Publications

L’impact de la crise sanitaire sur la gestion des traitements de données personnelles

Publié le 10 avril 2020
Formulaire médical sur plan de travail

« Les rĂšgles de protection des donnĂ©es (telles que le RGPD) n’entravent pas les mesures prises dans le cadre de la lutte contre la pandĂ©mie de coronavirus. » a affirmĂ© la prĂ©sidente du Conseil EuropĂ©en en rendant le 16 mars dernier auprĂšs des gouvernements et des organisations publiques et privĂ©es de toute l’Europe.

1. Une gestion de la donnĂ©e strictement encadrĂ©e Ă  l’Ă©chelon europĂ©en

Le traitement de donnĂ©es de santĂ© constitue un traitement de donnĂ©es sensibles strictement encadrĂ© par le RGPD et par la loi informatique et libertĂ©. Par consĂ©quent, du fait de la crise sanitaire du COVID-19, les entreprises s’interrogent sur la nature des donnĂ©es qu’elles sont en droit de collecter afin de pouvoir mettre en place une organisation permettant d’assurer la continuitĂ© de l’activitĂ©.

Afin de rĂ©pondre Ă  ces interrogations, la CNIL a rappelĂ©, le 16 mars 2020, les principes Ă  appliquer en matiĂšre de collecte de donnĂ©es personnelles dans le cadre de la pandĂ©mie actuelle. Le ComitĂ© europĂ©en de la protection des donnĂ©es (EDPB) a Ă©galement Ă©mis deux avis, les 16 et 19 mars derniers. Plusieurs enseignements peuvent ĂȘtre tirĂ©s de ces deux sorties.

Tout d’abord, le RGPD n’interdit pas les mesures relatives Ă  COVID-19. La notion « d’intĂ©rĂȘt public » est prise au sĂ©rieux par le RĂšglement EuropĂ©en. Bien que trĂšs large cette notion se dĂ©finit par l’intermĂ©diaire d’autres Ă©lĂ©ments et idĂ©es telles que l’avantage commun, le bien public, le bien commun, l’intĂ©rĂȘt gĂ©nĂ©ral, les bienfaits publics ou bien encore la volontĂ© gĂ©nĂ©rale. Dans le domaine de la protection des donnĂ©es, c’est par l’identification des bases lĂ©gales qu’il sera permis aux autoritĂ©s de santĂ© publique compĂ©tente de traiter des donnĂ©es personnelles dans le cadre de l’épidĂ©mie et cela, sans avoir Ă  obtenir le consentement des personnes concernĂ©es. Les article 6 et 9 du RGPD font directement rĂ©fĂ©rence Ă  la protection des intĂ©rĂȘts vitaux.

En effet « Le traitement n’est licite que si, et dans la mesure oĂč, au moins une des conditions suivantes est remplie : (…) le traitement est nĂ©cessaire Ă  la sauvegarde des intĂ©rĂȘts vitaux de la personne concernĂ©e ou d’une autre personne physique ou le traitement est nĂ©cessaire Ă  l’exĂ©cution d’une mission d’intĂ©rĂȘt public ou relevant de l’exercice de l’autoritĂ© publique dont est investi le responsable du traitement. »

Dans ce contexte il est parfaitement envisageable pour les autoritĂ©s de santĂ© publique de traiter des donnĂ©es Ă  caractĂšre personnel conformĂ©ment aux dispositions de droit national de chaque pays et dans le cas oĂč le traitement est nĂ©cessaire pour des raisons d’intĂ©rĂȘt public substantiel dans le domaine de la santĂ© public.

Ensuite, la pandĂ©mie ne doit en effet pas empĂȘcher les responsables de traitement et consultant RGPD de se montrer vigilants sur la maniĂšre dont sont traitĂ©es les donnĂ©es personnelles et de continuer Ă  respecter les rĂšgles du RGPD.

Les donnĂ©es Ă  caractĂšre personnel nĂ©cessaires pour atteindre les objectifs poursuivis doivent ĂȘtre traitĂ©es Ă  des fins prĂ©cises et explicites.

