« Les rĂšgles de protection des donnĂ©es (telles que le RGPD) n’entravent pas les mesures prises dans le cadre de la lutte contre la pandĂ©mie de coronavirus. » a affirmĂ© la prĂ©sidente du Conseil EuropĂ©en en rendant le 16 mars dernier auprĂšs des gouvernements et des organisations publiques et privĂ©es de toute lâEurope.
Le traitement de donnĂ©es de santĂ© constitue un traitement de donnĂ©es sensibles strictement encadrĂ© par le RGPD et par la loi informatique et libertĂ©. Par consĂ©quent, du fait de la crise sanitaire du COVID-19, les entreprises sâinterrogent sur la nature des donnĂ©es quâelles sont en droit de collecter afin de pouvoir mettre en place une organisation permettant dâassurer la continuitĂ© de lâactivitĂ©.
Afin de rĂ©pondre Ă ces interrogations, la CNIL a rappelĂ©, le 16 mars 2020, les principes Ă appliquer en matiĂšre de collecte de donnĂ©es personnelles dans le cadre de la pandĂ©mie actuelle. Le ComitĂ© europĂ©en de la protection des donnĂ©es (EDPB) a Ă©galement Ă©mis deux avis, les 16 et 19 mars derniers. Plusieurs enseignements peuvent ĂȘtre tirĂ©s de ces deux sorties.
Tout dâabord, le RGPD n’interdit pas les mesures relatives Ă COVID-19. La notion « dâintĂ©rĂȘt public » est prise au sĂ©rieux par le RĂšglement EuropĂ©en. Bien que trĂšs large cette notion se dĂ©finit par lâintermĂ©diaire dâautres Ă©lĂ©ments et idĂ©es telles que lâavantage commun, le bien public, le bien commun, lâintĂ©rĂȘt gĂ©nĂ©ral, les bienfaits publics ou bien encore la volontĂ© gĂ©nĂ©rale. Dans le domaine de la protection des donnĂ©es, câest par lâidentification des bases lĂ©gales quâil sera permis aux autoritĂ©s de santĂ© publique compĂ©tente de traiter des donnĂ©es personnelles dans le cadre de lâĂ©pidĂ©mie et cela, sans avoir Ă obtenir le consentement des personnes concernĂ©es. Les article 6 et 9 du RGPD font directement rĂ©fĂ©rence Ă la protection des intĂ©rĂȘts vitaux.
En effet « Le traitement nâest licite que si, et dans la mesure oĂč, au moins une des conditions suivantes est remplie : (…) le traitement est nĂ©cessaire Ă la sauvegarde des intĂ©rĂȘts vitaux de la personne concernĂ©e ou dâune autre personne physique ou le traitement est nĂ©cessaire Ă lâexĂ©cution dâune mission dâintĂ©rĂȘt public ou relevant de lâexercice de lâautoritĂ© publique dont est investi le responsable du traitement. »
Dans ce contexte il est parfaitement envisageable pour les autoritĂ©s de santĂ© publique de traiter des donnĂ©es Ă caractĂšre personnel conformĂ©ment aux dispositions de droit national de chaque pays et dans le cas oĂč le traitement est nĂ©cessaire pour des raisons dâintĂ©rĂȘt public substantiel dans le domaine de la santĂ© public.
Ensuite, la pandĂ©mie ne doit en effet pas empĂȘcher les responsables de traitement et consultant RGPD de se montrer vigilants sur la maniĂšre dont sont traitĂ©es les donnĂ©es personnelles et de continuer Ă respecter les rĂšgles du RGPD.
Les donnĂ©es Ă caractĂšre personnel nĂ©cessaires pour atteindre les objectifs poursuivis doivent ĂȘtre traitĂ©es Ă des fins prĂ©cises et explicites.
Les personnes concernées par les traitements de données liées à la pandémie, doivent recevoir des informations transparentes sur les activités de traitement qui sont menées et leurs principales caractéristiques.
Enfin, Ă lâheure actuelle, on peut constater que le gĂ©ant Google partage ses donnĂ©es avec plusieurs Ă©tablissements de santĂ© publique dâune centaine de pays pour suivre lâĂ©volution de la pandĂ©mie et Ă©valuer lâefficacitĂ© du confinement sur la contamination des populations, de mĂȘme, plusieurs opĂ©rateurs europĂ©ens affirment accepter de partager leurs donnĂ©es de gĂ©olocalisation de leurs utilisateurs. On peut donc sâinterroger sur la licĂ©itĂ© de telles opĂ©rations. Sous lâĂ©gide de la rĂšglementation europĂ©enne il est important de rappeler que pour les traitements de donnĂ©es de localisation, le principe demeure celui de lâanonymisation ab initio, câest-Ă -dire que les autoritĂ©s publiques doivent dans leur dĂ©marche initiale chercher Ă les rendre anonyme.
Les mesures employant des donnĂ©es de localisation non anonymes sont possibles Ă condition que lâEtat puisse tĂ©moigner de garanties suffisantes (par exemple : le droit Ă un recours judiciaire pour les personnes qui utilisent ce service).
On peut Ă©galement constater que depuis le dĂ©but de la crise sanitaire du COVID-19, plusieurs procĂ©dĂ©s liĂ©s Ă lâintelligence artificielle collectant des donnĂ©es de santĂ© et personnelles de toutes catĂ©gories confondues ont vu le jour, en Chine par exemple, une entreprise a mis en place une application faisant appelle Ă la technologie de la reconnaissance faciale, ce systĂšme chinois de surveillance gĂ©nĂ©ralisĂ©e de la population est composĂ© de six millions de visages non masquĂ©s et dâun Ă©chantillon de visage masquĂ©, ce qui lui permet dâidentifier les habitants atteint par la maladie mĂȘme lorsque leur visage est Ă moitiĂ© masquĂ©.
En France, une application de ce type est actuellement en cours de dĂ©veloppement par les services du gouvernement. Elle aurait pour objectif de tracker les personnes atteintes du COVID-19 en traçant leurs dĂ©placements par lâintermĂ©diaire des donnĂ©es des opĂ©rateurs tĂ©lĂ©phoniques. Il sâagirait donc de suivre les personnes ayant Ă©tĂ© en contact avec une personne testĂ©e positive et de suivre les Ă©ventuels dĂ©placements de ces personnes porteuses du virus. Ce traçage de malades sâeffectuerait via le GPS des smartphones des personnes. De nombreuses applications malicieuses prennent aujourdâhui place dans lâenvironnement sanitaire actuel.
La CNIL suit de trĂšs prĂšs toutes ces activitĂ©s et a dĂ©jĂ prĂ©cisĂ© quâil faut privilĂ©gier lâanonymisation des donnĂ©es pour les traitements de donnĂ©es liĂ©es Ă la PandĂ©mie. Il sera donc probablement recommandĂ© aux responsables de traitement de minimiser les collectes de donnĂ©es et de sâefforcer malgrĂ© les demandes fleurissantes Ă anonymiser les donnĂ©es collectĂ©es sauf Ă©valuation au cas par cas au regard de la sauvegarde des intĂ©rĂȘts vitaux ou dâune mission dâintĂ©rĂȘt public.
Nous vous invitons Ă lire cet article sur le consentement RGPD
-Rebecca DADI
Télécharger notre Fiche Pratique « Tenue de registre de traitement » pour vous aider à y voir plus clair et avoir les bonnes méthodes pour agir.
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460
Articles 6 et 9 du RĂšglement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016
RĂšglement UE 2016/679 du Parlement du Conseil du 27 avril 2016, Chapitre IV-Responsable du traitement et sous-traitant