25 août 2020

Accord de coopération entre l'Etat fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes, par les services d'inspections d'hygiène et par les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 se fondant sur une base de données auprès de Sciensano

Vu le Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE;
Vu la loi spéciale du 8 août 1980 de réformes institutionnelles, et notamment ses articles 5, § 1 er, I, 6bis, § 2, 1° et 2°, et 92bis;
Vu que l'Autorité fédérale n'est pas exclusivement compétente en ce qui concerne la politique de crise au cas où une pandémie (aiguë) nécessite des mesures urgentes. L'Autorité fédérale, les Communautés et les Régions sont compétentes chacune dans les limites de ses compétences propres. L'Autorité fédérale est, à ce titre à tout le moins, également compétente aussi pour la coordination ou la gestion d'une situation de crise de type pandémique ;
Vu que l'autorité fédérale et les entités fédérées ont la compétence d'adopter des mesures portant sur la lutte contre une crise touchant la santé publique, chacune dans le cadre de ses compétences matérielles;
Vu le décret du Parlement flamand du 21 novembre 2003 relatif à la politique de santé préventive;
Vu le décret du Parlement de la Communauté germanophone du 1 er juin 2004 relatif à la promotion de la santé et à la prévention médicale;
Vu l'ordonnance du 19 juillet 2007 relative à la politique de prévention en santé;
Vu la loi du 10 avril 2014 portant des dispositions diverses en matière de santé et l'accord de coopération conclu en application de celle-ci entre l'INAMI et Sciensano;
Vu la loi du 25 février 2018 portant création de Sciensano, les articles 4, § 4 et 7, § 2;
Vu la loi du 5 septembre 2018 instituant le Comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE;
Vu le décret du 2 mai 2019 modifiant le Code wallon de l'Action sociale et de la Santé en ce qui concerne la prévention et la promotion de la santé;
Vu le décret du Parlement flamand du 29 mai 2020 portant organisation de l'obligation de déclaration et du suivi des contacts dans le cadre du COVID-19;
Vu l'arrêté du Collège réuni de la Commission communautaire commune du 23 avril 2009 relatif à la prophylaxie des maladies transmissibles;
Vu l'arrêté du Gouvernement flamand du 19 juin 2009 relatif aux initiatives visant à prévenir l'extension des effets néfastes causés par des facteurs biotiques;
Vu l'arrêté royal n° 18 du 4 mai 2020 portant création d'une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19;
Vu l'Arrêté royal n° 25 du 28 mai 2020 modifiant l'arrêté royal n° 18 du 4 mai 2020 portant création d'une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19;
Vu l'arrêté royal n° 44 du 26 juin 2020 concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les autorités compétentes ou par les agences compétentes, par les inspections sanitaires et par les équipes mobiles des entités fédérées dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano;
Vu l'arrêté du Gouvernement wallon de pouvoirs spéciaux n° 35 du 5 mai 2020 organisant le tracing socio-sanitaire dans le cadre de la lutte contre l'épidémie COVID-19 ;
Vu l'arrêté du gouvernement de la Communauté germanophone du 7 mai 2020 portant création d'un centre de contact chargé du suivi de la chaîne d'infection dans le cadre de la lutte contre la crise sanitaire provoquée par le coronavirus (COVID-19);
Considérant que cet accord de collaboration a pu être réalisé en respect de la répartition de compétences qui en vertu de la loi spéciale de réformes institutionnelles ont été attribuées aux différents niveaux de pouvoirs grâce à une collaboration intense au sein de la Conférence Interministérielle qui s'inscrit dans une longue tradition de collaboration au sein de la Conférence Interministérielle de santé entre les différents niveaux de pouvoirs de notre pays ;
Considérant que, depuis le début de la crise pandémique, l'Etat fédéral, en concertation avec les différents niveaux de pouvoir, a pris des mesures dans la compétence de la sécurité civile, pour protéger les citoyens de notre pays.
Considérant que l'Organisation mondiale de la santé a déclaré le 11 mars 2020 que l'épidémie de virus SARS-CoV-2 constitue une pandémie;
Considérant que, dans le contexte de la crise sanitaire du coronavirus COVID-19 et afin de prévenir la propagation du coronavirus COVID-19, le Conseil national de sécurité, qui réunissait des représentants du gouvernement fédéral ainsi que des représentants des entités fédérées, a été chargé de prendre des mesures concertées;
Considérant que l'une de ces mesures nécessaires est la détection précoce des personnes qui ont été en contact avec des personnes infectées par le coronavirus COVID-19 ou sérieusement suspectées d'être infectées par le coronavirus COVID-19, de même que la détection des collectivités dont font partie ces personnes, afin que les recommandations nécessaires puissent être données à ces personnes pour les empêcher d'infecter d'autres personnes avec le coronavirus COVID-19, telles que l'élaboration de lignes directrices en matière d'hygiène et de prévention, la proposition d'une quarantaine et l'invitation à passer un test de dépistage du coronavirus COVID-19;
Considérant que l'Etat fédéral est compétent pour la politique de crise lorsqu'une pandémie aiguë nécessite une action urgente, dans le respect des compétences matérielles de chaque entité (doc. Sénat, n° 5-2232/5);
Considérant que, dans le cadre de leur compétence en matière de médecine préventive, et dans le cadre de la coordination organisée par l'autorité fédérale en cas de situation de crise de type pandémique, les entités fédérées ont mis en place des centres d'appel pour effectuer ce suivi des contacts ainsi que pour pouvoir leur donner des recommandations pour éviter qu'ils infectent d'autres personnes;
Considérant que, pour faire face à cette crise au niveau national et pour optimiser le suivi des contacts, il est nécessaire de rassembler les informations dans une base de données fédérale unique qui échange des données avec trois bases de données relevant de la compétence des entités fédérées;
Considérant que l'autorité fédérale dispose indubitablement de compétences lui permettant d'organiser le traitement des données dans le cadre de la lutte contre la propagation du coronavirus COVID-19. A cette fin, elle peut, dans le cadre de l'exercice de ses compétences, créer une base de données et, sur la base de sa compétence résiduelle en matière d'exercice de la médecine, imposer aux professionnels de la santé l'obligation d'introduire les données requises dans cette base, par dérogation au principe du secret professionnel. En outre, elle peut accorder aux entités fédérées un accès à une telle base de données, sur une base volontaire, comme c'est déjà le cas pour d'autres bases de données fédérales telles que la Banque-Carrefour de la sécurité sociale;
Considérant que le Conseil d'Etat (avis 67.435/3, 67.426/3, 67.427/3 du 26 mai 2020) a déclaré, dans son avis, qu'un tel accord de coopération offre la solution la plus sûre sur le plan juridique. Dans ces circonstances, compte tenu également du fait que l'arrêté royal n° 18 du 4 mai 2020 est déjà appliqué dans la pratique, l'accord de coopération peut avoir un effet rétroactif au 4 mai 2020, à savoir le jour où l'arrêté en question est entré en vigueur ;
il est nécessaire de conclure un accord de coopération,
ENTRE,
L'Etat fédéral, représenté par le Gouvernement fédéral en la personne de Madame Sophie Wilmès, Première ministre, et Madame Maggie De Block, Ministre des Affaires sociales et de la Santé publique et de l'Asile et de la Migration;
la Communauté flamande, représentée par le Gouvernement flamand en la personne de Monsieur Jan Jambon, Ministre-Président, et Monsieur Wouter Beke, Ministre du Bien-Etre, de la Santé publique, de la Famille et de la Lutte contre la Pauvreté;
la Région wallonne, représentée par le Gouvernement wallon en la personne de Monsieur Elio Di Rupo, Ministre-Président, et Madame Christie Morreale, Ministre de l'Emploi, de la Formation, de la Santé, de l'Action sociale, de l'Egalité des Chances;
la Commission communautaire commune, représentée par le Collège réuni en la personne de Monsieur Rudi Vervoort, Président du Collège réuni et Monsieur Alain Maron et Madame Elke Van den Brandt, membres ayant la Santé et l'Action sociale dans leurs attributions; et
la Communauté germanophone, représentée par le Gouvernement de la Communauté germanophone, en la personne de Monsieur Oliver Paasch, Ministre-Président, et Monsieur Antonios Antoniadis, Vice-Ministre-Président, Ministre de la Santé et des Affaires Sociales, de l'Aménagement du Territoire et du Logement.
 

