de la Commission communautaire commune du 23 avril 2009 relatif à la prophylaxie des maladies transmissibles ;
Vu l'arrêté du Gouvernement flamand du 19 juin 2009 relatif aux initiatives visant à prévenir l'extension des effets néfastes causés par des facteurs biotiques ;
Vu l'arrêté du Gouvernement wallon de pouvoirs spéciaux n° 35 du 5 mai 2020 organisant le tracing socio-sanitaire dans le cadre de la lutte contre l'épidémie COVID-19 ;
Vu l'arrêté du gouvernement de la Communauté germanophone du 7 mai 2020 portant création d'un centre de contact chargé du suivi de la chaîne d'infection dans le cadre de la lutte contre la crise sanitaire provoquée par le coronavirus (COVID-19) ;
Vu la loi du 27 mars 2020 habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 (II), articles 2, 5, § 1er, 1° en 6;
Vu l'arrêté royal n° 18 du 4 mai 2020 portant création d'une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19;
Vu l'arrêté royal n° 25 du 28 mai 2020 modifiant l'arrêté royal n° 18 du 4 mai 2020 portant création d'une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19 ;
Vu l'avis de l'Inspecteur des Finances, donné le 23 juin 2020;
Vu l'accord du Ministre du Budget du 25 juin 2020 ;
Vu les lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973, article 3, § 1er ;
Vu l'urgence, qui ne permet pas d'attendre l'avis de la section de législation du Conseil d'Etat, même dans un délai raccourci de cinq jours, en raison notamment du fait qu'il est d'une importance vitale pour la santé publique et pour éviter une résurgence de l'épidémie COVID 19, que Sciensano dispose d'une base de données permettant de rechercher et contacter les contacts des personnes infectées ;
Considérant que l'Organisation mondiale de la santé a déclaré le 11 mars 2020 que la flambée du virus SARS-CoV-2 constitue une pandémie ;
Considérant que, dans le contexte de la crise sanitaire COVID-19 et afin de prévenir la propagation de la maladie COVID-19, le Conseil national de sécurité, qui réunissait des représentants du gouvernement fédéral ainsi que des représentants des entités fédérées, a été chargé de prendre des mesures concertées afin de limiter la propagation du COVID-19 ;
Considérant que l'une de ces mesures nécessaires est la détection précoce des personnes qui ont été en contact avec des personnes infectées ou sérieusement suspectées d'être infectées par le COVID-19, de même que la détection des collectivités dont font partie ces personnes, afin que les recommandations nécessaires puissent être données à ces personnes pour les empêcher d'infecter d'autres personnes avec le COVID-19, telles que l'élaboration de lignes directrices en matière d'hygiène et de prévention, la proposition d'une quarantaine et l'invitation à subir un test de dépistage du COVID-19 ;
Considérant que l'Etat fédéral est compétent pour la politique de crise lorsqu'une pandémie aiguë nécessite une action urgente, dans le respect des compétences matérielles de chaque entité (doc. Sénat, n° 5-2232/5) ;
Considérant que, dans le cadre de leur compétence en matière de médecine préventive en cas de situation de crise de type pandémique, les Communautés ont mis en place des centres d'appel pour effectuer ce suivi des contacts et pouvoir leur donner des recommandations pour éviter qu'ils n'infectent d'autres personnes ;
Considérant que, pour faire face à cette crise au niveau national et pour optimiser le suivi des contacts, il est nécessaire de rassembler les informations dans une base de données fédérale unique qui échange des données avec trois bases de données relevant de la compétence des Communautés ;
Considérant que l'Etat fédéral dispose indubitablement de compétences lui permettant d'organiser le traitement des données dans le cadre de la lutte contre la propagation du COVID-19. A cette fin, il peut, dans le cadre de l'exercice de ses compétences, créer une base de données et, sur la base de sa compétence résiduelle en matière d'exercice de la médecine, imposer aux professionnels de la santé l'obligation d'introduire les données requises dans cette base, par dérogation au principe du secret professionnel. En outre, il peut accorder aux Communautés un accès sans engagement à une telle base de données, comme c'est déjà le cas pour d'autres bases de données fédérales telles que la Banque-Carrefour de la sécurité sociale ;
Sur la proposition de la Ministre des Affaires sociales et de la Santé publique, et sur l'avis de Nos Ministres qui en ont délibéré en Conseil,
Nous avons arrêté et arrêtons :
CHAPITRE Ier. - Disposition générale
Article 1er. § 1er. Aux fins du présent arrêté, on entend par :
1° Règlement Général sur la Protection des Données : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE ;
2° cluster : une concentration de personnes infectées ou potentiellement infectées par le coronavirus COVID-19 dans des collectivités ou des communautés ;
3° collectivité : une communauté de personnes pour lesquelles les inspections sanitaires compétentes jugent qu'il existe un risque accru de propagation du coronavirus COVID-19 ;
4° centre de contact: instance désignée par les autorités régionales compétentes ou par les agences compétentes pour contacter la personne concernée par tout moyen de communication, y compris par téléphone, par courrier électronique ou au moyen d'une visite physique dans le cadre des finalités fixées à l'article 3, § 2, et qui partage ensuite les données collectées avec la Base de données I ;
5° Base de données I : la base de données de Sciensano qui sera créée en vertu du présent arrêté pour le traitement et l'échange de données aux fins prévues à l'article 3 ;
6° Base de données II : la base de données existante auprès de Sciensano, utilisée pour la recherche scientifique et établie par la loi du 10 avril 2014 portant des dispositions diverses en matière de santé et l'accord de coopération conclu en application de celle-ci entre l'INAMI et Sciensano et la loi du 25 février 2018 portant création de Sciensano;
7° Base de données III: la base de données des demandes d'appel et des demandes pour le personnel du centre de contact conformément aux dispositions de l'article 10, § 1er ;
8° Base de données IV: la base de données contenant les coordonnées des collectivités;
9° Base de données V: le journal central des enregistrements qui permet de contrôler le fonctionnement de l'application numérique de traçage de contacts, telle que décrite à l'article 14, et qui, à Sciensano, est séparée des Bases de données I et II ;
10° le numéro NISS : le numéro d'identification, visé à l'article 8, § 1er, 1° ou 2°, de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale;
11° équipes mobiles : les collaborateurs de l'équipe de soutien COVID (Outbreak Support team) organisée par les inspections sanitaires qui prennent des mesures sur place dans le cas d'un cluster;
12° Personnes de catégorie I : les personnes pour lesquelles le médecin a prescrit un test coronavirus COVID-19;
