4 MAI 2020. - Arrêté royal n° 18 portant création d'une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19

RAPPORT AU ROI Dans le cadre de la crise de santé publique en Belgique causée par COVID-19, l'Institut belge de santé publique Sciensano s'est vu confier la mission, en tant que responsable du traitement, de recueillir des données de santé des patients auprès de divers prestataires de soins ou organisations de santé ou de soins, dans le cadre de ses activités de surveillance prévues par la loi, et de les traiter dans une banque de données. A cet égard, il peut être songé à des données de tests, prescriptions et diagnostics présumés, respectivement auprès de laboratoires, médecins, MCC (médecins coordinateurs et conseillers) dans les maisons de repos, centres d'asile et prisons et postes de triage d'une part et les données des patients hospitalisés avec un diagnostic confirmé du coronavirus auprès des hôpitaux d'autre part. Par ailleurs, des données à caractère personnel relatives aux personnes avec lesquelles le patient est entré en contact sont également enregistrées. Le traitement des données à caractère personnel des personnes pour lesquelles le médecin a une forte présomption d'infection est également très important étant donné que ces personnes doivent aussi pouvoir être contactées pour leur demander avec qui elles ont été en contact (il doit s'agir d'une forte présomption d'infection, sur la base de critères définis par le monde médical).

Vu la collecte de ces données sensibles, la banque de données est créée chez Sciensano. Il ne s'agit nullement de communiquer ces données au centre de contact, qui bien entendu ne recevra que les données nécessaires pour le dépistage des contacts.

Outre ces données, il est absolument nécessaire d'enregistrer le numéro d'identification de la sécurité sociale, en vue d'identifier les patients de manière univoque et de permettre le lien entre les données recueillies.

L'objectif de cette collecte de données est triple. Premièrement, il s'agit de pouvoir rechercher les patients concernés et de les contacter. Ensuite, la collecte de données est nécessaire en vue d'études scientifiques, statistiques et/ou d'appui à la politique futures, après pseudonymisation. Finalement, des données sont transmises aux services d'inspection de la santé dans les régions dans le cadre d'initiatives visant à combattre la propagation des effets nocifs causés par les maladies infectieuses.

Le centre de contact prend non seulement contact avec les personnes chez qui le médecin présume une infection et avec les personnes dont le test médical était positif, mais également avec les personnes avec lesquelles celles-ci ont été en contact. Lorsqu'il s'agit de contacts avec des personnes faisant partie d'une collectivité avec une population fragile, il contacte le médecin référent ou, à défaut, le responsable administratif de la collectivité pour éventuelle suite utile. Lorsqu'il s'agit de contacts avec des personnes individuelles, il contacte ces personnes individuelles et leur envoie ensuite, par la voie électronique, sur la base des informations qu'elles communiquent, les recommandations adéquates (rester à la maison, faire du télétravail, se faire tester, ...). Cet envoi électronique concerne uniquement une confirmation des recommandations qui ont déjà été faite oralement. Cela signifie qu'aucun groupe ne sera exclu.

Il convient de souligner que l'article 458 du Code pénal est d'application sur les collaborateurs du centre de contact.

La réalisation de recherches scientifiques, statistiques et/ou d'appui à la politique sur la base de données à caractère personnel de la banque de données est uniquement possible pour les épidémiologistes associés au COVID-19 Risk Assessment Group ou pour des épidémiologistes autorisés par le comité de sécurité de l'information, après pseudonymisation. Les données à caractère personnel recueillies sont conservées sous cette forme, de manière sécurisée, auprès de Sciensano et sont rendues accessibles dans le cadre de recherches scientifiques, statistiques et/ou d'appui à la politique. Le COVID-19 Risk Assessment Group (RAG) analyse le risque pour la population sur la base de données épidémiologiques et scientifiques et est composé de médecins-épidémiologistes de Sciensano, des autorités de santé des pouvoirs fédéraux et des entités fédérées et d'experts ayant des connaissances spécifiques en matière de risque de santé.