Art. 1 er.

§ 1 er. Aux fins du présent accord de coopération, on entend par :

1° Règlement Général sur la Protection des Données : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE;

2° cluster : une concentration de personnes infectées ou potentiellement infectées par le coronavirus COVID-19 dans des collectivités;

3° collectivité : une communauté de personnes pour lesquelles les inspections d'hygiène compétentes estiment qu'il existe un risque accru de propagation du coronavirus COVID-19;

4° centre de contact : instance désignée par les entités fédérées compétentes ou par les agences compétentes pour contacter la personne concernée par tout moyen de communication, y compris par téléphone, par courrier électronique ou au moyen d'une visite physique dans le cadre des objectifs fixés à l'article 3, § 2, et qui partage ensuite les données collectées avec la base de données I;

5° coronavirus COVID-19 : virus du SARS-CoV-2;

6° Base de données I : la base de données de Sciensano qui sera créée en vertu du présent accord de coopération pour le traitement et l'échange de données aux finalités de traitement prévues à l'article 3;

7° Base de données II : la base de données existante à Sciensano, utilisée pour la recherche scientifique et établie par la loi du 10 avril 2014 portant des dispositions diverses en matière de santé et l'accord de coopération conclu en application de celle-ci entre l'INAMI et Sciensano, visé à l'article 22, 20° de la loi relative à l'assurance obligatoire soins de santé et indemnités coordonnée le 14 juillet 1994 et la loi du 25 février 2018 portant création de Sciensano;

8° Base de données III : la base de données des instructions d'appel et des instructions pour le personnel du centre de contact conformément aux dispositions de l'article 10, § 1 er;

9° Base de données IV : la base de données contenant les coordonnées des collectivités;

10° Base de données V : le journal central des enregistrements de l'application numérique de traçage des contacts qui permet de contrôler le fonctionnement de l'application numérique de traçage des contacts, telle que décrite à l'article 14, et qui, à Sciensano, est séparée des Bases de données I et II;

11° le numéro NISS : le numéro d'identification, visé à l'article 8, § 1 er, 1° ou 2°, de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale;

12° équipes mobiles : les collaborateurs de l'équipe de soutien COVID (Outbreak Support team) organisée par les inspections d'hygiène qui prennent des mesures sur place dans le cas d'un cluster;

13° Personnes de catégorie I : les personnes pour lesquelles le médecin a prescrit un test de dépistage du coronavirus COVID-19;

14° Personnes de catégorie II : les personnes qui ont été testées pour le coronavirus COVID-19;

15° Personnes de catégorie III : les personnes pour lesquelles le médecin a une présomption sérieuse d'infection par le coronavirus COVID-19, sans qu'un test de dépistage du coronavirus COVID-19 n'ait été effectué ou prescrit, ou lorsque le test de dépistage du coronavirus COVID-19 a révélé qu'elles n'étaient pas infectées;

16° Personnes de catégorie IV : les personnes avec lesquelles (i) les Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles sont infectées, et (ii) les Personnes de catégorie III ont été en contact au cours d'une période de quatorze jours avant à quatorze jours après les premiers signes d'infection par le coronavirus COVID-19, une certaine marge d'appréciation pouvant être prise en compte sur la base des connaissances scientifiques;

17° Personnes de catégorie V : les médecins traitants des Personnes des catégories I, II et III;

18° Personnes de catégorie VI : le médecin de référence - ou, en l'absence de médecin de référence au sein de la collectivité concernée - le responsable administratif des collectivités avec lesquelles les Personnes des catégories I, II et III ont été en contact au cours d'une période de quatorze jours avant à quatorze jours après les premiers symptômes de l'infection par le coronavirus COVID-19, une certaine marge d'appréciation pouvant être prise en compte sur la base des connaissances scientifiques;

19° pseudonymisation ou données pseudonymisées : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable, comme prévu à l'article 4, 5), du Règlement Général sur la Protection des Données;

20° les enquêteurs de terrain : les collaborateurs des centres de contact qui peuvent effectuer des visites physiques dans le cadre du suivi des contacts;

21° hôpital : établissement de soins tel que visé par la loi coordonnée du 10 juillet 2008 sur les hôpitaux et autres établissements de soins, ainsi que sur les hôpitaux de revalidation;

22° prestataire de soins de santé : un professionnel de la santé visé par la loi coordonnée du 10 mai 2015 relative à l'exercice des professions des soins de santé et par la loi du 29 avril 1999 relative aux pratiques non conventionnelles dans les domaines de l'art médical, de l'art pharmaceutique, de la kinésithérapie, de l'art infirmier et des professions paramédicales;

§ 2. Le présent accord de coopération poursuit les objectifs suivants :

1° dans le cadre du suivi manuel des contacts et du déploiement d'équipes mobiles :

a. la création de la Base de données I, à l'intérieur de laquelle les données sont traitées aux fins du suivi des contacts;

b. l'échange de données entre la Base de données I et les Bases de données III et IV, afin d'aider les centres de contact désignés par les entités fédérées ou les agences compétentes (en ce compris les enquêteurs de terrain), et la création de ces bases de données;

c. l'échange de données entre la Base de données I et les services d'inspection d'hygiène, ainsi qu'avec les équipes mobiles;

d. l'identification et la détection des foyers du coronavirus COVID-19 et des clusters;

e. la prise de mesures sur place pour contenir les foyers et les clusters du coronavirus COVID-19;

f. fournir des conseils aux personnes infectées par le coronavirus COVID-19, à l'égard desquelles un médecin a de sérieuses suspicions ou lorsqu'il existe un risque élevé que ce soit le cas, en vue de rompre la chaîne d'infection par le coronavirus COVID-19;

g. continuer à suivre les personnes à qui des conseils ont été donnés; et

h. continuer à garantir les fonctions de la surveillance épidémiologique existante par Sciensano.

2° la mise en place d'un cadre permettant le suivi numérique des contacts au moyen d'une application numérique de traçage des contacts;

3° permettre aux instituts de recherche et administrations, dont Sciensano, de mener des études scientifiques ou statistiques sur la lutte contre la propagation du coronavirus COVID-19 et/ou de soutenir les politiques dans ce domaine, par l'échange de données entre la Base de données I et la Base de données II.

§ 3. Sauf disposition contraire, le présent accord de coopération ne porte pas préjudice aux règles en vigueur en matière de suivi des contacts pour la détection des maladies infectieuses ou contagieuses dans le cadre des compétences matérielles en matière de médecine préventive.

§ 4 Les parties, chacune dans son domaine de compétence, prennent les mesures nécessaires à la mise en oeuvre des dispositions du présent accord de coopération et à l'harmonisation des initiatives communautaires, régionales et fédérales existantes avec celui-ci.

§ 5. Les parties peuvent, au moyen d'un accord de coopération d'exécution prévu à l'article 92bis, § 1 er, alinéa 3, de la loi spéciale du 8 août 1980 de réformes institutionnelles, définir les modalités requises pour la mise en oeuvre du présent accord.

§ 6. Les professionnels de la santé sont déliés de leur obligation de garder le secret professionnel, visée à l'article 458 du Code pénal, dans le cadre du présent accord de coopération.

Les Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles sont infectées, et les Personnes de catégorie III sont déliées de leur obligation de garder le secret professionnel, visée à l'article 458 du Code pénal, dans le cadre du présent accord de coopération.

Art. 2.

§ 1 er. Afin d'atteindre les objectifs visés à l'article 1 er, § 2, une Base de données I, qui contient les catégories de données décrites à l'article 6, est créée au sein de Sciensano. Ces données sont traitées conformément aux finalités telles que définies à l'article 3, pour la durée déterminée à l'article 15. Ces données seront communiquées par les personnes autorisées ou au nom des personnes autorisées des hôpitaux et des laboratoires, ainsi que par les médecins et le personnel du centre de contact, des services d'inspection d'hygiène et des équipes mobiles.

§ 2. La Base de données I est créée sans préjudice de la Base de données II déjà existante.

Pour atteindre l'objectif visé à l'article 1 er, § 2, 1°, h, et 3°, les données de la Base de données I seront pseudonymisées avant d'être incluses dans la Base de données II conformément aux dispositions des articles 9 et 10.