Les personnes concernées par les traitements de données liées à la pandémie, doivent recevoir des informations transparentes sur les activités de traitement qui sont menées et leurs principales caractéristiques.

2. Le traitement des donnĂ©es au profit des intĂ©rĂȘts sanitaires : une gestion hĂ©tĂ©rogĂšne de la donnĂ©e

Enfin, Ă  l’heure actuelle, on peut constater que le gĂ©ant Google partage ses donnĂ©es avec plusieurs Ă©tablissements de santĂ© publique d’une centaine de pays pour suivre l’évolution de la pandĂ©mie et Ă©valuer l’efficacitĂ© du confinement sur la contamination des populations, de mĂȘme, plusieurs opĂ©rateurs europĂ©ens affirment accepter de partager leurs donnĂ©es de gĂ©olocalisation de leurs utilisateurs. On peut donc s’interroger sur la licĂ©itĂ© de telles opĂ©rations. Sous l’égide de la rĂšglementation europĂ©enne il est important de rappeler que pour les traitements de donnĂ©es de localisation, le principe demeure celui de l’anonymisation ab initio, c’est-Ă -dire que les autoritĂ©s publiques doivent dans leur dĂ©marche initiale chercher Ă  les rendre anonyme.

Les mesures employant des donnĂ©es de localisation non anonymes sont possibles Ă  condition que l’Etat puisse tĂ©moigner de garanties suffisantes (par exemple : le droit Ă  un recours judiciaire pour les personnes qui utilisent ce service).

On peut Ă©galement constater que depuis le dĂ©but de la crise sanitaire du COVID-19, plusieurs procĂ©dĂ©s liĂ©s Ă  l’intelligence artificielle collectant des donnĂ©es de santĂ© et personnelles de toutes catĂ©gories confondues ont vu le jour, en Chine par exemple, une entreprise a mis en place une application faisant appelle Ă  la technologie de la reconnaissance faciale, ce systĂšme chinois de surveillance gĂ©nĂ©ralisĂ©e de la population est composĂ© de six millions de visages non masquĂ©s et d’un Ă©chantillon de visage masquĂ©, ce qui lui permet d’identifier les habitants atteint par la maladie mĂȘme lorsque leur visage est Ă  moitiĂ© masquĂ©.

En France, une application de ce type est actuellement en cours de dĂ©veloppement par les services du gouvernement. Elle aurait pour objectif de tracker les personnes atteintes du COVID-19 en traçant leurs dĂ©placements par l’intermĂ©diaire des donnĂ©es des opĂ©rateurs tĂ©lĂ©phoniques. Il s’agirait donc de suivre les personnes ayant Ă©tĂ© en contact avec une personne testĂ©e positive et de suivre les Ă©ventuels dĂ©placements de ces personnes porteuses du virus. Ce traçage de malades s’effectuerait via le GPS des smartphones des personnes. De nombreuses applications malicieuses prennent aujourd’hui place dans l’environnement sanitaire actuel.

La CNIL suit de trĂšs prĂšs toutes ces activitĂ©s et a dĂ©jĂ  prĂ©cisĂ© qu’il faut privilĂ©gier l’anonymisation des donnĂ©es pour les traitements de donnĂ©es liĂ©es Ă  la PandĂ©mie. Il sera donc probablement recommandĂ© aux responsables de traitement de minimiser les collectes de donnĂ©es et de s’efforcer malgrĂ© les demandes fleurissantes Ă  anonymiser les donnĂ©es collectĂ©es sauf Ă©valuation au cas par cas au regard de la sauvegarde des intĂ©rĂȘts vitaux ou d’une mission d’intĂ©rĂȘt public.

Nous vous invitons Ă  lire cet article sur le consentement RGPD

-Rebecca DADI

FP-Tenue du registre des traitements

Pour aller plus loin

Télécharger notre Fiche Pratique « Tenue de registre de traitement » pour vous aider à y voir plus clair et avoir les bonnes méthodes pour agir.

Suivez-nous sur Linkedin, Twitter et Facebook