icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2022-60 du 20 avril 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre d'un traitement automatisé d'informations nominatives ayant pour finalité « Réalisation des analyses et établissement des résultats liés au SARS-CoV-2 » présenté par le Centre Scientifique de Monaco (CSM).

  • N° journal 8590
  • Date de publication 13/05/2022
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Vu l’Ordonnance-loi n° 690 du 23 mai 1960 créant un office dit « Centre Scientifique de Monaco » ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 5.100 du 15 février 1973 sur l’organisation et le fonctionnement du « Centre Scientifique de Monaco » ;

Vu la Décision Ministérielle du 20 mai 2020 relative à la mise en œuvre d’un traitement d’informations nominatives destiné à permettre le suivi de la situation épidémiologique, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies, modifiée ;

Vu la demande d’avis déposée par le Centre Scientifique de Monaco, le 24 décembre 2021, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité la « Réalisation des analyses et établissement des résultats liés au SARS-CoV-2 » ;

Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 22 février 2022, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 avril 2022 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Aux termes de l’article 1er de l’Ordonnance-loi n° 690 du 23 mai 1960, susvisée, « Il est créé, sous la forme d’un établissement public autonome, un office dit « Centre scientifique de Monaco » ».

Ce dernier est en charge, dans le cadre du suivi de la situation épidémiologique due à la COVID-19, de la réalisation des analyses permettant d’établir un résultat en lien avec ce virus.

Ainsi, le traitement automatisé d’informations nominatives y afférent est soumis à l’avis de la Commission, conformément à l’article 7 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

Ce traitement a pour finalité « Réalisation des analyses et établissement des résultats liés au SARS-CoV-2 ».

Il concerne les patients, les techniciens de laboratoire, le médecin biologiste ainsi que les personnes intervenant sur les équipements.

Les fonctionnalités associées au présent traitement sont :

-  réceptionner les prélèvements (PCR et sérologiques) ;

-  enregistrer les prélèvements dans le système d’information ;

-  réaliser des analyses ;

-  valider les résultats des analyses ;

-  communiquer les résultats au centre de prélèvement ;

-  établir des statistiques d’activité non nominatives.

La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II. Sur la licéité et la justification du traitement

L’Ordonnance-loi n° 690 du 23 mai 1960 dispose que le Centre Scientifique de Monaco est un établissement public autonome.

Aux termes de l’article 1er de l’Ordonnance Souveraine n° 5.100 du 15 février 1973 sur l’organisation et le fonctionnement du « Centre scientifique de Monaco », celui-ci « (…) a pour mission, dans les domaines scientifiques et médicaux, l’observation, la recherche pure et la recherche appliquée, ainsi que l’exploitation dans la Principauté d’un laboratoire de biologie médicale et toutes opérations civiles, commerciales, mobilières et immobilières en permettant la réalisation. (…) ».

Il résulte enfin de la Décision Ministérielle du 20 mai 2020 relative à la mise en œuvre d’un traitement d’informations nominatives destiné à permettre le suivi de la situation épidémiologique, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies que « (…) dans le cadre des examens de détection du génome du virus SARS-CoV-2 par RT-PCR (…) la réalisation est confiée au Centre Scientifique de Monaco (…) » qui est chargé « de transmettre, par un procédé automatique, au Centre de dépistage national les résultats de ces examens (…) ».

Aussi, la Commission considère que le traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.

III. Sur les informations traitées

Les informations nominatives exploitées aux fins du présent traitement sont :

   • En ce qui concerne le médecin biologiste qui valide les résultats et les techniciens de laboratoire :

-  identité : nom, prénom, signature du médecin ;

-  vie professionnelle : fonction ;

-  données d’identification électronique : login, mot de passe ;

-  données de connexion : données d’horodatage et actions effectuées par le technicien de laboratoire.

   • En ce qui concerne le médecin prescripteur :

-  identité : nom, prénom.

   • En ce qui concerne les patients :

-  identité : nom, prénom ; âge, date de naissance, genre, numéro patient ;

-  données de santé : numéro d’échantillon, numéro du prélèvement (le code-barres), code instrument d’analyse, code d’analyse, date d’analyse, laboratoire d’analyse du variant, date d’analyse du variant, nom du variant, heure arrivée du test au CSM, type de prélèvement, date/heure du prélèvement/nature du prélèvement, marque du test, résultats des tests, laboratoire d’analyse (CSM).

En ce qui concerne la donnée de santé, la Commission relève que les personnes concernées consentent à l’acte au centre de dépistage, et prend note que la Décision Ministérielle du 20 mai 2020 encadre la collecte des données au CSM, établissement public autonome qui justifie d’un intérêt public dans le traitement de ces données.

• En ce qui concerne les données relatives aux prestataires :

-  données d’identification électronique : login, mot de passe ;

-  données de connexion : données d’horodatage et actions effectuées.