13° Personnes de catégorie II : les personnes qui ont été testées pour le coronavirus COVID-19;
14° Personnes de catégorie III : les personnes à l'égard desquelles le médecin soupçonne sérieusement qu'elles sont infectées par le coronavirus COVID-19, sans qu'un test de dépistage du coronavirus COVID-19 ait été effectué ou prescrit, ou lorsque le test de dépistage du coronavirus COVID-19 a révélé qu'elles n'étaient pas infectées;
15° Personnes de catégorie IV : les personnes avec lesquelles (i) les Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles sont infectées, et (ii) les Personnes de catégorie III ont été en contact pendant une période de quatorze jours avant et après les premiers signes d'infection par le coronavirus COVID-19, une certaine marge d'appréciation pouvant être prise en compte sur la base des connaissances scientifiques;
16° Personnes de catégorie V : les médecins traitants des Personnes de catégorie I, II et III;
17° Personnes de catégorie VI : le médecin de référence - ou, en l'absence de médecin de référence au sein de la collectivité concernée - le responsable administratif des collectivités avec lesquels les Personnes de catégorie I, II et III ont été en contact pendant une période de quatorze jours avant et quatorze jours après les premiers symptômes de l'infection par le coronavirus COVID-19, une certaine marge d'appréciation pouvant être prise en compte sur la base des connaissances scientifiques;
18° pseudonymisation ou données pseudonymisées : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable, comme prévu à l'article 4, 5) du Règlement Général sur la Protection des Données;
19° les enquêteurs de terrain : les collaborateurs des centres de contact qui peuvent effectuer des visites physiques dans le cadre du suivi des contacts;
20° hôpital : établissement de soins visé par la loi coordonnée du 10 juillet 2008 sur les hôpitaux et autres établissements de soins, ainsi que sur les hôpitaux de revalidation;
21° prestataire de soins de santé : un professionnel de la santé visé par la loi coordonnée du 10 mai 2015 relative à l'exercice des professions des soins de santé et par la loi du 29 avril 1999 relative aux pratiques non conventionnelles dans les domaines de l'art médical, de l'art pharmaceutique, de la kinésithérapie, de l'art infirmier et des professions paramédicales ;
§ 2. Le présent arrêté poursuit les objectifs suivants:
1° dans le cadre du suivi manuel des contacts et du déploiement d'équipes mobiles:
a. la création de la Base de données I, à l'intérieur de laquelle les données sont traitées aux fins du suivi des contacts;
b. l'échange de données entre la Base de données I et les Bases de données III et IV, afin d'aider les centres de contact désignés par les autorités régionales ou les agences compétentes (en ce compris les enquêteurs de terrain), et la création de ces bases de données;
c. l'échange de données entre la Base de données I et les services d'inspection sanitaire, ainsi qu'avec les équipes mobiles;
d. l'identification et la détection des foyers de COVID-19 et des clusters;
e. l'adoption de mesures sur place pour contenir les foyers de COVID-19 et les clusters ;
f. fournir des conseils aux personnes infectées par le coronavirus COVID-19, à l'égard desquelles un médecin a de sérieuses suspicions ou lorsqu'il existe un risque élevé que ce soit le cas, en vue de rompre la chaîne d'infection par le coronavirus COVID-19;
g. continuer à suivre les personnes à qui des conseils ont été donnés; et
h. continuer à garantir les fonctions de la surveillance épidémiologique existante par Sciensano.
2° la mise en place d'un cadre permettant le suivi numérique des contacts au moyen d'une application numérique de traçage de contacts;
3° permettre aux instituts de recherche et administrations, dont Sciensano, de mener des études scientifiques ou statistiques sur la lutte contre la propagation du coronavirus COVID-19 et/ou de soutenir les politiques dans ce domaine, par l'échange de données entre la Base de données I et la Base de données II.
§ 3. Sauf dispositions contraires, le présent arrêté ne porte pas préjudice aux règles en vigueur en matière de suivi des contacts pour la détection des maladies infectieuses ou contagieuses dans le cadre des compétences matérielles en matière de médecine préventive.
§ 4. Le Roi peut, par arrêté délibéré en Conseil des Ministres et en Conférence Interministérielle Santé publique, définir les modalités requises pour la mise en oeuvre du présent arrêté.
§ 5. Par dérogation à l'article 458 du Code pénal, les prestataires des soins de santé sont relevés de leur obligation de garder le secret dans le cadre du présent arrêté.
Par dérogation à l'article 458 du Code pénal, les personnes contactées sont relevées de leur obligation de garder le secret dans le cadre du présent arrêté.
Art. 2. § 1er. Afin d'atteindre les objectifs visés à l'article 1er, § 2, une Base de données I est créée au sein de Sciensano qui contient les catégories de données décrites à l'article 6 dans le cadre des finalités de traitement telles que définies à l'article 3. Ces données seront communiquées par les personnes autorisées ou au nom des personnes autorisées des hôpitaux et des laboratoires, ainsi que par les médecins et le personnel du centre de contact, les services d'inspection sanitaire et les équipes mobiles.
§ 2. La Base de données I est créée sans préjudice de la Base de données II déjà existante.
Pour atteindre l'objectif visé à l'article 1er, § 2, 1°, h, et 3°, les données de la Base de données I seront pseudonymisées avant d'être incluses dans la Base de données II conformément aux dispositions des articles 9 et 10.
§ 3. Pour atteindre les objectifs visés à l'article 1er, § 2, 1° b, e, f et g, et parallèlement à la Base de données I, les bases de données temporaires suivantes sont également créées, entre lesquelles les catégories de données définies à l'article 6 seront échangées, mais uniquement aux finalités de traitement définies à l'article 3 et conformément aux dispositions de l'article 10:
1° la Base de données III ;
2° la Base de données IV.
§ 4. Sciensano est le responsable du traitement des Bases de données I et II.
§ 5. Les autorités régionales compétentes ou les agences désignées par les autorités compétentes, chacune pour sa compétence, agissent en tant que responsable du traitement des Bases de données III et IV, en ce qui concerne les données à caractère personnel collectées et utilisées par les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, et prennent les mesures appropriées pour que les personnes visées à l'article 4 reçoivent les informations visées aux articles 13 et 14 du Règlement Général sur la Protection des Données et les communications visées aux articles 15 à 22 inclus et à l'article 34 du Règlement Général sur la Protection des Données en ce qui concerne les finalités de traitement visées à l'article 3, § 2, sous une forme concise, transparente, compréhensible et facilement accessible, dans un langage simple et clair.