A cet effet, les données peuvent être sauvegardées par Sciensano sous une forme pseudonymisée pendant au maximum 30 ans après le décès du patient. Au terme de cette période, elles peuvent uniquement être sauvegardées sous une forme anonymisée.

Les services d'inspection de la santé sont ceux visés respectivement dans l'arrêté ministériel du 19 juin 2009 déterminant la liste des infections qui doivent être déclarées et portant délégation de compétences à attribuer aux médecins-fonctionnaires et aux fonctionnaires (pour la Flandre), dans le décret du 2 mai 2019 modifiant le Code wallon de l'Action sociale et de la Santé en ce qui concerne la prévention et la promotion de la santé (pour la Wallonie), dans l' ordonnance du 19 juillet 2007Documents pertinents retrouvés type ordonnance prom. 19/07/2007 pub. 24/08/2007 numac 2007031337 source ministere de la region de bruxelles-capitale Ordonnance relative à la politique de prévention en santé fermer relative à la politique de prévention en santé et dans l'arrêté du Collège réuni de la Commission communautaire commune du 23 avril 2009 relatif à la prophylaxie des maladies transmissibles (pour Bruxelles) et le Dekret für Gesundheitsförderung und medizinischer Prävention du 1er juin 2004 (Communauté germanophone).

Les données à caractère personnel reçues seront effacées par le responsable du traitement avant le 9 juin 2020, cinq jours après la cessation des effets de l'arrêté..

Par ailleurs, le Comité de sécurité de l'information se voit accorder la compétence de rendre des délibérations pour les échanges de données concrets dans ce cadre.

Finalement, dans l'hypothèse où les données nécessaires ne sont pas disponibles dans la banque de données, un accès au registre national et aux registres Banque Carrefour est accordé. Les informations du Registre national qui sont mises à disposition, sont définies par décision du ministre compétent pour l'Intérieur. Pour l'accès aux registres Banque Carrefour et une communication des données à caractère personnel émanent d'autres sources, comme Cobhra (données d'identification prestataires de soins), et DMG (détenteurs du dossier médical global) le Comité de sécurité de l'information rend une délibération.

Les décisions sont publiées sur les sites internet respectifs.

Le texte du présent projet d'arrêté royal a été modifié le cas échéant afin de répondre aux observations formulées par l'Autorité de protection des données (avis n° 36/2020 du 29 avril 2020).

Toutefois, il importe de souligner en règle générale que les concepts et les données à caractère personnel dans la banque de données mentionnés dans le présent projet ont été recommandés par le COVID-19 Risk Management Group. On pourrait notamment envisager le type et le moment des tests, l'importance médicale de reprendre aussi les tests négatifs, le suivi et les risques élevés ou faibles.

Ensuite, à la demande de l'Autorité de protection des données, comme susmentionné, le fonctionnement du centre de contact est décrit de manière beaucoup plus précise.

Par ailleurs, il faut souligner que toutes les personnes qui ont accès à la banque de données prennent les mensures nécessaires de garantir que les données à caractère personnel reprises sont traitées de manière confidentielle. Cela concerne les collaborateurs compétents de Sciensano et éventuellement les collaborateurs des services d'inspection sanitaire.

Finalement, on peut souligner que les données à caractère personnel sont traitées régulièrement, conformément au RGPD, sur base du présent projet et aucunement sur base de l'accord de la personne concernée.

La Ministre des Affaires sociales et de la Santé publique, M. DE BLOCK

4 MAI 2020. - Arrêté royal n° 18 portant création d'une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19 PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.

Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE;

Vu la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel;

Vu la loi du 5 septembre 2018Documents pertinents retrouvés type loi prom. 05/09/2018 pub. 10/09/2018 numac 2018203892 source service public federal securite sociale, service public federal finances, service public federal strategie et appui et service public federal economie, p.m.e., classes moyennes et energie Loi instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE fermer instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE;

