La Cnil et le Comité européen de la protection des données ont rappelé les règles de protection des données personnelles à suivre dans le cadre de la gestion de la pandémie du Covid-19 par les acteurs privés et publics.
En effet, cette crise sanitaire a des répercussions sur toutes les strates de la société et soulève de nombreuses interrogations sur l’adaptation des pratiques. De surcroît, les employeurs doivent articuler le respect des obligations relatives à la santé et la sécurité des salariés (Code du travail, L.4121-1) avec la poursuite de l’activité professionnelle.
Dans le cadre de la gestion du confinement et de sa cessation, des questionnements ont également été soulevés quant à l’utilisation de données à caractère personnel.
Ainsi, les règles de protection des données n’ont pas vocation à entraver les actions mises en œuvre pour assurer la gestion de la crise et protéger la santé des individus. Les responsables de traitements restent toutefois soumis au cadre juridique applicable et doivent veiller au respect de leurs obligations.
Les pratiques prohibées par la Cnil
« Si chacun doit mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect de mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. » rappelait la Cnil le 6 mars dernier.
Dans ce contexte, les pratiques qui ont pour objet de collecter des données de manière systématique et généralisée sont expressément stigmatisées. Il peut notamment s’agir de la réalisation de relevés obligatoires des températures corporelles ou encore de collecte de questionnaires médicaux. De plus, l’interdiction énoncée par la Cnil s’applique que les personnes concernées soient des collaborateurs et/ou les proches de ces derniers.
En effet, il convient de rappeler que la collecte et le traitement de données de santé sont soumis à un encadrement juridique strict conformément aux dispositions du RGPD, de la loi informatique et libertés et du code de la santé publique. Il convient également de souligner que le principe de minimisation des données s’oppose à la systématisation et à la généralisation des collectes de données.
Quels traitements de données personnelles par les employeurs ?
Au regard de l’obligation d’assurer la santé et la sécurité des collaborateurs, la Cnil recommande aux employeurs de réaliser « des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin [de] mettre en place une organisation et des moyens adaptés. ».
Par ailleurs, au regard des dispositions de l’article L.4122-1 du Code du travail, la Cnil relève que les salariés sont tenus, à titre individuel, de mettre en œuvre tous les moyens afin de préserver leur santé et leur sécurité ainsi que celles des tiers. A ce titre, dans le contexte de la crise sanitaire, les collaborateurs devraient informer leur employeur en cas de suspicion de contact avec le virus.
Les employeurs pourront alors procéder à la consignation :
- De la date et de l’identité de la personne suspectée d’avoir été exposée au virus,
- Des mesures organisationnelles mises en œuvre en réaction.
Ces informations pourront, le cas échéant, être communiquées aux autorités sanitaires sur demande pour la prise en charge de la personne exposée.
Quels traitements de données personnelles par les autorités publiques ?
Ces derniers jours des questions ont été soulevées sur l’usage de données personnelles par les autorités publiques notamment afin d’identifier les symptômes du coronavirus ou encore de déterminer sa propagation sur le territoire grâce à l’analyse des mouvements de population.
Le Comité européen de la protection des données a rappelé que la gestion des crises a été envisagée par les rédacteurs du RGPD. En effet, le considérant 46 du RGPD mentionne notamment que « certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine ».
Les autorités publiques peuvent non seulement fonder leurs traitements sur les bases légales prévues à l’article 6 du RGPD mais également sur les dérogations prévues à l’article 9 pour les traitements qui feraient usages de catégories particulières de données. Conformément au considérant 46, le CEPD a invité les autorités compétentes à faire usage des exceptions prévues pour la sauvegarde des intérêts vitaux des personnes physiques (article 9.2.c) et pour des motifs d’intérêt public dans le domaine de la santé publique (article 9.2.i).
Quelle utilisation des données de localisation dans la gestion de la crise sanitaire ?
Les données de localisation peuvent-elles être traitées afin d’assurer le suivi de la propagation de l’épidémie ? Les dispositifs de géolocalisation sont-ils pertinents pour envoyer des alertes téléphoniques aux individus notamment sur la présence d’une personne suspectée d’exposition au virus à proximité ?
Madame la présidente de la Cnil s’est notamment exprimée sur les applications de « Contact tracking » dans les colonnes du Monde.
Le CEPD souligne la nécessité de s’inscrire dans le cadre légal entériné par les transpositions nationales de la directive ePrivacy. Il rappelle que, en principe, les données de localisation ne peuvent être utilisées par les opérateurs que lorsqu’elles ont fait l’objet de mesures d’anonymisation ou en ayant recueilli le consentement préalable des individus.
Ainsi, les Etats membres sont-ils tenus, en premier lieu, d’exploiter des données anonymisées afin de générer des rapports ou des cartographies permettant d’identifier les concentrations de téléphone. Il faut noter que, dans ce contexte, les dispositions du RGPD n’ont pas vocation à s’appliquer, puisque les données sont anonymisées.
Dans un soucis de proportionnalité, les Etat Membres ne devront faire usage de la faculté offerte à l’article 15 de la directive ePrivacy leur permettant d’adopter des mesures législatives pour sauvegarder la sécurité nationale, la défense et la sécurité publique uniquement lorsqu’il n’est pas possible de se limiter au traitement de données anonymisées.
Le Comité insiste sur le fait que de telles mesures « doivent être nécessaires, appropriées et proportionnées, au sein d’une société démocratique ». Elles doivent également être assorties de l’obligation, à la charge des Etats, de mettre en œuvre des garanties appropriées, en assurant notamment le droit à un recours effectif devant un juge. En effet, ces mesures législatives restent soumises aux cadres définis par la Charte des droits fondamentaux de l’Union européenne et à la Convention européenne des droits de l’Homme. A ce titre, ces traitements pourront faire l’objet d’un contrôle de légalité par la Cour de justice de l’Union européenne et par la Cour européenne des droits de l’Homme. Le Comité a souligné que dans le cadre d’une situation d’urgence, de telles mesures ne doivent pas être irréversibles et doivent être strictement limitées à la durée de l’urgence en question.
Mathias Avocats ne manquera pas de vous tenir informés des développements et adaptations juridiques adoptés pour la gestion de cette pandémie.