CHAPITRE II. - Finalités de traitement
Art. 3. § 1er. Le traitement des données à caractère personnel dans la Base de données I est destiné aux finalités de traitement suivantes :
1° La mise à disposition par la Base de données I au centre de contact compétent (en ce compris les enquêteurs de terrain) des catégories de données à caractère personnel définies à l'article 7, § 2, des (i) Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles étaient infectées et des (ii) Personnes de catégorie III, au travers d'un échange avec la Base de données III, en vue de contacter les personnes visées au présent alinéa par tout moyen de communication possible, en ce compris par téléphone, par courrier électronique ou au moyen d'une visite physique, afin de leur donner d'éventuelles recommandations, mais en particulier de leur demander de fournir des informations, telles que les coordonnées, le risque de contamination du contact et la date du contact sur les personnes avec lesquelles elles ont eu des contacts;
2° A. La mise à disposition par la Base de données I au centre de contact compétent des catégories de données à caractère personnel définies à l'article 7, § 3, au travers d'un échange avec la Base de données III, en vue de contacter les Personnes de catégorie IV, par tout moyen de communication possible, en ce compris par téléphone, courrier électronique ou au moyen d'une visite physique, pour leur fournir, entre autres, des directives en matière d'hygiène et de prévention, leur proposer une quarantaine ou les inviter à se soumettre au test de dépistage du coronavirus COVID-19, en bénéficiant d'un suivi à ce niveau ;
B. La mise à disposition par la Base de données I au centre de contact compétent des catégories de données à caractère personnel définies à l'article 7, § 4, au travers d'un échange avec la Base de données III, en vue de contacter les Personnes de catégories V et VI par tout moyen de communication possible, y compris par téléphone, par courrier électronique ou au moyen d'une visite à la collectivité, afin de les informer de la contamination (présumée) des (i) Personnes de catégorie II dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles étaient infectées et, (ii) des Personnes de catégorie III;
3° La mise à disposition de certaines catégories de données à caractère personnel visées à l'article 6 aux Personnes de catégories I, II et III, par la Base de données I, aux équipes mobiles et aux inspections sanitaires compétentes des Communautés, visées dans le décret du Parlement flamand du 21 novembre 2003 relatif à la politique de santé préventive, le décret du Parlement de la Communauté germanophone du 1er juin 2004 relatif à la promotion de la santé et à la prévention médicale et ses arrêtés d'exécution, l'ordonnance du Collège réuni de la Commission communautaire commune du 19 juillet 2007 relative à la politique de prévention en santé, le décret du Parlement wallon du 2 mai 2019 modifiant le Code wallon de l'Action sociale et de la Santé en ce qui concerne la prévention et la promotion de la santé, l'arrêté du Collège réuni de la Commission communautaire commune du 23 avril 2009 relatif à la prophylaxie des maladies transmissibles, l'arrêté du Gouvernement flamand du 19 juin 2009 relatif aux initiatives visant à prévenir l'extension des effets néfastes causés par des facteurs biotiques, dans le cadre des initiatives visant à prévenir l'extension des effets néfastes causés par les maladies infectieuses, chacune dans son domaine de compétence toujours conformément à l'article 10, § 2, pour l'accomplissement de ses missions réglementaires;
4° La mise à disposition de données à caractère personnel pseudonymisées relevant des catégories de données à caractère personnel visées à l'article 6 des Personnes de catégories I à V conformément aux dispositions de l'article 10, à la base de données Sciensano déjà existante, créée par la loi du 10 avril 2014 portant des dispositions diverses en matière de santé et l'accord de coopération conclu en application de celle-ci entre l'INAMI et Sciensano, afin de mettre les données pseudonymisées visées au présent alinéa après anonymisation, ou au moins pseudonymisation dans le cas où l'anonymisation ne permettrait pas aux institutions de recherche d'effectuer leur étude scientifique ou statistique, à la disposition des institutions de recherche, dont Sciensano, selon la procédure prévue à cet effet afin de permettre aux institutions de recherche d'effectuer des études scientifiques ou statistiques sur la lutte contre la propagation du coronavirus COVID-19 et/ou, après pseudonymisation, de soutenir la politique dans ce domaine conformément au titre 4 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
§ 2. Les centres de contact désignés par les autorités régionales ou les agences régionales compétentes peuvent, dans la mesure où ils sont compétents et conformément à l'article 10, § 1er :
1° traiter les catégories de données à caractère personnel visées à l'article 7, § 2 des (i) Personnes de catégorie II dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles étaient infectées et, (ii) des Personnes de catégorie III, afin de contacter les personnes visées au présent alinéa par tout moyen de communication possible, y compris par téléphone, par courrier électronique ou au moyen d'une visite physique, afin de leur donner d'éventuelles recommandations, mais en particulier de leur demander de fournir des informations, telles que les coordonnées, le risque de contamination du contact et la date du contact, sur les personnes avec lesquelles elles ont eu des contacts;
2° A. traiter les catégories de données à caractère personnel définies à l'article 7, § 3, aux fins de contacter les Personnes de catégorie IV par tout moyen de communication possible, y compris par téléphone, courrier électronique ou au moyen d'une visite physique, pour leur fournir, entre autres, des directives en matière d'hygiène et de prévention, leur proposer une quarantaine, ou les inviter à se soumettre au test de dépistage du coronavirus COVID-19, en bénéficiant d'un suivi ;
B. traiter les catégories de données à caractère personnel définies à l'article 7, § 4, pour contacter les Personnes de catégories V et VI par tout moyen de communication possible, y compris par téléphone, par courrier électronique ou au moyen d'une visite à la collectivité, afin de les informer de la contamination (présumée) des Personnes de catégorie II pour autant que le test du coronavirus COVID-19 montre qu'elles sont infectées, et des Personnes de catégorie III ;
§ 3. Les équipes mobiles et les inspections sanitaires compétentes des Communautés, visées dans le décret du Parlement flamand du 21 novembre 2003 relatif à la politique de santé préventive, le décret du Parlement de la Communauté germanophone du 1er juin 2004 relatif à la promotion de la santé et à la prévention médicale et ses arrêtés d'exécution, l'ordonnance du 19 juillet 2007 relative à la politique de prévention en santé, le décret du 2 mai 2019 modifiant le Code wallon de l'Action sociale et de la Santé en ce qui concerne la prévention et la promotion de la santé, l'arrêté du Collège réuni de la Commission communautaire commune du 23 avril 2009 relatif à la prophylaxie des maladies transmissibles, l'arrêté du Gouvernement flamand du 19 juin 2009 relatif aux initiatives visant à prévenir l'extension des effets néfastes causés par des facteurs biotiques, dans le cadre des initiatives visant à prévenir l'extension des effets néfastes causés par les maladies infectieuses, peuvent, chacune dans son domaine de compétence, toujours conformément à l'article 10, § 2, traiter les catégories de données à caractère personnel des Personnes de catégorie I, II et III définies à l'article 6, pour l'accomplissement de leurs missions réglementaires.
§ 4. Les données collectées dans le cadre du présent arrêté ne peuvent être utilisées à d'autres fins que celles prévues au présent article, notamment mais pas exclusivement à des fins policières, commerciales, fiscales, pénales ou de sécurité de l'Etat.
CHAPITRE III. - Personnes dont les données à caractère personnel sont traitées dans le cadre du présent arrêté
Art. 4. Pour les finalités de traitement prévues à l'article 3, seront traitées les catégories de données à caractère personnel définies aux articles 6, 7, 8, et 9 du présent arrêté, des personnes suivantes :
1° les Personnes de catégorie I ;
2° les Personnes de catégorie II ;
3° les Personnes de catégorie III ;
4° les Personnes de catégorie IV ;
5° les Personnes de catégorie V ;
6° les Personnes de catégorie VI.