§ 3. Pour atteindre les objectifs visés à l'article 1 er, § 2, 1° b, e, f et g, et parallèlement à la Base de données I, les bases de données temporaires suivantes sont également créées, entre lesquelles les catégories de données définies à l'article 6 seront échangées, mais uniquement pour les finalités de traitement définies à l'article 3 et conformément aux dispositions de l'article 10, pour la durée déterminée à l'article 15 :

1° la Base de données III;

2° la Base de données IV.

§ 4. Sciensano est le responsable du traitement des Bases de données I et II.

§ 5. Les entités fédérées compétentes ou les agences désignées par les autorités compétentes, chacune pour sa compétence, agissent en tant que responsables du traitement des Bases de données III et IV, en ce qui concerne les données à caractère personnel collectées et utilisées par les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes et prennent les mesures appropriées pour que les personnes visées à l'article 4 reçoivent les informations visées aux articles 13 et 14 du Règlement Général sur la Protection des Données et les communications visées aux articles 15 à 22 et à l'article 34 du Règlement Général sur la Protection des Données en ce qui concerne les finalités de traitement visées à l'articles 3, § 2. Ces informations doivent être fournies dans un langage simple et clair et de manière concise, transparente, compréhensible et facilement accessible.

Art. 3.

§ 1 er. Le traitement des données à caractère personnel de la Base de données I vise les finalités de traitement suivantes :

1° la mise à disposition par la Base de données I au centre de contact compétent (en ce compris les enquêteurs de terrain) des catégories de données à caractère personnel définies à l'article 7, § 2, des :

(i) Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles étaient infectées et

(ii) Personnes de catégorie III ;

au travers d'un échange avec la Base de données III, en vue de contacter les personnes visées au présent alinéa par tout moyen de communication possible, en ce compris par téléphone, par courrier électronique ou au moyen d'une visite physique, afin de leur donner d'éventuelles recommandations, mais en particulier de leur demander de fournir des informations, telles que les coordonnées, le risque de contamination du contact et la date à laquelle ces personnes ont eu des contacts;

2° A. la mise à disposition par la Base de données I au centre de contact compétent des catégories de données à caractère personnel définies à l'article 7, § 3, au travers d'un échange avec la Base de données III, en vue de contacter les Personnes de catégorie IV, par tout moyen de communication possible, en ce compris par téléphone, courrier électronique ou au moyen d'une visite physique, pour leur fournir des recommandations en matière d'hygiène et de prévention, leur proposer une quarantaine ou les inviter à se soumettre au test de dépistage du coronavirus COVID-19, en bénéficiant d'un suivi à ce niveau;

B. la mise à disposition par la Base de données I au centre de contact compétent des catégories de données à caractère personnel définies à l'article 7, § 4, au travers d'un échange avec la Base de données III, en vue de contacter les Personnes de catégories VI par tout moyen de communication possible, y compris par téléphone, par courrier électronique ou par visite à la collectivité, afin de les informer de la contamination (présumée) des (i) Personnes de catégorie II dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles étaient infectées, et (ii) des Personnes de catégorie III;

3° la mise à disposition des catégories de données à caractère personnel des Personnes de catégories I, II, et II, telles que définies à l'article 6, par la Base de données I, aux équipes mobiles et aux services d'inspection d'hygiène des autorités fédérées, dans le cadre des initiatives visant à prévenir la propagation des effets nocifs causés par le coronavirus COVID-19, chacune dans son domaine de compétence, toujours conformément à l'article 10, § 2, pour la réalisation de leurs missions réglementaires.

Les équipes mobiles et les services d'inspections d'hygiène compétentes dont il est question à l'alinéa 1 er sont celles visées dans :

a) le décret du Parlement flamand du 21 novembre 2003 relatif à la politique de santé préventive;

b) le décret du Parlement de la Communauté germanophone du 1 er juin 2004 relatif à la promotion de la santé et à la prévention médicale et ses arrêtés d'exécution;

c) l'ordonnance de la Région de Bruxelles-Capitale du 19 juillet 2007 relative à la politique de prévention en santé;

d) le décret du 2 mai 2019 modifiant le Code wallon de l'Action sociale et de la Santé en ce qui concerne la prévention et la promotion de la santé;

e) l'arrêté du Collège réuni de la Commission communautaire commune du 23 avril 2009 relatif à la prophylaxie des maladies transmissibles;

f) l'arrêté du Gouvernement flamand du 19 juin 2009 relatif aux initiatives visant à prévenir l'extension des effets néfastes causés par des facteurs biotiques.

4° la mise à disposition de données à caractère personnel pseudonymisées relevant des catégories de données à caractère personnel, relatives aux Personnes de catégories I à V, visées à l'article 6 conformément aux dispositions de l'article 10, à la base de données II déjà existante, afin de mettre les données pseudonymisées visées au présent alinéa après anonymisation, ou au moins pseudonymisation dans le cas où l'anonymisation ne permettrait pas aux institutions de recherche d'effectuer leur étude scientifique ou statistique, à la disposition des institutions de recherche, dont Sciensano, selon la procédure prévue à cet effet afin de permettre aux institutions de recherche d'effectuer des études scientifiques ou statistiques sur la lutte contre la propagation du coronavirus COVID-19 et/ou, après pseudonymisation, de soutenir la politique dans ce domaine conformément au titre 4 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

§ 2. Les centres de contact désignés par les entités fédérées ou les agences compétentes peuvent, dans la mesure où ils sont compétents et conformément à l'article 10, § 1 er :

1° traiter les catégories de données à caractère personnel visées à l'article 7, § 2 des (i) Personnes de catégorie II dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles étaient infectées et, (ii) des Personnes de catégorie III, afin de contacter les personnes visées au présent alinéa par tout moyen de communication possible, y compris par téléphone, par courrier électronique ou au moyen d'une visite physique, afin de leur donner d'éventuelles recommandations, mais en particulier de leur demander de fournir des informations, telles que les coordonnées, le risque de contamination du contact et la date à laquelle ces personnes ont eu des contact;

2° A. traiter les catégories de données à caractère personnel définies à l'article 7, § 3, aux fins de contacter les Personnes de catégorie IV par tout moyen de communication possible, y compris par téléphone, courrier électronique ou au moyen d'une visite physique, pour leur fournir, entre autres, des recommandations en matière d'hygiène et de prévention, leur proposer une quarantaine, ou les inviter à se soumettre au test de dépistage du coronavirus COVID-19, en bénéficiant d'un suivi;

B. traiter les catégories de données à caractère personnel définies à l'article 7, § 4, pour contacter les Personnes de catégorie VI par tout moyen de communication possible, y compris par téléphone, par courrier électronique ou au moyen d'une visite à la collectivité, afin de les informer de la contamination (présumée) des Personnes de catégorie II, pour autant que le test de dépistage du coronavirus COVID-19 montre qu'elles sont infectées, et des Personnes de catégorie III;

§ 3. Les équipes mobiles et les services d'inspection d'hygiène compétentes des entités fédérées, dans le cadre des initiatives visant à prévenir l'extension des effets néfastes causés par le coronavirus COVID-19, peuvent, chacun dans son domaine de compétence, toujours conformément à l'article 10, § 2, traiter les catégories de données à caractère personnel des Personnes de catégories I, II, III et IV définies à l'article 6, pour l'accomplissement de leurs missions réglementaires.

Les équipes mobiles et les services d'inspections d'hygiène compétents dont il est question à l'alinéa 1 er sont ceux visés dans :

a) le décret du Parlement flamand du 21 novembre 2003 relatif à la politique de santé préventive;

b) le décret du Parlement de la Communauté germanophone du 1 er juin 2004 relatif à la promotion de la santé et à la prévention médicale et ses arrêtés d'exécution;

c) l'ordonnance de la Région de Bruxelles-Capitale du 19 juillet 2007 relative à la politique de prévention en santé;

d) le décret du 2 mai 2019 modifiant le Code wallon de l'Action sociale et de la Santé en ce qui concerne la prévention et la promotion de la santé;

e) l'arrêté du Collège réuni de la Commission communautaire commune du 23 avril 2009 relatif à la prophylaxie des maladies transmissibles;

f) l'arrêté du gouvernement flamand du 19 juin 2009 relatif aux initiatives visant à prévenir l'extension des effets néfastes causés par des facteurs biotiques.

