[QUE] Le vaccinodrome de Palexpo : nos données personnelles et médicales sont-elles suffisamment protégées ?
Question urgente écrite déposée par Marjorie de Chastonay en avril 2021: Le vaccinodrome de Palexpo : nos données personnelles et médicales sont-elles suffisamment protégées ? (QUE 1541)
Marjorie de Chastonay
Texte complet et réponse du Conseil d’Etat: QUE 1541 A
Exposé de la question:
Lors de la dernière session, j’ai déposé la question écrite urgente
(QUE 1492) intitulée « Covid-19 et vaccin : le Conseil d’Etat a-t-il
abandonné ses prérogatives régaliennes au profit d’organismes privés
concernant les données médicales des personnes vaccinées ? ». En effet,
certains dysfonctionnements étaient à signaler notamment en termes de
respect des données personnelles. Selon sa réponse à ma question, le Conseil
d’Etat déclare qu’il s’agit de décisions de l’OFSP et qu’il n’y a rien craindre
puisque les données restent stockées en Suisse. Cet argumentaire est très peu
convaincant en termes de protections des données personnelles.
Entre-temps, le centre de vaccination à Palexpo a ouvert le lundi 19 avril
dernier. Le journal Le Matin Dimanche du 25 avril dernier relève que « Le
groupe m3 Sanitrade récolte les données des cartes d’assurance même
lorsqu’aucun remboursement n’est en cause (…) ». La question de la
protection des données personnelles médicales est au coeur de la gestion et de
l’organisation d’un tel centre.
La question que je pose au Conseil d’Etat est la suivante :
- De quelle manière nos données médicales et personnelles sont-elles
protégées et/ou exploitées par ces sociétés privées ?
Réponse du Conseil d’Etat
Nous tenons dans un premier temps à préciser que la citation du journal Le
Matin Dimanche du 25 avril 2021 ne concerne pas la vaccination, mais
l’activité de tests COVID-19 du groupe m3.
Pour l’organisation de la campagne de vaccination et la documentation y
relative, le canton de Genève utilise la plateforme développée sur mandat de
l’Office fédéral de la santé publique (OFPS) par les sociétés OneDoc et
Soignez-moi.ch, sous la responsabilité de OneDoc SA. A ce titre, les
conditions générales d’utilisation précisent clairement que « […] ni les
collaborateurs ou actionnaires ou tout tiers en lien avec OneDoc SA ne sont
autorisés à accéder aux données administratives des patients pour proposer
d’autres services ou à des fins publicitaires ».
Les prestataires de soins chargés de la vaccination sont quant à eux soumis
au secret médical.
Du point de vue de la sécurité informatique des données
A la demande de l’OSFP, chaque canton doit contractualiser avec la société
OneDoc SA pour l’usage de sa solution de gestion de la campagne de
vaccination. Dans ce contexte, en réponse au contrat proposé par OneDoc SA,
l’Etat de Genève a établi une nouvelle proposition de contrat, en cours de
négociation, permettant de répondre aux standards de l’Etat de Genève en
matière de sécurité de l’information.
Ainsi, selon les termes du nouveau contrat :
Pour l’hébergement des données
La société OneDoc SA et tous sous-traitants s’engagent à gérer les données
de vaccination sur des infrastructures informatiques hébergées
exclusivement en Suisse.
Par ailleurs, la société OneDoc SA et ses sous-traitants s’engagent à
respecter les dispositions de la loi sur l’information du public, l’accès aux
documents et la protection des données personnelles, du 5 octobre 2001 (LIPAD; rs/GE A 2 08), et de son règlement d’application, du 21 décembre
2011 (RIPAD; rs/GE A 2 08.01), en particulier l’article 13A RIPAD.
L’Etat de Genève en tant que client aura un droit de visite et d’audit non
restreint du site où la solution et les données sont hébergées (art. 13A
RIPAD).
Pour la protection des données
La société OneDoc SA s’engage à traiter toutes les données personnelles
conformément au droit applicable, notamment aux dispositions pénales
relatives au respect du secret de fonction (art. 320 du code pénal suisse, du
21 décembre 1937 (CP; RS 311.0)) et du secret médical (art. 321 CP), ainsi
qu’aux dispositions de la loi fédérale sur la protection des données, du 19
juin 1992 (LPD; RS 235.1 – art. 34 ss), de la LIPAD et du règlement
[européen] général sur la protection des données, du 27 avril 2016 (RGPD).
La société OneDoc SA s’engage à protéger les données contre toute
tentative d’accès indu, de destruction, de corruption, de falsification et de
vol selon les standards en vigueur.
A cet effet, le prestataire s’engage en particulier à :
– ne traiter (et en particulier : ne collecter) des données personnelles via
la Solution qu’aux fins d’assurer la bonne exécution du contrat, à
l’exclusion de tout autre usage, notamment à des fins de marketing;
– ne faire usage de cookie ou de technologie de traçage similaire
qu’aux seules fins d’assurer le bon fonctionnement technique de la
Solution;
– ne pas communiquer les données personnelles traitées par la Solution à
un tiers sans l’autorisation préalable éclairée et écrite de l’Etat de
Genève;
– ne pas transférer volontairement à l’étranger de données personnelles
collectées par l’intermédiaire de la Solution.