Le responsable de traitement indique que les données ont pour origine la personne concernée ou le centre de prélèvement en ce qui concerne les patients et le médecin prescripteur, et que les résultats d’analyses sont produits par l’automate.

En outre, les données d’identification électronique sont fournies par le prestataire en ce qui concerne le login et l’utilisateur pour le choix du mot de passe, tandis que les données de connexion sont produites par le système.

La Commission considère que les informations ainsi collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le Centre Scientifique de Monaco pour les collaborateurs de ce dernier, et par le Département des Affaires Sociales et de la Santé (DASS) en ce qui concerne les patients.

L’information effectuée par la DASS a été analysée par la Commission dans l’avis relatif au traitement de suivi épidémiologique de la COVID-19 en Principauté.

Celle délivrée par le CSM à ses personnels est jointe au dossier. À cet égard la Commission précise que la mention dont s’agit doit faire état du caractère obligatoire de la collecte d’informations (eu égard à la justification de la conservation qui est effectuée à des fins probatoire en matière civile et pouvant mener à des communications d’informations à des destinataires en lien avec les juridictions monégasques), et ne doit pas faire mention, d’un droit à l’effacement qui est en contradiction avec la justification apportée.

Aussi elle demande que la mention d’information des personnels du CSM soit modifiée en ce sens.

  • Sur l’exercice du droit d’accès

Le droit d’accès s’exerce par voie postale auprès du Secrétaire Général du CSM.

À cet égard, la Commission rappelle que la réponse à un droit d’accès doit intervenir dans le mois suivant la réception de la demande.

Sous cette réserve, elle constate que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V. Sur les personnes ayant accès au traitement

Le responsable de traitement indique que les personnes ayant accès au traitement sont :

-  les techniciens de laboratoire : réception, analyse et validation technique des résultats ;

-  le médecin biologiste : suivi et validation des résultats ;

-  le prestataire informatique, à des fins de maintenance et paramétrage.

Considérant les attributions de chacune de ces personnes et, eu égard à la finalité du traitement, les accès susvisés sont justifiés.

En ce qui concerne le prestataire informatique, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993, les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de son contrat de prestation de service. De plus, ce dernier doit être soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

VI.   Sur les interconnexions

Le responsable de traitement indique que le présent traitement est interconnecté avec le traitement ayant pour finalité « Suivi de l’évolution du SARS-CoV-2 de la Principauté », légalement mis en œuvre par le Ministre d’État.

À cet égard, la Commission constate que la Décision Ministérielle prévoit que le CSM est chargé « de transmettre, par un procédé automatique, au Centre de dépistage national les résultats de ces examens (…) ».

Elle considère donc cette interconnexion conforme aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation particulière.

Cependant, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

La Commission rappelle également qu’en cas de copie ou d’extraction d’informations issues de ce traitement, ces dernières doivent être chiffrées sur leur support de réception.

Elle rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 modifiée, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement, au regard des risques présentés par ce traitement et de la nature des données à protéger, devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique que les informations relatives aux patients sont archivées tous les 15 jours et conservées 20 ans à partir de la date de création du dossier dans la base, tout en rappelant que la Décision Ministérielle encadrant le traitement du suivi épidémiologique dispose que « Toutes les données, y compris les informations nominatives, contenues dans le traitement mentionné à l’article premier et afférentes à la vaccination contre la COVID-19 et au résultat de tout test mentionné audit article sont conservées, pour chaque personne vaccinée, pendant une durée de vingt ans à compter de sa dernière vaccination ». Les informations relatives au médecin biologiste et aux techniciens de laboratoire sont conservées 5 ans, « en application du délai de prescription en matière civile considérant les recours possibles liés à la validation des tests d’un patient ».

Les données d’identification électronique sont conservées le temps que le personnel demeure habilité ou en poste, tandis que les données de connexion sont conservées un an.

La Commission constate que la durée de conservation de 20 ans est justifiée par la Décision Ministérielle créant le traitement permettant le suivi de la situation épidémiologique en Principauté, qui ne prévoit pas une durée de conservation de l’ensemble des tests effectués, notamment pour les personnes qui ne seraient pas vaccinées.

Dès lors, cette justification ne concerne pas le CSM qui ne peut se prévaloir de la durée de conservation de 20 ans ouverte aux établissements de santé.

Aussi, elle fixe la durée de conservation des informations relatives aux patients à 5 ans à compter de la réalisation des analyses, en corrélation avec la prescription civile.

Après en avoir délibéré, la Commission :

Rappelle que :

-  les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switch, routeurs, pares-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé ;

-  la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

Demande que la mention d’information des personnels soit amendée comme indiqué au point IV de la présente délibération.

Fixe la durée de conservation des informations relatives aux patients à 5 ans à compter de la réalisation des analyses.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Centre Scientifique de Monaco, du traitement automatisé d’informations nominatives ayant pour finalité « Réalisation des analyses et établissement des résultats liés au SARS-CoV-2 ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14