§ 4. Les données collectées dans le cadre du présent accord de coopération ne peuvent être utilisées à d'autres fins que celles prévues par le présent article, notamment mais pas exclusivement à des fins policières, commerciales, fiscales, pénales ou de sécurité de l'Etat.

Art. 4.

Pour les finalités de traitement prévues à l'article 3, seront traitées les catégories de données à caractère personnel, définies aux articles 6, 7, 8, et 9 du présent accord de coopération, des personnes suivantes :

1° les Personnes de catégorie I;

2° les Personnes de catégorie II;

3° les Personnes de catégorie III;

4° les Personnes de catégorie IV;

5° les Personnes de catégorie V;

6° les Personnes de catégorie VI.

Art. 5.

Les données à caractère personnel collectées et traitées dans le cadre du présent accord de coopération sont traitées conformément aux réglementations relatives à la protection des traitements de données à caractère personnel, en particulier le Règlement Général sur la Protection des Données et la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

Art. 6.

§ 1 er. Une déclaration obligatoire pour les personnes telle que visée dans

a) le décret du Parlement flamand du 21 novembre 2003 relatif à la politique de santé préventive,

b) le décret du Parlement de la Communauté germanophone du 1 er juin 2004 relatif à la promotion de la santé et à la prévention médicale et ses arrêtés d'exécution;

c) l'ordonnance de la Région de Bruxelles-Capitale du 19 juillet 2007 relative à la politique de prévention en santé;

d) le décret du 2 mai 2019 modifiant le Code wallon de l'action sociale et de la santé en ce qui concerne la prévention et la promotion de la santé;

e) l'arrêté du Collège réuni de la Commission communautaire commune du 23 avril 2009 relatif à la prophylaxie des maladies transmissibles;

est faite, par dérogation à cette réglementation pour ce qui concerne le secret professionnel, auprès de la Base de données I.

Une déclaration obligatoire pour les Personnes de catégorie I dont le médecin ne soupçonne pas qu'elles sont infectées par le coronavirus COVID-19 et pour les Personnes de catégorie II dont le test de dépistage du coronavirus COVID-19 n'a révélé aucune infection, lorsque le résultat n'est pas contesté par le médecin, sera faite auprès de la Base de données I dans le cadre de cet accord de coopération.

§ 2. La Base de données I contient, pour autant qu'elles soient disponibles, les catégories suivantes de données à caractère personnel relatives aux Personnes de catégorie I, et ce aux fins prévues à l'article 3, § 1 er :

1° le numéro NISS;

2° le nom et le prénom;

3° le sexe;

4° la date de naissance et, le cas échéant, la date de décès;

5° l'adresse;

6° les coordonnées, y compris le numéro de téléphone et l'adresse électronique de la personne concernée et de la personne à contacter en cas d'urgence ou du représentant légal, et l'indication du lien qu'ont ces personnes avec la personne concernée (parent, tuteur, médecin généraliste, ...);

7° la date de l'apparition des symptômes;

8° le numéro INAMI du prescripteur du test de dépistage du coronavirus COVID-19;

9° les données relatives au test de dépistage du coronavirus COVID-19 prescrit, en ce compris la date et le type de test de dépistage du coronavirus COVID-19 prescrit;

10° l'indication de l'exercice ou du non-exercice de la profession de prestataire de soins;

11° le service hospitalier, le numéro d'identification et les coordonnées de l'hôpital, si la personne concernée est hospitalisée;

12° éventuellement, le résultat du CT-scan, si la personne concernée est hospitalisée;

13° la collectivité éventuelle dont la personne concernée fait partie ou avec laquelle elle est entrée en contact.

Si le numéro d'identification du Registre national visé à l'article 8, § 1 er, 1°, de la loi du 15 janvier 1990 sur la création et l'organisation d'une Banque Carrefour de la sécurité sociale est disponible, les nom et prénom, date de naissance, sexe et adresse sont extraits du Registre national ou des registres de la Banque Carrefour visés à l'article 4 de la loi du 15 janvier 1990 sur la création et l'organisation d'une Banque Carrefour de la sécurité sociale.

§ 3. La Base de données I contient, pour autant qu'elles soient disponibles, les catégories suivantes de données à caractère personnel relatives aux Personnes de catégorie II :

1° les données visées au § 2;

2° la date, le résultat, le numéro d'échantillon et le type de test de dépistage du coronavirus COVID-19;

3° le numéro INAMI du laboratoire qui a effectué le test de dépistage du coronavirus COVID-19;

4° si le résultat du test de dépistage n'a pas permis de constater une contamination, l'éventuelle décision d'annulation prise par un médecin;

5° si le résultat du test de dépistage n'a pas permis de constater une contamination, le numéro INAMI du médecin qui a pris la décision d'annulation.

Les données à caractère personnel visées aux 1°, 2° et 3° sont communiquées à Sciensano par les fournisseurs d'informations suivants : les personnes autorisées ou sur ordre des personnes autorisées du laboratoire, de l'hôpital ou de l'autre établissement de soins ou du prestataire de soins qui a effectué le test de dépistage du coronavirus COVID-19. Les données visées aux 4° et 5° sont communiquées à Sciensano par le médecin qui a pris la décision d'annulation.

§ 4. La Base de données I contient, pour autant qu'elles soient disponibles, les catégories suivantes de données à caractère personnel relatives aux Personnes de catégorie III :

1° le numéro NISS;

2° le nom et le prénom;

3° le sexe;

4° la date de naissance et, le cas échéant, la date de décès;

5° l'adresse;

6° les coordonnées de la personne concernée, en ce compris, le numéro de téléphone et l'adresse électronique de la personne concernée, ainsi que de la personne à contacter en cas d'urgence ou du représentant légal et l'indication du lien qu'ont ces personnes avec la personne concernée (parents, tuteur, médecin généraliste, ...);

7° le diagnostic présumé de contamination par le coronavirus COVID-19;

8° le numéro INAMI du médecin qui émet la forte suspicion;

9° l'indication de l'exercice ou du non-exercice de la profession de prestataire de soins;

10° la collectivité éventuelle dont la personne concernée fait partie ou avec laquelle elle est entrée en contact;

11° la date de l'apparition des symptômes;

12° les données nécessaires permettant au centre de contact de prendre tout contact utile avec la personne concernée, en ce compris le code postal et la langue.

Ces informations sont communiquées à Sciensano par le médecin qui a une forte suspicion que les Personnes de catégorie III soient infectées par le coronavirus COVID-19. Si le numéro d'identification du Registre national visé à l'article 8, § 1 er, 1°, de la loi du 15 janvier 1990 sur la création et l'organisation d'une Banque Carrefour de la sécurité sociale est disponible, les nom et prénom, date de naissance, sexe et adresse sont extraits du Registre national ou des registres de la Banque Carrefour visés à l'article 4 de la loi du 15 janvier 1990 sur la création et l'organisation d'une Banque Carrefour de la sécurité sociale.

§ 5. La Base de données I contient, pour autant qu'elles soient disponibles, les catégories suivantes de données à caractère personnel relatives aux Personnes de catégorie IV (et le cas échéant, aux Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles étaient infectées, et aux Personnes de catégorie III) communiquées à Sciensano par les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes :

1° le numéro NISS;

2° le nom et le prénom;

3° le sexe;

4° la date de naissance et, le cas échéant, la date du décès;

5° l'adresse;

6° les coordonnées, en ce compris le numéro de téléphone et l'adresse électronique;

7° les données nécessaires permettant au centre de contact de prendre tout autre contact utile avec la personne visée au présent paragraphe et la liste des personnes avec lesquelles la personne visée au présent paragraphe a eu des contacts récents, en ce compris le code postal et la langue, ainsi que le risque estimé de contagion de la personne visée au présent paragraphe;

8° la liste des collectivités dont la personne visée au présent paragraphe fait partie ou avec lesquelles elle est entrée en contact, dont les données sont communiquées par la Base de données IV;

9° les critères pertinents permettant d'évaluer si le risque d'infection est élevé ou faible et de donner des conseils, en ce compris les symptômes éventuels, le moment où les symptômes sont apparus, le type de test de dépistage du coronavirus COVID-19 prescrit, la visite chez le médecin, l'enregistrement du refus éventuel de voir un médecin;

10° les informations pertinentes communiquées au centre de contact par la personne visée au présent paragraphe concernant les déplacements effectués, les symptômes et le suivi des mesures d'isolement, de prévention et d'hygiène;

11° le simple fait qu'il y ait eu contact entre les Personnes de catégorie IV et les Personnes de catégories I, II, III, y compris l'appartenance au ménage des Personnes de catégorie IV;

12° la réponse à la question de savoir si (i) les Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles sont infectées ; (ii) les Personnes de catégorie III ; ou (iii) les Personnes de catégorie IV utilisent ou non une application numérique de traçage des contacts.