CHAPITRE IV. - Catégories de données
à caractère personnel collectées dans le cadre du présent arrêté
Art. 5. Les données à caractère personnel collectées et traitées dans le cadre du présent arrêté sont traitées conformément aux réglementations relatives à la protection des traitements de données à caractère personnel, en particulier le Règlement Général sur la Protection des Données et la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
Art. 6. § 1er. Une déclaration obligatoire pour les personnes telle que visée par le décret du Parlement flamand du 21 novembre 2003 relatif à la politique de santé préventive, le décret du 2 mai 2019 modifiant le Code wallon de l'Action sociale et de la Santé en ce qui concerne la prévention et la promotion de la santé, l'ordonnance du 19 juillet 2007 relative à la politique de prévention en santé, l'arrêté du Collège réuni de la Commission communautaire commune du 23 avril 2009 relatif à la prophylaxie des maladies transmissibles et le décret du Parlement de la Communauté germanophone du 1er juin 2004 relatif à la promotion de la santé et à la prévention médicale et ses arrêtés d'exécution, est faite, par dérogation à la réglementation précitée, auprès de la Base de données I.
Une déclaration obligatoire des Personnes de catégorie I dont le médecin ne soupçonne pas qu'elles sont infectées par le virus COVID-19 et des Personnes de catégorie II dont le test n'a révélé aucune infection, résultat qui n'est pas contesté par le médecin, sera faite auprès de la Base de données I dans le cadre de cette collaboration.
§ 2. La Base de données I contient, pour autant qu'elles soient disponibles, les catégories suivantes de données à caractère personnel des Personnes de catégorie I, et ce aux fins prévues à l'article 3, § 1er :
1° le numéro NISS ;
2° le nom et le prénom ;
3° le sexe ;
4° la date de naissance et, le cas échéant, la date de décès ;
5° l'adresse ;
6° les coordonnées, y compris le numéro de téléphone et l'adresse électronique de la personne concernée et de son représentant légal, et l'indication du lien qu'ont ces personnes avec la personne concernée (parent, tuteur, médecin généraliste, ...) ;
7° la date d'apparition des symptômes ;
8° le numéro INAMI du prescripteur du test de dépistage du coronavirus COVID-19 ;
9° les données relatives au test prescrit pour le dépistage du coronavirus COVID-19, en ce compris la date et le type de test prescrit de dépistage du coronavirus COVID-19 ;
10° l'indication de l'exercice ou non de la profession de prestataire de soins ;
11° le service hospitalier, le numéro d'identification et les coordonnées de l'hôpital, si la personne concernée est hospitalisée ;
12° éventuellement, le résultat du CT-scan, si la personne concernée est hospitalisée ;
13° la collectivité éventuelle dont la personne concernée fait partie ou avec laquelle elle est entrée en contact.
Si le numéro d'identification du registre national visé à l'article 8, § 1er, 1°, de la loi du 15 janvier 1990 sur la création et l'organisation d'une Banque-Carrefour de la sécurité sociale est disponible, les nom et prénom, date de naissance, sexe et adresse sont extraits du registre national ou des registres de la Banque-Carrefour visés à l'article 4 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-Carrefour de la sécurité sociale.
§ 3. La Base de données I contient, pour autant qu'elles soient disponibles, les catégories suivantes de données à caractère personnel des Personnes de catégorie II :
1° les données visées au § 2;
2° la date, le résultat, le numéro d'échantillon et le type de test de dépistage du coronavirus COVID-19 ;
3° le numéro INAMI du laboratoire qui a effectué le test ;
4° si le résultat du test n'a pas permis d'établir une contamination, l'éventuelle décision d'annulation prise par un médecin ;
5° si le résultat du test n'a pas permis d'établir une contamination, le numéro INAMI du médecin qui a pris la décision d'annulation.
Les données à caractère personnel visées aux 1°, 2° et 3° sont communiquées à Sciensano par les fournisseurs d'informations suivants : les personnes autorisées ou sur ordre des personnes autorisées du laboratoire, de l'hôpital, de l'établissement de soins ou du prestataire de soins ayant effectué le test. Les informations visées aux 4° et 5° sont communiquées à Sciensano par le médecin qui a pris la décision d'annulation.
§ 4. La Base de données I contient, pour autant qu'elles soient disponibles, les catégories suivantes de données à caractère personnel des Personnes de catégorie III :
1° le numéro NISS ;
2° le nom et le prénom ;
3° le sexe ;
4° la date de naissance et, le cas échéant, la date de décès ;
5° l'adresse ;
6° les coordonnées de la personne concernée, en ce compris l'adresse, le numéro de téléphone et l'adresse électronique de la personne concernée, ainsi que de la personne à contacter en cas d'urgence et l'indication du lien qu'ont ces personnes avec la personne concernée (parents, tuteur, médecin généraliste, ...) ;
7° le diagnostic présumé de contamination par le coronavirus COVID-19 ;
8° le numéro INAMI du médecin qui émet la forte suspicion ;
9° l'indication de l'exercice ou non de la profession de prestataire de soins ;
10° la collectivité éventuelle dont la personne concernée fait partie ou avec laquelle elle est entrée en contact.
11° la date d'apparition des symptômes ;
12° les données nécessaires permettant au centre de contact de prendre tout contact utile avec la personne concernée, en ce compris le code postal et la langue.
Ces informations sont communiquées à Sciensano par le médecin qui a une forte suspicion que les Personnes de catégorie III sont infectées par le coronavirus COVID-19. Si le numéro d'identification du registre national visé à l'article 8, § 1er, 1°, de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-Carrefour de la sécurité sociale est disponible, les nom et prénom, date de naissance, sexe et adresse sont extraits du registre national ou des registres de la Banque-Carrefour visés à l'article 4 de la loi du 15 janvier 1990 sur la création et l'organisation d'une Banque-Carrefour de la sécurité sociale.
§ 5. La Base de données I contient, pour autant qu'elles soient disponibles, les données à caractère personnel suivantes des Personnes de catégorie IV (et le cas échéant, des Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles étaient infectées et (ii) des Personnes de catégorie III) communiquées à Sciensano par les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes ;
1° le numéro NISS ;
2° le nom et le prénom ;
3° le sexe ;
4° la date de naissance et, le cas échéant, la date du décès ;
5° l'adresse
6° les coordonnées, en ce compris le numéro de téléphone et l'adresse électronique ;
7° les données nécessaires permettant au centre de contact et aux équipes mobiles de prendre tout autre contact utile avec la personne visée au présent paragraphe et la liste des personnes avec lesquelles la personne visée au présent paragraphe a eu des contacts récents, en ce compris le code postal et la langue, ainsi que le risque estimé de contagion de la personne visée au présent paragraphe ;
8° la liste des collectivités dont la personne visée au présent paragraphe fait partie ou avec lesquelles elle est entrée en contact, dont les données sont communiquées par la Base de données IV ;
9° les critères pertinents permettant d'évaluer si le risque d'infection est élevé ou faible et de donner des conseils, en ce compris les symptômes éventuels, le moment où les symptômes sont apparus, le type de test prescrit, la visite chez le médecin, l'enregistrement du refus de voir un médecin, le cas échéant ;
10° les données pertinentes communiquées au centre de contact par la personne visée au présent paragraphe concernant les déplacements effectués, les symptômes et le suivi des mesures d'isolement, de prévention et d'hygiène ;
11° le simple fait qu'il y a eu contact entre les Personnes de catégorie IV et les Personnes de catégorie I, II, III, y compris l'appartenance au ménage aux Personnes de catégorie IV.
