« Les règles de protection des données (telles que le RGPD) n’entravent pas les mesures prises dans le cadre de la lutte contre la pandémie de coronavirus. » a affirmé la présidente du Conseil Européen en rendant le 16 mars dernier auprès des gouvernements et des organisations publiques et privées de toute l’Europe.
I. Une gestion de la donnée strictement encadrée à l’échelon européen
Le traitement de données de santé constitue un traitement de données sensibles strictement encadré par le RGPD et par la loi informatique et liberté. Par conséquent, du fait de la crise sanitaire du COVID-19, les entreprises s’interrogent sur la nature des données qu’elles sont en droit de collecter afin de pouvoir mettre en place une organisation permettant d’assurer la continuité de l’activité.
Afin de répondre à ces interrogations, la CNIL a rappelé, le 16 mars 2020, les principes à appliquer en matière de collecte de données personnelles dans le cadre de la pandémie actuelle. Le Comité européen de la protection des données (EDPB) a également émis deux avis, les 16 et 19 mars derniers. Plusieurs enseignements peuvent être tirés de ces deux sorties.
Tout d’abord, le RGPD n’interdit pas les mesures relatives à COVID-19. La notion « d’intérêt public » est prise au sérieux par le Règlement Européen. Bien que très large cette notion se définit par l’intermédiaire d’autres éléments et idées telles que l’avantage commun, le bien public, le bien commun, l’intérêt général, les bienfaits publics ou bien encore la volonté générale. Dans le domaine de la protection des données, c’est par l’identification des bases légales qu’il sera permis aux autorités de santé publique compétente de traiter des données personnelles dans le cadre de l’épidémie et cela, sans avoir à obtenir le consentement des personnes concernées. Les article 6 et 9 du RGPD font directement référence à la protection des intérêts vitaux.
En effet « Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : (…) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ou le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. »
Dans ce contexte il est parfaitement envisageable pour les autorités de santé publique de traiter des données à caractère personnel conformément aux dispositions de droit national de chaque pays et dans le cas où le traitement est nécessaire pour des raisons d’intérêt public substantiel dans le domaine de la santé public.
Ensuite, la pandémie ne doit en effet pas empêcher les responsables de traitement et consultant RGPD de se montrer vigilants sur la manière dont sont traitées les données personnelles et de continuer à respecter les règles du RGPD.
Les données à caractère personnel nécessaires pour atteindre les objectifs poursuivis doivent être traitées à des fins précises et explicites.
Les personnes concernées par les traitements de données liées à la pandémie, doivent recevoir des informations transparentes sur les activités de traitement qui sont menées et leurs principales caractéristiques.
II. Le traitement des données au profit des intérêts sanitaires : une gestion hétérogène de la donnée
Enfin, à l’heure actuelle, on peut constater que le géant Google partage ses données avec plusieurs établissements de santé publique d’une centaine de pays pour suivre l’évolution de la pandémie et évaluer l’efficacité du confinement sur la contamination des populations, de même, plusieurs opérateurs européens affirment accepter de partager leurs données de géolocalisation de leurs utilisateurs. On peut donc s’interroger sur la licéité de telles opérations. Sous l’égide de la règlementation européenne il est important de rappeler que pour les traitements de données de localisation, le principe demeure celui de l’anonymisation ab initio, c’est-à-dire que les autorités publiques doivent dans leur démarche initiale chercher à les rendre anonyme.
Les mesures employant des données de localisation non anonymes sont possibles à condition que l’Etat puisse témoigner de garanties suffisantes (par exemple : le droit à un recours judiciaire pour les personnes qui utilisent ce service).
On peut également constater que depuis le début de la crise sanitaire du COVID-19, plusieurs procédés liés à l’intelligence artificielle collectant des données de santé et personnelles de toutes catégories confondues ont vu le jour, en Chine par exemple, une entreprise a mis en place une application faisant appelle à la technologie de la reconnaissance faciale, ce système chinois de surveillance généralisée de la population est composé de six millions de visages non masqués et d’un échantillon de visage masqué, ce qui lui permet d’identifier les habitants atteint par la maladie même lorsque leur visage est à moitié masqué.
En France, une application de ce type est actuellement en cours de développement par les services du gouvernement. Elle aurait pour objectif de tracker les personnes atteintes du COVID-19 en traçant leurs déplacements par l’intermédiaire des données des opérateurs téléphoniques. Il s’agirait donc de suivre les personnes ayant été en contact avec une personne testée positive et de suivre les éventuels déplacements de ces personnes porteuses du virus. Ce traçage de malades s’effectuerait via le GPS des smartphones des personnes. De nombreuses applications malicieuses prennent aujourd’hui place dans l’environnement sanitaire actuel.
La CNIL suit de très près toutes ces activités et a déjà précisé qu’il faut privilégier l’anonymisation des données pour les traitements de données liées à la Pandémie. Il sera donc probablement recommandé aux responsables de traitement de minimiser les collectes de données et de s’efforcer malgré les demandes fleurissantes à anonymiser les données collectées sauf évaluation au cas par cas au regard de la sauvegarde des intérêts vitaux ou d’une mission d’intérêt public.
Par Rebecca DADI
Nous vous invitons à lire cet article sur le consentement RGPD
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460
Articles 6 et 9 du Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016
Règlement UE 2016/679 du Parlement du Conseil du 27 avril 2016, Chapitre IV-Responsable du traitement et sous-traitant