§ 6. La Base de données I contient les données complémentaires suivantes relatives aux Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles sont infectées, et aux Personnes de catégories III et IV collectées et fournies par les centres de contact compétents : toutes les données nécessaires à l'organisation et au suivi du contact avec la personne concernée par le personnel du centre de contact, telles que la langue de la personne concernée, le statut de contact de la personne concernée, les numéros de ticket des enregistrements de prise de contact ou des tentatives de prise de contact, les types de contact, l'heure des tickets, l'heure et la durée de la prise de contact, le résultat de la prise de contact.

§ 7. La Base de données I contient les données supplémentaires suivantes sur des personnes appartenant à un cluster, collectées et fournies par les équipes mobiles ou les inspections d'hygiène compétentes : toutes les données nécessaires à l'organisation et au suivi du contact pris avec la personne concernée dans le groupe par le personnel du centre de contact, telles que la langue de la personne concernée, le statut de contact de la personne concernée, les numéros de ticket des prises de contacts ou des tentatives de prise de contact, les types de prise de contact, l'heure des tickets, l'heure et la durée de la prise de contact, le résultat de la prise de contact.

Art. 7.

§ 1 erLa Base de données III contient les catégories de données à caractère personnel communiquées par Sciensano, à partir de la Base de données I, au centre de contact désigné par les entités fédérées compétentes ou par les agences compétentes, aux fins énoncées à l'article 3, § 1 er, 1° et 2°.

§ 2. La Base de données III contient les catégories suivantes de données à caractère personnel relatives aux Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles sont infectées, et aux Personnes de catégorie III :

1° le numéro NISS;

2° le nom et le prénom;

3° le sexe;

4° la date de naissance;

5° les coordonnées, en ce compris l'adresse, le numéro de téléphone et l'adresse électronique, de la personne concernée, ainsi que des personnes à contacter en cas d'urgence;

6° les données nécessaires permettant au centre de contact de prendre tout contact utile avec la personne concernée, en ce compris le code postal et la langue;

7° l'indication que la personne doit être appelée par téléphone en tant que personne (présumée) infectée afin de retracer ses contacts;

8° le cas échéant, le résultat du test de dépistage du coronavirus COVID-19 et la date du test;

9° le numéro du ticket, la date, l'heure et le résultat de la prise de contact.

§ 3. La Base de données III contient les catégories suivantes de données à caractère personnel relatives aux Personnes de catégorie IV :

1° le numéro NISS;

2° le nom et le prénom;

3° le sexe;

4° la date de naissance et, le cas échéant, la date du décès;

5° l'adresse;

6° les coordonnées, en ce compris le numéro de téléphone et l'adresse électronique;

7° les données nécessaires permettant au centre de contact de prendre tout autre contact utile avec la personne visée au présent paragraphe et la liste des personnes avec lesquelles la personne visée au présent paragraphe a eu des contacts récents, en ce compris le code postal et la langue de la personne visée au présent paragraphe;

8° la liste des collectivités dont la personne visée au présent paragraphe fait partie ou avec lesquelles elle est entrée en contact, dont les données sont communiquées par la Base de données IV;

9° les critères pertinents permettant d'évaluer si le risque d'infection est élevé ou faible et de donner des conseils, en ce compris les symptômes éventuels, le moment où les symptômes sont apparus, le type de test de dépistage du coronavirus COVID-19 prescrit, la visite chez le médecin, l'enregistrement du refus éventuel de voir un médecin;

10° les données pertinentes communiquées au centre de contact et aux équipes mobiles par la personne visée au présent paragraphe concernant les déplacements effectués, les symptômes et le suivi des mesures d'isolement, de prévention et d'hygiène;

11° le simple fait qu'il y ait eu contact entre la Personne de catégorie IV, en ce compris l'appartenance au ménage de celle-ci, et d'une part, les Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a montré que ces personnes sont infectées, et, d' autre part, les Personnes de catégorie III.

§ 4. La Base de données III contient les catégories de données suivantes relatives aux Personnes de catégorie VI :

1° le nom, le type, les coordonnées de la collectivité;

2° les coordonnées du médecin de référence et/ou de la personne responsable de la collectivité, en ce compris ses nom, prénom et numéro de téléphone.

Art. 8.

§ 1 er. La Base de données IV contient les catégories suivantes de données à caractère personnel relatives aux Personnes de catégories V et VI aux fins énoncées à l'article 3, § 1 er, 2°, B :

1° le numéro d'identification provenant d'une source authentique, en particulier le Registre national et la Banque Carrefour de la sécurité sociale, et le numéro d'identification interne;

2° les nom, le type, l'adresse, le numéro figurant dans la Banque Carrefour des Entreprises, de la collectivité à laquelle la personne appartient ou avec laquelle elle a eu des contacts;

3° les coordonnées du médecin de référence et/ou de la personne responsable de la collectivité, en ce compris le nom, prénom et le numéro de téléphone.

Art. 9.

§ 1 er. La Base de données II est complétée par les données à caractère personnel, relatives aux Personnes de catégories I, II et III, énumérées à l'article 6 mais uniquement après pseudonymisation, et exclusivement aux fins prévues à l'article 1 er, § 2, 1°, h, à l'article 1 er, § 2, 3° et à l'article 3, § 1 er, 4°. Il s'agit plus précisément des catégories suivantes de données à caractère personnel :

1° un numéro unique qui ne permet pas d'identifier la personne;

2° l'année de naissance et, le cas échéant, l'année et le mois du décès;

3° le sexe;

4° le code postal;

5° le numéro INAMI du prescripteur du test de dépistage du coronavirus COVID-19;

6° le type, la date, le numéro d'échantillon et le résultat du test de dépistage du coronavirus COVID-19 ou le diagnostic présumé en l'absence de test de dépistage du coronavirus COVID-19 ;

7° le numéro INAMI du laboratoire qui a effectué le test de dépistage du coronavirus COVID-19;

8° en cas de résultat de test de dépistage du coronavirus COVID-19 négatif, une éventuelle décision d'annulation par un médecin;

9° en cas de décision d'annulation d'un résultat de test négatif, le numéro INAMI du médecin qui a pris la décision d'annulation;

10° le cas échéant, le type et le code postal de la collectivité dont la personne fait partie ou avec laquelle elle est entrée en contact;

11° le résultat des examens médicaux, y compris le résultat du CT-scan;

12° l'indication de l'exercice ou non de la profession de prestataire de soins;

13° les données pertinentes pour le traçage des contacts, en ce compris les symptômes, la date des premiers symptômes, les déplacements, le suivi des mesures d'isolement et d'hygiène;

14° le simple fait qu'il y ait eu contact, y compris le fait de faire partie du ménage, entre les Personnes de catégorie IV et, d'une part, les Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé que ces personnes sont infectées, et, d'autre part les Personnes de catégorie III.

§ 2. La Base de données II est complétée par les données à caractère personnel, relatives aux Personnes de catégorie IV, énumérées à l'article 6 mais uniquement après pseudonymisation, et ce exclusivement aux fins énoncées à l'article 3, § 1 er, 4°. Il s'agit plus précisément des données à caractère personnel suivantes :

1° un numéro unique qui ne permet pas d'identifier la personne;

2° l'année de naissance et, le cas échéant, l'année et le mois du décès;

3° le sexe;

4° les symptômes;

5° le contact ou l'absence de contact avec des personnes vulnérables;

6° le résultat et la date du test de dépistage du coronavirus COVID-19 prescrit;

7° l'exercice de la profession de prestataire de soins;

8° les données strictement nécessaires relatives à la prise de contact, en ce compris la date du ticket et le résultat général de la prise de contact sous la forme d'un code;

9° tous les critères pertinents pour estimer le risque élevé ou faible;

10° le code postal de l'adresse.