Vu la loi du 27 mars 2020Documents pertinents retrouvés type loi prom. 27/03/2020 pub. 30/03/2020 numac 2020040938 source service public federal chancellerie du premier ministre Loi habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 (1) type loi prom. 27/03/2020 pub. 30/03/2020 numac 2020040937 source service public federal chancellerie du premier ministre Loi habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 (1) type loi prom. 27/03/2020 pub. 03/04/2020 numac 2020030524 source service public federal interieur Loi habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 . - Traduction allemande type loi prom. 27/03/2020 pub. 03/04/2020 numac 2020030525 source service public federal interieur Loi habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 . - Traduction allemande fermer habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 (II), articles 2 et 5, § 1er, 1° ;

Vu l'avis de l'Inspecteur des Finances, donné le 30 avril 2020;

Vu l'accord du Ministre du Budget du 2 mai 2020;

Vu l'avis n° 36/2020 du 29 avril 2020 de l'Autorité de protection des données;

Vu les lois sur le Conseil d'Etat coordonnées le 12 janvier 1973, article 3, § 1er, alinéa 1er ;

Vu l'urgence, qui ne permet pas d'attendre l'avis de la section de législation du Conseil d'Etat dans un délai ramené à cinq jours, en raison notamment du fait qu'il est d'une vitale importance pour la santé publique et pour éviter une résurgence de l'épidémie de COVID-19, Sciensano dispose dans les plus brefs délais d'une base de données permettant de rechercher et contacter les contacts des personnes infectées, maintenant que le gouvernement a décidé de supprimer progressivement un certain nombre de restrictions aux mouvements de population à partir du 4 mai 2020;

Sur la proposition de la Ministre des Affaires sociales et de la Santé publique, et de l'avis de Nos Ministres qui en ont délibéré en Conseil, Nous avons arrêté et arrêtons :

Article 1er.Il est créé auprès de Sciensano une banque de données dans le cadre de la lutte contre la propagation du coronavirus COVID-19. Sciensano est le responsable du traitement de cette banque de données au sens du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

Art. 2.§ 1. La banque de données contient des données à caractère personnel que les médecins, les hôpitaux, les laboratoires et le centre de contact communiquent à Sciensano. § 2. La banque de données contient les données à caractère personnel suivantes des personnes pour lesquelles le médecin présume une infection ou pour lesquelles un test médical a été prescrit ou qui ont subi un test dans le cadre de la lutte contre la propagation du coronavirus COVID-19 : 1° le numéro d'identification visé à l'article 8, § 1er, 1° ou 2°, de la loi du 15 janvier 1990Documents pertinents retrouvés type loi prom. 15/01/1990 pub. 08/07/2010 numac 2010000396 source service public federal interieur Loi relative à l'institution et à l'organisation d'une Banque-Carrefour de la Sécurité sociale. - Coordination officieuse en langue allemande fermer relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale ;2° le nom et le prénom ;3° le sexe ;4° la date de naissance et, le cas échéant, la date de décès ;5° l'adresse ;6° le type, la date, le numéro de l'échantillon et le résultat du test ou le diagnostic présumé en l'absence de test ;7° le numéro INAMI du prescripteur du test ;8° les informations de contact (numéros de téléphone) de l'intéressé et de la personne à contacter en cas d'urgence ;9° la collectivité dont la personne fait partie ;10° l'exercice ou pas de la profession de prestataire de soins. § 3. La banque de données contient les données à caractère personnel suivantes des patients hospitalisés avec un diagnostic confirmé du coronavirus COVID-19: 1° le numéro d'identification visé à l'article 8, § 1er, 1° ou 2°, de la loi du 15 janvier 1990Documents pertinents retrouvés type loi prom. 15/01/1990 pub. 08/07/2010 numac 2010000396 source service public federal interieur Loi relative à l'institution et à l'organisation d'une Banque-Carrefour de la Sécurité sociale. - Coordination officieuse en langue allemande fermer relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale ;2° le sexe ;3° l'adresse ;4° le type, la date, le numéro de l'échantillon, le résultat du test ou le diagnostic présumé en l'absence de test ;5° le service hospitalier, le numéro d'identification et les données de localisation de l'hôpital ;6° la collectivité dont la personne fait partie ;7° le résultat du CT scan ;8° les informations de contact de l'intéressé (numéros de téléphone) et de la personne à contacter en cas d'urgence ;9° l'exercice ou pas de la profession de prestataire de soins. § 4. La banque de données contient les données à caractère personnel suivantes des personnes, visées au § 2 et § 3, avec lesquelles le patient est entré en contact, qui sont communiquées par le centre de contact : 1° le numéro d'identification visé à l'article 8, § 1er, 1° ou 2°, de la loi du 15 janvier 1990Documents pertinents retrouvés type loi prom. 15/01/1990 pub. 08/07/2010 numac 2010000396 source service public federal interieur Loi relative à l'institution et à l'organisation d'une Banque-Carrefour de la Sécurité sociale. - Coordination officieuse en langue allemande fermer relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale ;2° le nom et le prénom ;3° le sexe ;4° le cas échéant, la date de décès ;5° l'adresse ;6° le numéro de téléphone ;7° risque élévé / faible ;8° le lien entre le patient et les personnes avec lesquelles il a été en contact. Le lien sous 8° est effacé 21 jours après l'enregistrement dans la banque de données.

