Entré en vigueur le lendemain de sa publication, ce décret crée un traitement de données à caractère personnel dénommé « système d'information de veille et sécurité sanitaires » en abrégé (SI-VSS), permettre aux agences régionales de santé d'assurer l'enregistrement et la traçabilité de la régulation, de la gestion et du suivi des signalements d'évènements qu'elles reçoivent au titre de leurs missions de veille et sécurité sanitaire. Partant, ce décret précise les finalités du traitement, les informations et catégories de données à caractère personnel qui y sont enregistrées, les personnes habilitées à accéder au traitement et les destinataires des données, leur durée de conservation, ainsi que les modalités d'exercice de leurs droits par les personnes concernées. Composé de quelques 6 articles ce décret se veut novateur en plantant décor dès l'article 1. En effet l'article 1 précise que " le traitement de données à caractère personnel, dénommé « système d'information de veille et sécurité sanitaires » (SI-VSS) dont on parle est , placé sous la responsabilité conjointe du ministère chargé de la santé et des agences régionales de santé, et mis en œuvre pour l'exécution d'une mission d'intérêt public, conformément au e du 1 de l'article 6 du règlement (UE) du 27 avril 2016 susvisé, et pour les motifs d'intérêt public mentionnés au i du 2 de l'article 9 du même règlement ". Rappelons que le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, avait abrogé la directive 95/46/CE en 2016. Apres précision des autorités compétentes pouvant de procéder au traitement des données à caractères personnel l'article poursuit ses précisions sur la finalité du décret de (SI-VSS). En effet, l'article 1-II de ce décret rappelle que «ce traitement de données a pour finalités :
1° D'assurer la traçabilité de la régulation, de la gestion et du suivi des signalements d'évènements que les agences régionales de santé reçoivent au titre de leurs missions prévues à l'article L. 1431-2 du code de la santé publique et des dispositions de l'article L. 331-8-1 du code de l'action sociale et des familles ;
2° De mettre à disposition des données permettant le suivi des conséquences sanitaires des signalements déclarés, le suivi et l'évaluation des mesures prises, ainsi que l'appui aux politiques publiques mises en œuvre par les agences régionales de santé dans le cadre de leurs missions".
Les catégories de données à caractère personnel et informations susceptibles d'être enregistrées dans le traitement mentionné à l'article 1er sont :
1° Les informations relatives à la description de l'évènement, de sa cause potentielle et des éléments nécessaires à en assurer l'évaluation et le traitement ;
2°les données d'identification, les coordonnées et la structure de rattachement ;
3° l'identité des personnes exposées, ayant fait l'objet du signalement ;
4° les données d'identification, les coordonnées des personnes susceptibles d'apporter des informations utiles à l'investigation, dont les personnes de confiance ;
5°les données d'identification, les coordonnées et les circonstances du contact des personnes ayant eu un contact avec la personne exposée durant la période de contagiosité ou les personnes ayant été exposées au même événement ou à la même source de contamination ;
6°les données d'identification, les coordonnées professionnelles, l'agence régionale de santé et le service de rattachement des personnes disposant d'un compte utilisateur du « SI-VSS ».
Le cas échéant, l'identité de la personne exposée à une maladie infectieuse n'est communiquée aux personnes ayant eu un contact avec elle qu'avec son consentement.
Concernant les personnes habilitées à accéder aux données traitées dans le cadre de ce décret c'est l'article 3 qui les énumère. Ainsi l'article cité précédemment dispose que : sont habilités à accéder au traitement mentionné à l'article 1er, à raison de leurs attributions respectives et dans la limite du besoin d'en connaître :
1° Les personnels des agences régionales de santé spécialement habilitée par leurs directeurs généraux ;
2° Les personnels des cellules d'intervention en région de l'Agence nationale de santé publique désignés par le directeur général de l'agence et spécialement habilités par les directeurs généraux des agences régionales de santé ;
3° Le cas échéant et sans préjudice du respect du secret médical, les sous-traitants auxquels les responsables de traitement ont recours, dans le respect des conditions fixées par l'article 28 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.
II. - Les professionnels de santé ou structures qui, par leur compétence, leur expertise ou leur implantation géographique, peuvent concourir à la réduction du risque et à la gestion de l'évènement, sont destinataires des seules données mentionnées à l'article 2 nécessaires aux actions qui leur incombent.
III. - Sont destinataires des données enregistrées dans le « SI-VSS » à raison de leurs attributions respectives et dans la limite du besoin d'en connaître :
1° Le centre opérationnel de régulation et de réponse aux urgences sanitaires et sociales du ministère chargé de la santé, pour les seules données mentionnées aux 1°, 2° et 6° de l'article 2, à l'exclusion des coordonnées des déclarants de l'évènement et des coordonnées professionnelles et du service de rattachement des personnes disposant d'un compte utilisateur du « SI-VSS » ;
2° L'Agence nationale de santé publique à des fins de surveillance épidémiologique, pour les seules données mentionnées aux 1° et 2° de l'article 2, à l'exclusion des mesures de gestion et de contrôle effectuées par l'agence régionale de santé et par les autres autorités compétentes ;
3° La Haute Autorité de santé lorsque le signalement porte sur un évènement indésirable grave associer aux soins, pour les seules données mentionnées au 1° de l'article 2, à l'exclusion de l'identification de l'établissement concerné et des mesures de gestion et de contrôle effectuées par l'agence régionale de santé et par les autres autorités compétentes.

Quant au délai de traitement des données à caractère personnel évoqué dans le cadre du décret « SI-VSS » ils sont précisés dans l'article 4 en ces terme : ''les données mentionnées à l'article 2 conservées pendant une durée maximale de six ans à compter de la date de clôture du dossier de signalement. Les données techniques et de traçabilité liées à l'utilisation du traitement mentionné à l'article 1er font l'objet d'un enregistrement et sont conservées pendant une durée d'un an''.

Le décret n° 2023-499 du 22 juin 2023 portant création d'un traitement de données à caractère personnel dénommé « système d'information de veille et sécurité sanitaires » traite également du droit d'opposition des personnes dont les données et informations sont traitées. A cet effet, son article 5 dispose que : «
I. Les personnes dont les données et informations sont traitées reçoivent les informations prévues aux articles 13 et 14 du règlement (UE) du 27 avril 2016 susvisé, et en particulier l'information selon laquelle le droit d'opposition ne s'applique pas au traitement de données tel que prévu au III. Cette information est disponible sur le site internet du ministère chargé de la santé et des agences régionales de santé. Les personnes concernées reçoivent, le cas échéant, également cette information lors de la première prise de contact effectuée dans le cadre des investigations de l'agence régionale de santé.
II. - Les personnes dont les données sont traitées peuvent exercer leurs droits d'accès et de rectification des données, ainsi que le droit à la limitation du traitement, prévus respectivement aux articles 15, 16 et 18 du même règlement, auprès de l'agence régionale de santé territorialement compétente.
III. - En application du e du 1 de l'article 23 du même règlement, le droit d'opposition ne s'applique pas au présent traitement ».

En somme, il convient de noter que le décret n° 2023-499 du 22 juin 2023 portant création d'un traitement de données à caractère personnel dénommé « système d'information de veille et sécurité sanitaires » marque un rapprochement des enjeux liés au traitement de données à caractère personnel et ceux de la sécurité sanitaire.