Art. 10.

§ 1 er. Les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes, chacun dans leur domaine de compétence exclusif, n'ont accès qu'aux catégories de données à caractère personnel visées à l'article 7, § 2, § 3 et § 4 relatives aux Personnes de catégorie II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé qu'elles sont infectées, et relatives aux Personnes de catégories III, IV, et VI.

L'accès à ces données à caractère personnel n'est possible que pour les finalités mentionnées à l'article 3, § 1 er, 1° à 3° compris, à l'article 3, § 2 notamment pour identifier et contacter le patient, la collectivité à laquelle il appartient ou avec laquelle il a été en contact et les personnes avec lesquelles il est entré en contact.

§ 2. Les équipes mobiles et les services d'inspection d'hygiène compétents des entités fédérées ont, chacun dans leur domaine de compétence exclusif, et uniquement aux fins mentionnées à l'article 3, § 1 er, 3°, accès aux catégories de données à caractère personnel, relatives aux Personnes de catégories I, II, III, IV et si nécessaire des Personnes de catégories V et VI, visées à l'article 6, dans la Base de données I, notamment dans le cadre d'initiatives visant à prévenir la propagation des effets néfastes causés par le coronavirus COVID-19.

§ 3. Les données à caractère personnel telles que communiquées et conservées dans la Base de données I, ne peuvent être transmises ultérieurement, après pseudonymisation, à la Base de données II, qu'aux fins définies à l'article 3, § 1 er, 4°, conformément au Règlement Général sur la Protection des Données et à la loi du 5 septembre 2018 instituant le comité de sécurité de l'information. Les données à caractère personnel telles que communiquées et conservées dans la Base de données II, ne peuvent être transmises à des tiers aux fins stipulées à l'article 3, § 1 er, 4° qu'après la délibération, visée à l'article 11, de la Chambre sécurité sociale et santé du Comité de sécurité de l'information.

§ 4. Tout accès des personnes physiques aux données à caractère personnel contenues dans les Bases de données conforme au § 1 er jusqu'au § 3 du présent article ne peut avoir lieu que dans la mesure nécessaire aux tâches qui leur sont assignées afin de réaliser les finalités du traitement et que dans la mesure prévue dans le présent accord de coopération ainsi que dans la législation des entités fédérées.

Art. 11.

§ 1 er. Dans la mesure où cela n'est pas repris dans le présent accord de coopération, tant la communication de données à caractère personnel par type d'acteur à Sciensano pour traitement dans la Base de données I que la communication ultérieure de ces données à caractère personnel par Sciensano à des tiers tels que prévus dans l'article 10 ont toujours lieu après délibération de la Chambre sécurité sociale et santé du Comité de sécurité de l'information visée dans la loi du 5 septembre 2018 instituant le Comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement Général sur la Protection des Données.

§ 2. Sans préjudice de l'application du paragraphe 1 er, la Chambre « sécurité sociale et santé » du Comité de sécurité de l'information ne délibère sur les communications à ou par la Base de données I de Sciensano que dans la mesure où elles servent les fins visées à l'article 3, sans que la Chambre « sécurité sociale et santé » du Comité de sécurité de l'information puisse déterminer elle-même une autre fin.

§ 3. La Chambre « sécurité sociale et santé » du Comité de la sécurité de l'information peut préciser, pour chaque finalité de traitement définie à l'article 3, quelles données à caractère personnel relevant d'une certaine catégorie de données à caractère personnel peuvent être traitées et communiquées à l'une des Base de données II, III et IV ou qui doivent être communiquées à partir de la Base de données IV à la Base de données I, dans la mesure où cela est utile afin d'atteindre la finalité du traitement en question. Cette compétence est exercée conformément à l'article 46 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale.

Si, sur la base de cette compétence, la Chambre « sécurité sociale et santé » du Comité de sécurité de l'information détermine ou complète les données à caractère personnel dans la catégorie de données à caractère personnel définie à l'article 6 ci-dessus, Sciensano l'indiquera clairement sur son site web conformément aux dispositions du Règlement Général sur la Protection des Données en matière de transparence.

§ 4. Conformément à l'article 1 er, § 5, et sans préjudice de l'application des paragraphes 1 er, 2 et 3, les points suivants peuvent être clarifiés, modifiés ou complétés par le biais d'un accord de coopération d'exécution tel que prévu à l'article 92bis, § 1 er, troisième alinéa, de la loi spéciale du 8 août 1980 de réformes institutionnelles :

1° les institutions qui peuvent être comprises sous le vocable de collectivités,

2° les catégories de fournisseurs d'informations qui doivent de façon obligatoire communiquer des données à caractère personnel à Sciensano pour enregistrement et traitement ultérieur dans la base de données définie à l'article 2, § 1 er, et

3° les catégories de données à caractère personnel traitées dans les bases de données visées à l'article 2.

Art. 12.

§ 1 er. Dans le cadre de ses compétences définies à l'article 11, § 3, la Chambre « sécurité sociale et santé » du Comité de sécurité de l'information précise les règles en la matière et définit au moins les éléments suivants :

1° les données à caractère personnel supplémentaires qui doivent être demandées et la finalité de traitement, parmi les finalités de traitement définies à l'article 3, pour laquelle des données à caractère personnel supplémentaires doivent être demandées;

2° l'identité du responsable du traitement;

3° de quelles catégories définies aux articles 6, 7, 8 et 9 relèvent les données à caractère personnel supplémentaires, dans la mesure où elles sont adéquates, pertinentes et limitées à ce qui est nécessaire pour la finalité de traitement telle que définie au 1° ;

4° les catégories de personnes visées à l'article 4 à propos desquelles des données à caractère personnel supplémentaires sont traitées;

5° les mesures visant à garantir un traitement licite et loyal des données à caractère personnel;

6° la manière dont les personnes dont les données à caractère personnel sont traitées sont informées de ce traitement conformément au présent accord de coopération.

§ 2. L'accès au Registre national visé à l'article 1 er de la loi du 8 août 1983 organisant un Registre national des personnes physiques et aux registres de la Banque Carrefour visés à l'article 4 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale est accordé exclusivement pour les finalités de traitement visées à l'article 3.

§ 3. La communication de données à caractère personnel provenant d'autres sources authentiques à la Base de données I, requiert une délibération de la Chambre sécurité sociale et santé du Comité de sécurité de l'information. Une telle communication ne sera possible qu'à condition que la communication de données à caractère personnel supplémentaires soit nécessaire pour les finalités de traitement décrites à l'article 3.

Art. 13.

§ 1 er. Sciensano, en ce qui concerne les Bases de données I et II, et les entités fédérées compétentes ou les agences désignées par les entités fédérées compétentes, en ce qui concerne les Bases de données III et IV, mettent en oeuvre les mesures techniques et organisationnelles appropriées, conformément à l'article 32 du Règlement Général sur la Protection des Données, afin de garantir un niveau de sécurité adapté au risque. Ces mesures seront précisées par le biais d'un protocole d'accord.

§ 2. Sciensano, en ce qui concerne les Bases de données I et II, et les entités fédérées compétentes ou les agences désignées par les entités fédérées, en ce qui concerne les Bases de données III et IV, respecteront les principes de protection des données dès la conception et de protection des données par défaut, tels que définis à l'article 25 du Règlement Général sur la Protection des Données. Ces principes seront précisées par le biais d'un protocole d'accord.

Art. 14.