12° la réponse à la question de savoir si (i) les Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles sont infectées ; (ii) les Personnes de catégorie III ; ou (iii) les Personnes de catégorie IV utilisent ou non une application numérique de traçage de contacts.
§ 6. La Base de données I contient les données complémentaires suivantes: (i) des Personnes de catégorie II dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles sont infectées et de Personnes de catégories III et IV collectées et fournies par les centres de contact compétents : toutes les données nécessaires à l'organisation et au suivi du contact avec la personne concernée par le personnel du centre de contact, telles que la langue de la personne concernée, le statut de contact de la personne concernée, les numéros de ticket des prises de contact ou des tentatives de contact, les types de contact, l'heure des tickets, l'heure et la durée du contact, le résultat du contact;
§ 7. La Base de données I contient les données supplémentaires suivantes sur des personnes appartenant à un cluster, collectées et fournies par les équipes mobiles ou les inspections sanitaires compétentes : toutes les données nécessaires à l'organisation et au suivi du contact pris avec la personne concernée du cluster par le personnel du centre de contact, en ce compris la langue de la personne concernée, le statut de contact de la personne concernée, les numéros de ticket des prises de contacts pris ou des tentatives de contact, les types de contact pris, l'heure des tickets, l'heure et la durée du contact pris, le résultat du contact pris.
Art. 7. § 1er La Base de données III contient les catégories de données à caractère personnel communiquées par Sciensano, à partir de la Base de données I, au centre de contact désigné par les autorités régionales compétentes ou par les agences compétentes, aux fins énoncées à l'article 3, § 1er, 1° et 2°.
§ 2. La Base de données III contient les catégories suivantes de données à caractère personnel des (i) Personnes de catégorie II dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles sont infectées et (ii) des Personnes de catégorie III:
1° le numéro NISS ;
2° le nom et le prénom ;
3° le sexe ;
4° la date de naissance ;
5° les coordonnées, en ce compris l'adresse, le numéro de téléphone et l'adresse électronique, de la personne concernée, ainsi que des personnes à contacter en cas d'urgence ;
6° les données nécessaires permettant au centre de contact de prendre tout contact utile avec la personne concernée, en ce compris le code postal et la langue ;
7° l'indication que la personne doit être appelée par téléphone en tant que personne (présumée) infectée afin de retracer ses contacts ;
8° le cas échéant, le résultat du test et la date du test ;
9° le numéro du ticket, la date, l'heure et le résultat de la prise de contact.
§ 3. La Base de données III contient les catégories de données à caractère personnel suivantes des Personnes de catégorie IV :
1° le numéro NISS ;
2° le nom et le prénom ;
3° le sexe ;
4° la date de naissance et, le cas échéant, la date du décès ;
5° l'adresse
6° les coordonnées, en ce compris le numéro de téléphone et l'adresse électronique ;
7° les données nécessaires permettant au centre de contact de prendre tout autre contact utile avec la personne visée au présent paragraphe et la liste des personnes avec lesquelles la personne visée au présent paragraphe a eu des contacts récents, en ce compris le code postal et la langue, ainsi que le risque estimé de contagion de la personne visée au présent paragraphe ;
8° la liste des collectivités dont la personne visée au présent paragraphe fait partie ou avec lesquelles elle est entrée en contact, dont les données sont communiquées par la Base de données IV ;
9° les critères pertinents permettant d'évaluer si le risque d'infection est élevé ou faible et de donner des conseils, en ce compris les symptômes éventuels, le moment où les symptômes sont apparus, le type de test prescrit, la visite chez le médecin, l'enregistrement du refus de voir un médecin, le cas échéant ;
10° les données pertinentes communiquées au centre de contact et aux équipes mobiles par la personne visée au présent paragraphe concernant les déplacements effectués, les symptômes et le suivi des mesures d'isolement, de prévention et d'hygiène ;
11° le simple fait qu'il y ait eu contact entre la personne de catégorie IV, en ce compris l'appartenance au ménage de celle-ci, et (i) d'une part, les personnes de catégorie II dans la mesure où le test de dépistage du coronavirus COVID-19 a montré que ces personnes sont infectées et (ii), d' autre part, les Personnes de catégorie III.
§ 4. La Base de données I contient les catégories de données suivantes des Personnes de catégorie VI :
1° le nom, le type, les coordonnées de la collectivité ;
2° les coordonnées du médecin de référence et/ou de la personne responsable de la collectivité, en ce compris ses nom, prénom et numéro de téléphone.
Art. 8. § 1er . La Base de données IV contient les catégories suivantes de données à caractère personnel des Personnes de catégorie V et VI aux fins énoncées à l'article 3, § 1er, 2°, B :
1° le numéro d'identification provenant d'une source authentique et le numéro d'identification interne ;
2° le nom, le type, l'adresse, le numéro figurant dans la Banque-Carrefour des Entreprises, de la collectivité à laquelle la personne appartient ou avec laquelle elle a eu des contacts;
3° les coordonnées du médecin de référence et/ou de la personne responsable de la collectivité, en ce compris le nom, le prénom et le numéro de téléphone.
Art. 9. § 1er . La Base de données II est complétée par les données à caractère personnel énumérées à l'article 6 des Personnes de catégorie I, II et III, mais uniquement après pseudonymisation, et exclusivement aux fins prévues à l'article 1, § 2, 1°, g, à l'article 1, § 2, 3° et à l'article 3, § 1er, 4°. Il s'agit plus précisément des catégories suivantes de données à caractère personnel:
1° un numéro unique qui ne permet pas d'identifier la personne ;
2° l'année de naissance et, le cas échéant, l'année et le mois du décès ;
3° le sexe ;
4° le code postal ;
5° le numéro INAMI du prescripteur du test de dépistage du coronavirus COVID-19 ;
6° le type, la date, le numéro d'échantillon et le résultat du test ou le diagnostic présumé en l'absence de test ;
7° le numéro INAMI du laboratoire qui a effectué le test ;
8° en cas de résultat de test négatif, une éventuelle décision de son annulation par un médecin ;
9° en cas d'annulation d'un résultat de test négatif, le numéro INAMI du médecin qui a pris la décision d'annulation ;
10° le type et le code postal de la collectivité, le cas échéant, dont la personne fait partie ou avec laquelle elle est entrée en contact ;
11° le résultat des examens médicaux, y compris le résultat du CT-scan ;
12° l'indication de l'exercice ou non de la profession de prestataire de soins ;
13° les données communiquées au centre de contact, en ce compris les symptômes, la date des premiers symptômes, les déplacements, le suivi des mesures d'isolement et d'hygiène ;
14° le simple fait qu'il y ait eu contact, y compris le fait de faire partie du ménage, entre les Personnes de catégorie IV et (i) d'une part les personnes de catégorie II dans la mesure où le test du coronavirus COVID-19 a révélé que ces personnes sont infectées, et (ii) d'autre part les Personnes de catégorie III.