Art. 3.§ 1er. Le traitement des données à caractère personnel dans la banque de données poursuit les finalités suivantes : 1° rechercher et contacter les personnes visées à l'article 2, §§ 2, 3 et 4, par un centre de contact dans le cadre de la lutte contre la propagation du coronavirus COVID-19 ;2° réaliser des études scientifiques, statistiques et/ou d'appui à la politique, après pseudonymisation, par des épidémiologistes associés au COVID-19 Risk Assessment Group ou pour des épidémiologistes accrédités par le comité de sécurité de l'information.3° communiquer des données aux services d'inspection de la santé des régions, visés dans l'arrêté ministériel du 19 juin 2009 déterminant la liste des infections qui doivent être déclarées et portant délégation de compétences à attribuer aux médecins-fonctionnaires et aux fonctionnaires, dans le décret du 2 mai 2019 modifiant le Code wallon de l'Action sociale et de la Santé en ce qui concerne la prévention et la promotion de la santé, dans l' ordonnance du 19 juillet 2007Documents pertinents retrouvés type ordonnance prom. 19/07/2007 pub. 24/08/2007 numac 2007031337 source ministere de la region de bruxelles-capitale Ordonnance relative à la politique de prévention en santé fermer relative à la politique de prévention en santé et dans l'arrêté du Collège réuni de la Commission communautaire commune du 23 avril 2009 relatif à la prophylaxie des maladies transmissibles, et le Dekret für Gesundheitsförderung und medizinischer Prävention du 1er juin 2004, dans le cadre d'initiatives visant à combattre la propagation des effets nocifs causés par les maladies infectieuses. § 2. Le centre de contact utilise les données à caractère personnel de la banque de données pour contacter les personnes chez qui le médecin présume une infection et les personnes dont le test médical était positif et pour retrouver l'identité des personnes avec lesquelles elles ont été en contact.

Dans la mesure où elles ont été en contact avec des personnes d'une collectivité avec une population fragile, le centre de contact prend contact avec le médecin référent ou, à défaut, avec le responsable administratif de cette collectivité.

Dans la mesure où elles ont été en contact avec des personnes individuelles, le centre de contact prend contact individuellement avec ces personnes individuelles et leur fournit ensuite, sur la base des informations qu'elles communiquent, des recommandations adéquates par la voie électronique.

Le Vlaams Agentschap Zorg en Gezondheid, l'Agence wallonne pour une Vie de Qualité, le Ministère de la Communauté Germanophone et la Commission communautaire commune sont, chacun dans son propre domaine de compétence, les responsables du traitement pour les traitements de données à caractère personnel par le centre de contact.