§ 1er. L'application numérique de traçage des contacts pour prévenir la propagation du coronavirus COVID-19 dans la population vise à informer les utilisateurs qu'ils ont eu un contact à risque avec un autre utilisateur infecté, sans que l'utilisateur infecté soit identifié par l'application numérique de traçage des contacts, et avec l'objectif supplémentaire que l'utilisateur averti prenne alors volontairement les mesures nécessaires, sur la base des recommandations de Sciensano et des entités fédérées compétentes, pour prévenir la propagation du coronavirus COVID-19.
§ 2. L'application numérique de traçage des contacts se limite au traitement des informations qui doivent permettre :
1° que les contacts entre les utilisateurs de l'application numérique de traçage des contacts soient captés sans qu'il soit possible de retracer l'identité d'un utilisateur;
2° à un utilisateur de pouvoir signaler l'infection du coronavirus COVID-19 de manière volontaire, anonymisée, ou au moins pseudonymisée, par le biais d'un acte positif de sa part si cet utilisateur entre dans la catégorie
i. des Personnes de catégories II, dans la mesure où le test de dépistage du coronavirus COVID-19 a révélé que cet utilisateur est infecté, ou
ii. des Personnes de catégorie III;
3° que les utilisateurs de l'application numérique de traçage des contacts soient avertis lorsqu'ils se sont trouvés pendant un certain temps à proximité d'un utilisateur infecté par le coronavirus COVID-19 qui l'a signalé conformément aux dispositions du 2°.
§ 3. L'application numérique de traçage des contacts doit répondre aux conditions minimales suivantes :
1° l'application numérique de traçage des contacts est développée en prenant comme référence le protocole DP3T (Decentralized Privacy-Preserving Proximity Tracing);
2° l'application numérique de traçage des contacts consiste en une application mobile installée par l'utilisateur sur son appareil et en un journal central des enregistrements, à savoir la Base de données V, qui permet un fonctionnement contrôlé de l'application numérique de traçage des contacts tel que défini au paragraphe 2, 2° et 3° ;
3° Sciensano est le responsable du traitement de de la Base de données V ;
4° l'application numérique de traçage des contacts peut assurer l'interopérabilité avec d'autres Etats membres européens, des pays qui font partie de l'Espace économique européen ou des pays qui ont été considérés comme ayant un niveau de protection des données adéquat par la Commission européenne, tel que défini dans le Règlement Général sur la Protection des Données (décision d'adéquation), qui utilisent également le protocole visé au 1° et qui offrent des garanties de protection des données identiques ou équivalentes;
5° la communication entre appareils sur lesquels l'application mobile de l'application numérique de traçage des contacts a été installée s'effectue uniquement sur la base de données qui ne permettent pas d'identifier l'utilisateur;
6° l'application numérique de traçage des contacts permet à un utilisateur, dont l'infection par le coronavirus COVID-19 a été constatée, d'utiliser un code d'autorisation, afin de garantir que seules des informations validées concernant les infections puissent être communiquées au responsable du traitement de la Base de données V, évitant ainsi les fausses notifications et les notifications erronées et accidentelles d'une infection via l'application numérique de traçage des contacts;
7° l'application numérique de traçage des contacts garantit que seul le fait de l'infection, ainsi que la date à laquelle l'utilisateur est suspecté d'être devenu contagieux, sont communiqués au responsable du traitement de la Base de données V, et cela de telle sorte que l'identité de l'utilisateur ne puisse être retracée;
8° l'application numérique de traçage des contacts permet aux utilisateurs de désactiver, temporairement ou définitivement, l'application mobile de l'application numérique de traçage des contacts qu'ils utilisent sur leur appareil. L'application mobile de l'application numérique de traçage des contacts peut être désactivée à tout moment par l'utilisateur, avec la garantie que la désinstallation de l'application mobile de l'application numérique de traçage des contacts ne sera pas plus difficile que son installation, et en veillant également à ce que les utilisateurs soient informés lorsque, comme décrit au § 3, 9° et 10°, la Base de données V est désactivée et que l'utilisation de l'application mobile de l'application numérique de traçage des contacts n'est plus recommandée, afin que, sur la base de ces informations, l'utilisateur puisse alors décider volontairement de désactiver ou de supprimer de l'application mobile de l'application numérique de traçage des contacts sur son appareil;
9° l'utilisateur doit pouvoir transmettre volontairement et de manière autorisée un constat d'infection via l'application mobile de l'application numérique de traçage des contacts à la Base de données V, sans que l'identité de l'utilisateur puisse être retracée, et de telle sorte que les éventuelles données à caractère personnel nécessaires pour permettre à un utilisateur de s'authentifier lorsqu'il souhaite signaler une infection soient conservées, si possible en dehors de l'application de traçage des contacts, et en tout cas ne soient, quoi qu'il en soit, jamais transmises à la Base de données V, et soient effacées de l'application mobile de l'application numérique de traçage des contacts immédiatement après une authentification réussie;
10° aucune donnée de géolocalisation n'est, de quelque manière que ce soit, utilisée ou traitée dans l'application numérique de traçage des contacts;
11° lorsqu'un utilisateur est informé d'un contact avec un utilisateur infecté, aucun détail qui permettrait d'identifier l'utilisateur infecté n'est communiqué;
12° le code source de l'application numérique de traçage des contacts, est rendu public, avant le lancement et l'entrée en vigueur de l'application numérique de traçage des contacts;
13° l'accès à la Base de données V est limité aux personnes autorisées du responsable du traitement, à savoir Sciensano, et à ses fournisseurs de services TIC qui contribuerait au fonctionnement de la Base de données, où cet accès sera en outre strictement limité au nombre minimal pour garantir le fonctionnement de l'application numérique de traçage des contacts telle que décrite au § 2, 2° et 3°.
§ 4. L'application numérique de traçage des contacts respecte les principes énoncés aux articles 5 et 25 du Règlement Général sur la Protection des Données.
Seules les données nécessaires pour confirmer l'infection au coronavirus COVID-19 d'un utilisateur et pour avertir les utilisateurs de l'application numérique de traçage des contacts qu'ils se sont trouvés pendant un certain temps à proximité d'une personne infectée par le coronavirus COVID-19 peuvent être traitées, en tenant compte des principes de protection des données dès la conception et par défaut.
Ces catégories de données sont énumérées de manière exhaustive dans le présent accord de coopération ou, le cas échéant, dans les accords de coopérations d'exécution visés à l'article 1, § 5.
§ 5. L'installation, l'utilisation et la désinstallation de l'application numérique de traçage des contacts par un utilisateur se fait exclusivement de manière volontaire.
L'installation ou non, l'utilisation ou non et la désinstallation ou non de l'application mobile de l'application numérique de traçage des contacts ne peuvent donner lieu à aucune mesure de nature civile ou pénale, à aucun acte discriminatoire, ni à aucun avantage ou désavantage. Une violation de ces principes ou le fait pour une autorité, une entreprise ou un individu d'obliger un autre individu à installer, utiliser et désinstaller l'application numérique de traçage des contacts sera sanctionné en vertu du droit commun.
§ 6. Toutes les données relatives aux contacts entre utilisateurs, stockées sur l'appareil de l'utilisateur, sont supprimées au plus tard trois semaines après avoir été générées sur le dispositif de l'utilisateur d'une application numérique de traçage des contacts.
Les données qui aboutissent dans la Base de données V ne peuvent plus être utilisées par l'application mobile et numérique de traçage des contacts sur l'appareil de l'utilisateur. Les informations conservées dans la Base de données V doivent être supprimées au plus tard trois semaines après leur enregistrement dans cette Base de données.
Les données liées à la communication volontaire d'une infection au coronavirus COVID-19 constatée ainsi que les données utilisées pour l'authentification de la personne infectée, dans la mesure où ces informations sont traitées en application du paragraphe 2, 2°, doivent être effacées immédiatement sur l'appareil de l'utilisateur après avoir été saisies dans l'application numérique de traçage des contacts.
§ 7. Ni l'application numérique de traçage des contacts, ni les données traitées au moyen de celle-ci ne peuvent être utilisées à d'autres fins que celles prévues au paragraphe 1er, notamment mais pas exclusivement, à des fins policières, commerciales, fiscales, pénales ou de sûreté de l'Etat.
§ 8. Une analyse d'impact relative à la protection des données est établie et publiée en application des articles 35 et 36 du Règlement Général sur la Protection des Données.
§ 9. Ce sont les entités fédérées qui décident quelle(s) application(s) mobile(s) sont mises à la disposition des utilisateurs dans le cadre du traçage de contacts par les autorités et qui en contrôlent la conformité avec la réglementation. Les procédures à cet égard, ainsi que la poursuite du fonctionnement de l'application numérique de traçage des contacts et les traitements de données utiles dans ce cadre sont réglés par un accord de coopération d'exécution visé à l'article 92bis, § 1er, alinéa 3, de la loi spéciale du 8 août 1980 de réformes institutionnelles, sans préjudice des dispositions du présent article. Cet accord de coopération d'exécution contient au minimum :
1° une description du système de traçage, notamment pour s'assurer que les risques qui sont limités par le protocole DP3T de référence ne sont pas réintroduits par l'application numérique de traçage des contacts et/ou un système permettant la réidentification;
2° une description claire des traitements résultant de l'utilisation de l'application numérique de traçage des contacts et une définition claire des concepts importants tels que le contact à risque, le code d'autorisation, la clé sécurisée et le numéro de série temporaire non personnalisé;
3° les spécifications techniques auxquelles l'application numérique de traçage des contacts devra se conformer;
4° les spécifications nécessaires pour assurer l'interopérabilité avec d'autres Etats membres européens, des pays qui font partie de l'Espace économique européen ou des pays qui ont été désignés comme ayant un niveau de protection des données adéquat par la Commission européenne, comme défini dans le Règlement Général sur la Protection des Données (décision d'adéquation), qui utilisent également le protocole visé au 1° et qui offrent des garanties identiques ou équivalentes en matière de protection des données;
5° les garanties spécifiques pour limiter le risque de réidentification sur la base de l'authentification de l'utilisateur infecté, par exemple par l'utilisation d'une banque de données « tampon », dont le fonctionnement est décrit dans l'accord de coopération d'exécution ;
6° la manière dont les personnes concernées sont informées du fonctionnement des applications numériques de traçage des contacts et de l'échange des données qu'elles génèrent;
7° la procédure de contrôle du bon fonctionnement de l'application numérique de traçage des contacts.
CHAPITRE IX. - Délai de conservation