§ 2. La Base de données II est complétée par les données à caractère personnel énumérées à l'article 6 des Personnes de catégorie IV, mais uniquement après pseudonymisation, et ce exclusivement aux fins énoncées à l'article 3, § 1er, 4°. Il s'agit plus précisément des données à caractère personnel suivantes :
1° un numéro unique qui ne permet pas d'identifier la personne ;
2° l'année de naissance et, le cas échéant, l'année et le mois du décès ;
3° le sexe ;
4° les symptômes ;
5° le contact ou l'absence de contact avec des personnes vulnérables ;
6° le résultat et la date du test prescrit ;
7° l'exercice de la profession de prestataire de soins ;
8° les données strictement nécessaires relatives à la prise de contact, en ce compris la date du ticket et le résultat général de la prise de contact sous la forme d'un code ;
9° tous les critères pertinents pour estimer le risque élevé ou faible ;
10° le code postal de l'adresse.
CHAPITRE V. - Accès et transmission des données à caractère personnel
Art. 10. § 1er. Les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, chacun dans son domaine de compétence exclusif, n'ont accès qu'aux catégories de données à caractère personnel visées à l'article 7, § 2, § 3 et § 4 (i) des Personnes de catégorie II, dans la mesure où le test coronavirus COVID-19 a révélé qu'elles sont infectées et (ii) des Personnes de catégorie III, IV, V et VI. L'accès à ces données à caractère personnel n'est possible que pour les finalités mentionnées à l'article 3, § 1er, 1° et 2°, à l'article 3, § 2 et à l'article 3, § 1er, 3°, notamment pour identifier et contacter le patient, la collectivité à laquelle il appartient ou avec laquelle il a été en contact et les personnes avec lesquelles il est entré en contact.
§ 2. Les équipes mobiles et les services d'inspection sanitaire compétents des Communautés ont, chacun dans son domaine de compétence exclusive, et uniquement aux fins mentionnées à l'article 3, § 1er, 3°, accès aux catégories de données à caractère personnel visées à l'article 6 des Personnes de catégorie I, II, III, IV et si nécessaire des Personnes de catégorie V et VI dans la Base de données I, notamment dans le cadre d'initiatives visant à prévenir la propagation des effets néfastes causés par les maladies infectieuses.
§ 3. Les données à caractère personnel telles que communiquées et conservées dans la Base de données I, ne peuvent être transmises ultérieurement, après pseudonymisation, à la Base de données II, qu'aux fins définies à l'article 3, § 1er, 4°, conformément au Règlement Général sur la Protection des Données et à la loi du 5 septembre 2018 instituant le Comité de sécurité de l'information. Les données à caractère personnel telles que communiquées et conservées dans la Base de données II, ne peuvent être transmises à des tiers aux fins stipulées à l'article 3, § 1, 4° qu'après la délibération, visée à l'article 11, de la Chambre « Sécurité sociale et Santé » du Comité de sécurité de l'information.
CHAPITRE VI. - Compétence du Comité de sécurité de l'information
Art. 11. § 1er. Dans la mesure où cela n'est pas repris dans le présent arrêté, tant la communication de données à caractère personnel à Sciensano pour traitement dans la Base de données I que la communication ultérieure de ces données à caractère personnel par Sciensano à des tiers ont toujours lieu après délibération de la Chambre "Sécurité sociale et Santé" du Comité de sécurité de l'information visé dans la loi du 5 septembre 2018 instituant le Comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement Général sur la Protection des Données.
§ 2. Sans préjudice de l'application du § 1er, la Chambre « Sécurité sociale et Santé » du Comité de sécurité de l'information ne délibère sur les communications à ou par la Base de données I de Sciensano que dans la mesure où elles servent les fins visées à l'article 3, sans que la Chambre « Sécurité sociale et Santé » du Comité de sécurité de l'information puisse déterminer elle-même une autre fin.
§ 3. La Chambre « Sécurité sociale et Santé » du Comité de la sécurité de l'information peut préciser, pour chaque finalité de traitement définie à l'article 3, quelles données à caractère personnel spécifiques peuvent être traitées dans le cadre d'une certaine catégorie de données à caractère personnel et qui sont communiquées à l'une des Bases de données II, III et IV ou qui doivent être communiquées à partir de la Base de données IV à la Base de données I, dans la mesure où cela est utile pour atteindre la finalité de traitement en question. Cette compétence est exercée conformément à l'article 46 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale.
Si, sur la base de cette compétence, la Chambre « Sécurité sociale et santé » du Comité de sécurité de l'information détermine ou complète les données à caractère personnel dans la catégorie de données à caractère personnel définie à l'article 6 ci-dessus, Sciensano l'indiquera clairement sur son site internet conformément aux dispositions en matière de transparence du Règlement Général sur la Protection des Données.
§ 4. Conformément à l'article 1er § 4, et sans préjudice de l'application des paragraphes §§ 1er, 2 et 3, (i) les institutions qui peuvent être couvertes sous le vocable de collectivités, (ii) les catégories de fournisseurs d'informations qui doivent de façon obligatoire communiquer des données à caractère personnel à Sciensano pour stockage et traitement ultérieur dans la base de données définie à l'article 2 § 1 et (iii) les catégories de données à caractère personnel traitées dans les bases de données visées à l'article 2 peuvent être clarifiées, modifiées ou complétées par le biais d'un arrêté visé à l'article 1 § 4.
Art. 12. § 1er. Dans le cadre de ses compétences définies à l'article 11 § 3, la Chambre "Sécurité sociale et Santé" du Comité de sécurité de l'information précise les règles en la matière et définit au moins les éléments suivants :
1° les données à caractère personnel supplémentaires qui doivent être demandées et en vertu de quelle finalité de traitement parmi les finalités de traitement définies à l'article 3 des données à caractère personnel supplémentaires doivent être demandées ;
2° l'identité du responsable du traitement ;
3° de quelles catégories définies aux articles 6, 7, 8 et 9 relèvent les données à caractère personnel supplémentaires, dans la mesure où elles sont adéquates, pertinentes et limitées à ce qui est nécessaire pour la finalité de traitement telle que définie au 1° ;
4° les catégories de personnes visées à l'article 4 à propos desquelles des données à caractère personnel supplémentaires sont traitées ;
5° les mesures visant à garantir un traitement licite et loyal des données à caractère personnel ;
6° la manière dont les personnes dont les données à caractère personnel sont traitées sont informées de ce traitement conformément au présent arrêté.
§ 2. L'accès au registre national visé à l'article 1er de la loi du 8 août 1983 organisant un Registre national des personnes physiques et aux registres de la Banque-carrefour visés à l'article 4 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale est accordé exclusivement pour les finalités de traitement visées à l'article 3.