Art. 4.§ 1er. Tant la communication de données à caractère personnel à Sciensano en vue du traitement dans la banque de données visée à l'article 1er que la communication ultérieure de ces données à caractère personnel par Sciensano aux organisations visées à l'article 3, § 1er, 1° et 3°, et, uniquement après pseudonymisation, aux épidémiologistes associés au COVID-19 Risk Assessment Group ou les autres épidémiologistes pour la finalité visée à l'article 3, § 1er, 2°, s'effectuent toujours après délibération de la chambre sécurité sociale et santé du Comité de sécurité de l'information visée dans la loi du 5 septembre 2018Documents pertinents retrouvés type loi prom. 05/09/2018 pub. 10/09/2018 numac 2018203892 source service public federal securite sociale, service public federal finances, service public federal strategie et appui et service public federal economie, p.m.e., classes moyennes et energie Loi instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE fermer instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Sans préjudice de l'application de l'article 2, la chambre sécurité sociale et santé du Comité de sécurité de l'information détermine, par catégorie concernée de l'instance visée à l'article 2, § 1er, quels types de données à caractère personnel elle communique à Sciensano pour traitement dans la banque de données.

La chambre sécurité sociale et santé du Comité de sécurité de l'information détermine, par catégorie concernée d'utilisateur des données à caractère personnel visé à l'article 3, § 1er, quels types de donnés à caractère personnel elle peut recevoir de Sciensano en provenance de la banque de données pour la réalisation des finalités visées à l'article 3, § 1er.

Lors de l'évaluation d'une catégorie de communication de données à caractère personnel à ou par Sciensano, la chambre sécurité sociale et santé du Comité de sécurité de l'information détermine les modalités en la matière et elle détermine au moins les éléments suivants : 1° la finalité exacte du traitement ;2° l'identité du responsable du traitement ;3° les catégories de données à caractère personnel traitées dans la mesure où celles-ci sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité pour laquelle elles sont traitées ;4° les catégories de personnes concernant lesquelles des données à caractère personnel sont traitées ;5° la durée de conservation des données à caractère personnel ;6° les mesures visant à garantir un traitement licite et loyal des données à caractère personnel ;7° la façon selon laquelle les personnes dont les données à caractère personnel sont traitées sont informées de ce traitement. § 2. Dans l'hypothèse où les données nécessaires ne sont pas disponibles dans la banque de données, il est accordé un accès au registre national visé à l'article 1er de la loi du 8 août 1983 organisant un registre national des personnes physiques et aux registres Banque Carrefour visés à l'article 4 de la loi du 15 janvier 1990Documents pertinents retrouvés type loi prom. 15/01/1990 pub. 08/07/2010 numac 2010000396 source service public federal interieur Loi relative à l'institution et à l'organisation d'une Banque-Carrefour de la Sécurité sociale. - Coordination officieuse en langue allemande fermer relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale, et ce uniquement pour les finalités mentionnées à l'article 3.

Une communication de données à caractère personnel en provenance d'autres sources requiert une délibération du Comité de sécurité de l'information précité. § 3. Toutes les personnes qui ont accès à la banque de données prennent les mesures utiles pour garantir que les données à caractère personnel enregistrées soient traitées de manière confidentielle et uniquement pour les finalités mentionnées à l'article 3. Cet accès vaut uniquement pour les utilisateurs individuels habilités à exercer le droit d'accès, sous la responsabilité exclusive des instances concernées.

Sciensano désigne un délégué à la protection des données mentionné à l'article 37 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

Art. 5.Les données à caractère personnel reçues sont effacées par le responsable du traitement avant le 9 juin 2020.

Dans la mesure où Sciensano communique les données à caractère personnel aux épidémiologistes visés à l'article 3, § 1er, 2°, à des fins de recherche scientifique, statistique et/ou d'appui à la politique, et ce toujours après pseudonymisation, le délai de conservation est déterminé par la chambre sécurité sociale et santé du Comité de sécurité de l'information.

Art. 6.Le présent arrêté entre en vigueur le jour de sa publication au Moniteur belge et cesse ses effets le 4 juin 2020.

Art. 7.Le ministre qui a les Affaires sociales dans ses attributions et le ministre qui a la Santé publique dans ses attributions sont chargés, chacun en ce qui les concerne, de l'exécution du présent arrêté.

Donné à Bruxelles, le 4 mai 2020.

PHILIPPE Par le Roi : La Ministre des Affaires sociales et de la Santé publique, M. DE BLOCK