Art. 15.

§ 1 er. Sous réserve des dispositions du paragraphe 2, les données à caractère personnel seront supprimées de la Base de données I au plus tard soixante jours après leur enregistrement. Les données à caractère personnel de la Base de données III sont supprimées quotidiennement. Après la publication de l'arrêté royal proclamant la fin de l'épidémie du coronavirus COVID-19, les données à caractère personnel de la Base de données IV seront transférées aux entités fédérées compétentes pour l'exercice de leur compétence en matière de détection des maladies infectieuses, dans le cadre des compétences matérielles dans le domaine des soins de santé préventifs conformément au § 3 du présent article. Les données sauvegardées dans la Base de données V sont supprimées après trois semaines au plus tard, conformément aux dispositions de l'article 14, § 6.

§ 2. Les données à caractère personnel pseudonymisées telles que définies à l'article 10, § 3, qui sont transmises pour la finalité de traitement définie à l'article 3, § 1 er, 4°, seront supprimées conformément au délai généralement accepté pour la conservation des dossiers concernant la santé et dans le cadre de la recherche scientifique en matière de santé, à savoir trente ans.

§ 3. A l'exception des données des Bases de données II et IV, les Bases de données et leur fonctionnement seront en tout cas désactivées, supprimées ou effacées par le responsable du traitement au plus tard cinq jours après le jour de la publication de l'arrêté royal proclamant la fin de l'épidémie du coronavirus COVID-19. Conformément au § 1 du présent article, les données à caractère personnelle dans la Base de données IV seront transférées aux entités fédérées au plus tard cinq jours après le jour de la publication de l'arrêté royal proclamant la fin de l'épidémie du coronavirus COVID-19.

Art. 16.

§ 1 er. Sciensano, en tant que responsable du traitement des Bases de données I et II, prend les mesures appropriées afin que les personnes concernées reçoivent les informations visées aux articles 13 et 14 du Règlement Général sur la Protection des Données et la communication visée aux articles 15 à 22 inclus et à l'article 34 du Règlement Général sur la Protection des Données en rapport avec le traitement aux fins prévues à l'article 3. Ces informations doivent être fournies dans un langage clair et simple et sous une forme concise, transparente, compréhensible et facilement accessible.

§ 2. Sciensano crée et assure la maintenance d'un site web destiné aux personnes concernées visées à l'article 4 sur lequel sont publiées des informations adéquates conformément à l'article 14 du Règlement Général sur la Protection des Données et les données de contact du délégué à la protection des données.

§ 3. Sciensano gère et assure la maintenance d'un système pour l'exercice des droits prévus aux articles 15 à 22 inclus et à l'article 34 du Règlement Général sur la Protection des Données.

§ 4. Sciensano, les entités fédérées compétentes et les agences désignées par les entités fédérées compétentes, chacune dans son domaine de compétence, définissent de manière transparente leurs responsabilités respectives, notamment en ce qui concerne l'exercice des droits de la personne concernée et la fourniture d'informations. A cette fin, Sciensano, les entités fédérées compétentes et les agences désignées par les entités fédérées compétentes concluent un protocole d'accord définissant les rôles et les relations respectives des responsables conjoints du traitement vis-à-vis des personnes concernées.

Art. 17.

Les litiges entre les parties au présent accord concernant l'interprétation et l'exécution de cet accord de coopération sont soumis à une juridiction de coopération au sens de l'article 92bis, § 5, de la loi spéciale du 8 août 1980 de réformes institutionnelles. Le mode de désignation des membres du tribunal de coopération sera déterminé dans un protocole d'accord de coopération d'exécution. Les frais de fonctionnement du tribunal de coopération seront divisés à parts égales entre les parties à cet accord de coopération d'exécution.

Art. 18.

§ 1 er. La Conférence interministérielle santé publique surveille la mise en oeuvre et le respect de cet accord de coopération et, le cas échéant, soumet des propositions d'adaptation. Le Conférence interministérielle santé publique exerce également une fonction de médiation dans le cadre de cet accord de coopération avant que les litiges ne soient soumis à un tribunal de coopération, comme le stipule l'article 17.

§ 2. La Conférence interministérielle santé publique se réunit dès qu'une partie à l'accord de coopération en fait la demande.

Art. 19.

§ 1er. Le présent accord de coopération entre en vigueur le 4 mai 2020 en ce qui concerne les dispositions correspondant en substance à l'arrêté royal n° 18 du 4 mai 2020 portant création d'une base de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19, tel que modifié par l'arrêté royal n° 25 du 28 mai 2020 modifiant l'arrêté royal n° 18 du 4 mai 2020 portant création d'une base de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19.
L'article 14 ainsi que les dispositions relatives aux applications numériques de traçage des contacts entrent en vigueur le 29 juin 2020, en ce qui concerne les dispositions correspondant en substance à l'arrêté royal n° 44 du 26 juin 2020 concernant le traitement conjoint de données par Sciensano et les centres de contact désignes par les entités fédérées compétentes ou par les agences compétentes par les inspections sanitaires et les équipes mobiles dans le cadre d'un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID-19 sur la base d'une base de données auprès de Sciensano, tel qu'applicable à partir du 29 juin 2020.
§ 2. Sous réserve des dispositions de l'article 15, § 2 et § 3, les mesures apportées par cet accord de coopération prendront fin le jour de la publication de l'arrêté royal proclamant la fin de l'épidémie du coronavirus COVID-19.
§ 3. Sans préjudice du paragraphe 2, l'accord de coopération sera résilié par le biais d'un nouvel accord de coopération, qui sera porté à la connaissance des citoyens.
Fait à Bruxelles, le 25 août 2020, en un exemplaire original.

Pour l'Etat fédéral :

La Première Ministre, S. WILMES

La Ministre des Affaires sociales et de la Santé publique, et de l'Asile et la Migration, M. DE BLOCK

Pour la Communauté flamande : Pour le Ministre-Président, absent :

Le Vice-ministre-président du Gouvernement flamand et Ministre flamand de l'Enseignement, des Sports, du Bien-Etre des Animaux et du Vlaamse Rand, B. WEYTS

Le Ministre du Bien-être, de la Santé publique, de la Famille et de la Lutte contre la pauvreté W. BEKE

Pour la Région wallonne :

Le Ministre-président E. DI RUPO

La Ministre de l'Emploi, de la Formation, de la Santé, de l'Action sociale, de l'Egalité des chances Ch. MORREALE

Pour la Commission communautaire commune :

Le Président du Collège réuni, R. VERVOORT

Le Membre du Collège réuni, compétent pour l'Action sociale et la Santé A. MARON

Le Membre du Collège réuni, compétent pour l'Action sociale et la Santé E. VAN DEN BRANDT

Pour la Communauté germanophone :

Le Ministre-président O. PAASCH

Le Vice-ministre-président et Ministre de la Santé et des Affaires sociales, de l'Aménagement du territoire et du Logement, A. ANTONIADIS