§ 3. La communication de données à caractère personnel provenant d'autres sources authentiques à la Base de données I, requiert une délibération de la Chambre Sécurité sociale et Santé du Comité de sécurité de l'information, dans la mesure où la communication de ces données à caractère personnel supplémentaires est nécessaire aux finalités de traitement définies à l'article 3.
CHAPITRE VII. - Mesures de sécurité
Art. 13. § 1er. Sciensano, en ce qui concerne les Bases de données I et II, et les autorités régionales compétentes ou les agences désignées par les autorités compétentes, en ce qui concerne les Bases de données III et IV, mettent en oeuvre les mesures techniques et organisationnelles appropriées, conformément à l'article 32 du Règlement Général sur la Protection des Données, afin de garantir un niveau de sécurité adapté au risque.
§ 2. Sciensano, en ce qui concerne les Bases de données I et II, et les autorités régionales compétentes ou les agences désignées par les autorités compétentes, en ce qui concerne les Bases de données III et IV, respecteront les principes de protection des données dès la conception et de protection des données par défaut, tels que définis à l'article 25 du Règlement Général sur la Protection des Données.
CHAPITRE VIII. - Applications numériques de traçage
Art. 14. § 1er. L'application de traçage numérique des contacts pour prévenir la propagation du coronavirus COVID-19 dans la population vise à informer les utilisateurs qu'ils ont eu un contact à risque avec un autre utilisateur infecté, sans que l'utilisateur infecté soit identifié par l'application de traçage numérique des contacts, et avec l'objectif supplémentaire que l'utilisateur averti prenne alors volontairement les mesures nécessaires, sur la base des recommandations de Sciensano et des autorités compétentes, pour prévenir la propagation du coronavirus COVID-19.
§ 2. L'application numérique de traçage des contacts se limite au traitement des informations qui doivent permettre que:
1° les contacts entre les utilisateurs de l'application numérique de traçage des contacts soient captés sans qu'il soit possible de retracer l'identité d'un utilisateur;
2° lorsqu'un utilisateur entre dans la catégorie (i) des Personnes de catégorie II dans la mesure où le test coronavirus COVID-19 a montré que cet utilisateur est infecté ou (ii) des Personnes de catégorie III, l'utilisateur peut signaler l'infection COVID-19 de manière volontaire, anonymisée, ou au moins pseudonymisée, par le biais de sa propre action active;
3° les utilisateurs de l'application numérique de traçage des contacts sont avertis lorsqu'ils se sont trouvés pendant un certain temps à proximité d'un utilisateur infecté par le virus COVID-19 qui l'a signalé conformément aux dispositions du 2°.
§ 3. L'application numérique de traçage des contacts doit répondre aux conditions minimales suivantes:
1° L'application numérique de traçage des contacts est développée en prenant comme référence le protocole DP3T (Decentralized Privacy-Preserving Proximity Tracing);
2° L'application numérique de traçage des contacts consiste en une application mobile installée localement par l'utilisateur sur son appareil et en un journal central des enregistrements qui permet un fonctionnement contrôlé de l'application numérique de traçage des contacts tel que défini aux § 2, 2° et 3° ;
3° Sciensano est le responsable du traitement du journal central des enregistrements, visé au § 3, 2°, qui est stocké dans la Base de données V;
4° L'application numérique de traçage des contacts peut assurer l'interopérabilité avec d'autres Etats membres européens, des pays qui font partie de l'Espace économique européen ou des pays qui ont été considérés comme ayant un niveau de protection des données adéquat par la Commission européenne, tel que défini dans le Règlement Général sur la Protection des Données (décision d'adéquation), qui utilisent également le protocole visé au point 1° et qui offrent des garanties de protection des données identiques ou équivalentes;
5° La communication entre appareils sur lesquels l'application a été installée s'effectue uniquement sur la base de données ne permettant pas d'identifier l'utilisateur ;
6° L'application numérique de traçage des contacts permet à un utilisateur, dont l'infection par le virus COVID-19 a été constatée, d'utiliser un code d'autorisation, afin de garantir que seules des informations validées concernant les infections puissent être communiquées au responsable du traitement du journal central des enregistrements, évitant ainsi des fausses notifications, des notifications par erreur et par accident d'une infection via l'application numérique de traçage des contacts;
7° L'application numérique de traçage des contacts garantit que seul le fait de l'infection, ainsi que la date à laquelle l'utilisateur est suspecté d'être devenu contagieux, sont communiqués au responsable du traitement du journal central des enregistrements, et cela de telle sorte que l'identité de l'utilisateur ne puisse être retracée;
8° L'application numérique de traçage des contacts permet aux utilisateurs de désactiver, temporairement ou définitivement, l'application numérique de traçage des contacts qu'ils utilisent sur leur appareil. L'application numérique de traçage des contacts peut être désactivée à tout moment par l'utilisateur, avec la garantie que la désinstallation de l'application numérique de traçage des contacts ne soit pas plus difficile que son installation;
9° Le journal central des enregistrements de la Base de données V peut être désactivé à tout moment et le traitement des données peut être arrêté pour tous les utilisateurs, temporairement ou non, par le biais d'un arrêté visé à l'article 1er § 4;
10° Le journal central des enregistrements de la Base de données V est en tout cas désactivé dès qu'il est établi par un arrêté visé à l'article 1er § 4 que ces enregistrements ne sont plus nécessaires pour gérer la fin de la stratégie de déconfinement ; le journal central des enregistrements est désactivé automatiquement au plus tard après 1 an, sauf s'il est décidé par un arrêté visé à l'article 1er § 4 qu'une prolongation de cette période est indispensable ;
11° L'utilisateur doit pouvoir transmettre volontairement et de manière autorisée un constat d'infection via l'application numérique de traçage des contacts au journal central des enregistrements, sans que l'identité de l'utilisateur puisse être retracée, et de telle sorte que les éventuelles données à caractère personnel nécessaires pour permettre à un utilisateur de s'authentifier lorsqu'il souhaite signaler une infection soient conservées, si possible en dehors de l'application de traçage des contacts, et en tout cas ne soient jamais transmises au journal central des enregistrements, et soient effacées de l'application de traçage des contacts immédiatement après une authentification réussie ;
12° Aucune donnée de géolocalisation n'est utilisée ou traitée dans l'application de traçage numérique des contacts de quelque manière que ce soit.
13° Lorsqu'un utilisateur est informé d'un contact avec un utilisateur infecté, aucun détail n'est communiqué qui permettrait d'identifier l'utilisateur infecté ;
14° Le code source complet, en particulier la couche application qui assure que les données transmises à la Base de données V et où la personne ne peut être identifiée, ainsi que l'interface de l'application de traçage numérique des contacts, est rendu public ;
§ 4. L'application numérique de traçage des contacts respecte les principes énoncés à l'article 5 du Règlement Général sur la Protection des Données.
Seules les données nécessaires pour confirmer une infection COVID-19 d'un utilisateur et pour avertir les utilisateurs de l'application de traçage numérique des contacts qu'ils ont été pendant un certain temps à proximité d'une personne infectée par le virus COVID-19 peuvent être traitées.
Ces catégories de données sont énumérées de manière limitative dans le présent arrêté ou, le cas échéant, dans les arrêtés visés à l'article 1er § 4.
§ 5. L'installation, l'utilisation et la désinstallation de l'application numérique de traçage des contacts par un utilisateur se fait exclusivement de manière volontaire.
L'installation ou non, l'utilisation ou non et la désinstallation ou non de l'application mobile de l'application numérique de traçage des contacts ne peuvent donner lieu à aucune mesure de nature civile ou pénale, à aucun acte discriminatoire, et à aucun avantage ou désavantage.
§ 6. Toutes les données relatives aux contacts entre utilisateurs, stockées sur l'appareil de l'utilisateur, sont supprimées au plus tard trois semaines après avoir été générées dans l'équipement terminal de l'utilisateur d'une application numérique de traçage des contacts.
Les données qui aboutissent dans le journal central des enregistrements ne peuvent plus être utilisées par l'équipement terminal de l'utilisateur. Les informations stockées dans le journal des enregistrements doivent être supprimées au plus tard trois semaines après leur enregistrement dans le journal des enregistrements.
Les données liées à la communication volontaire d'une infection constatée au virus COVID-19 ainsi que les données utilisées pour l'authentification de la personne infectée, dans la mesure où ces informations sont traitées en application du § 2, 2°, doivent être effacées immédiatement sur l'appareil de l'utilisateur après avoir été saisies dans l'application de traçage des contacts.
§ 7. Ni l'application de traçage des contacts, ni les données traitées au moyen de celle-ci ne peuvent être utilisées à d'autres fins que celles prévues au § 1er, notamment mais pas exclusivement, à des fins policières, commerciales, pénales ou de sûreté de l'Etat.
Les informations collectées énumérées ci-dessus peuvent être traitées conformément aux conditions prévues au titre 4 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel à des fins archivistiques d'intérêt général, à des fins de recherche scientifique ou historique ou à des fins statistiques visées à l'article 89, §§ 2 et 3 du Règlement Général sur la Protection des Données.
§ 8. Une analyse d'impact relative à la protection des données est établie et publiée en application des articles 35 et 36 du Règlement Général sur la Protection des Données.
§ 9. La poursuite du fonctionnement de l'application de traçage des contacts et les traitements de données utiles dans ce cadre sont réglés par un arrêté visé à l'article 1er § 4, sans préjudice des dispositions du présent article. Cet arrêté d'exécution contient au minimum :
1° une description du système de traçage, notamment pour s'assurer que les risques qui sont limités par le protocole DP3T de référence ne sont pas réintroduits par l'application de traçage des contacts et/ou un système permettant la réidentification ;
2° une description claire des traitements résultant de l'utilisation de l'application de traçage des contacts et une définition claire des concepts importants tels que le contact à risque, le code d'autorisation, la clé sécurisée et le numéro de série temporaire non personnalisé ;
3° les spécifications techniques auxquelles l'application de traçage des contacts devra se conformer ;
4° les spécifications nécessaires pour assurer l'interopérabilité avec d'autres Etats membres européens, des pays qui font partie de l'Espace économique européen ou des pays qui ont été désignés comme ayant un niveau de protection des données adéquat par la Commission européenne, comme défini dans le Règlement Général sur la Protection des Données (décision d'adéquation), qui utilisent également le protocole visé au point 1° et qui offrent des garanties identiques ou équivalentes en matière de protection des données ;
5° les garanties spécifiques pour limiter le risque de réidentification sur la base de l'authentification de l'utilisateur infecté ;
6° la manière dont les personnes concernées sont informées du fonctionnement des applications de traçage des contacts et de l'échange des données qu'elles génèrent ;
7° la procédure de contrôle du bon fonctionnement de l'application de traçage des contacts.
CHAPITRE IX. - Délai de conservation
Art. 15. § 1er. Sous réserve des dispositions du § 2, les données à caractère personnel seront supprimées de la Base de données I au plus tard 60 jours après leur stockage. Les données à caractère personnel de la Base de données III sont supprimées quotidiennement. Les données à caractère personnel de la Base de données IV sont soit mises à jour tous les 10 ans, soit supprimées. Les données stockées dans la Base de données V sont supprimées après 3 semaines au plus tard, conformément aux dispositions de l'article 14 § 6.
A l'exception des données des Bases de données IV et V, les données à caractère personnel reçues seront en tout cas supprimées le 20 octobre 2020
§ 2. Les données à caractère personnel pseudonymisées telles que définies à l'article 10, § 3, qui sont transmises pour la finalité de traitement définie à l'article 3, § 1, 4°, seront supprimées conformément aux dispositions de la loi du 10 avril 2014 portant des dispositions diverses en matière de santé et de l'accord de coopération conclu en exécution de celle-ci entre l'INAMI et Sciensano.
CHAPITRE X. - Transparence et droits des personnes concernées
Art. 16. § 1er. Sciensano, en tant que responsable du traitement des Bases de données I et II, prend les mesures appropriées pour que les personnes concernées reçoivent les informations visées aux articles 13 et 14 du Règlement Général sur la Protection des Données et la communication visée aux articles 15 à 22 inclus et à l'article 34 du Règlement Général sur la Protection des Données en rapport avec le traitement aux fins prévues à l'article 3 sous une forme concise, transparente, compréhensible et facilement accessible, dans un langage clair et simple.
§ 2. Sciensano crée et assure la maintenance d'un site internet destiné aux personnes concernées visées à l'article 4 sur lequel sont publiées des informations adéquates conformément à l'article 14 du Règlement Général sur la Protection des Données et les données de contact du délégué à la protection des données.
§ 3. Sciensano gère et assure la maintenance d'un système pour l'exercice des droits prévus aux articles 15 à 22 inclus et à l'article 34 du Règlement Général sur la Protection des Données.
§ 4. Sciensano, les autorités régionales compétentes et les agences désignées par les autorités régionales compétentes, chacune dans son domaine de compétence, définissent de manière transparente leurs responsabilités respectives, notamment en ce qui concerne l'exercice des droits de la personne concernée et la fourniture d'informations. A cette fin, est conclu un règlement qui fixe les modalités d'une convention de traitement et d'une convention de partage des données à caractère personnel, définissant les rôles et relations respectifs des responsables conjoints du traitement vis-à-vis des personnes concernées.
Art. 17. Le présent arrêté entre en vigueur le 1er juillet 2020 et cesse ses effets le jour où entre en vigueur un accord de coopération entre l'Etat fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités régionales compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles dans le cadre d'un suivi des contacts des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano.
Le présent arrêté cesse ses effets le 15 octobre 2020 au plus tard.
Art. 18. Le ministre qui a les Affaires sociales et la Santé publique dans ses attributions est chargé de l'exécution du présent arrêté.
Donné à Bruxelles, le 26 juin 2020.
PHILIPPE
Par le Roi :
La Ministre des Affaires sociales et de la Santé publique,
M. DE BLOCK


debut

Publié le : 2020-06-29