Blog Données personnelles
Dans la lutte contre le Covid-19, l’utilisation des données personnelles peut aider, mais pas « quoi qu’il en coûte » : l’avis du Bureau européen à la protection des données
Aux Etats-Unis, le gouvernement américain discute avec Facebook, Google et d’autres entreprises technologiques de l’utilisation potentielle de données personnelles pour combattre l’épidémie du coronavirus, en récoltant des données de localisation à partir des smartphones pour les exploiter ensuite, de façon anonymisée. Cartographier la propagation de la maladie et prévoir les prochains besoins médicaux urgents sont parmi les objectifs poursuivis.
En France, le gouvernement s’est adressé aux français par SMS pour leur rappeler les consignes de sécurité à appliquer pour lutter contre la propagation du virus.
Ces initiatives suscitent des interrogations de la part des particuliers au regard de la protection de leurs données personnelles.
Dans sa déclaration du 19 mars 2020, l’EDPB a rappelé l’importance de la lutte contre les maladies infectieuses et de la nécessité de mettre tout en œuvre pour stopper la propagation du virus, sans pour autant que cela se fasse au détriment de la protection des données : l’état d’urgence permet de justifier la limitation des libertés, à condition toutefois que les restrictions soient proportionnées et limitées à la période d’urgence.
Le champ d’application du RGPD est suffisamment large pour s’appliquer dans un contexte comme celui de la crise du Covid-19, et permettre l’utilisation de données personnelles sans consentement des personnes, notamment dans le cadre d’une obligation légale, d’une mission d’intérêt public ou pour la sauvegarde des intérêts vitaux des personnes.
C’est d’ailleurs dans ce cadre que s’est inscrit le gouvernement français pour l’envoi de son SMS, ce type d’opérations d’information étant prévu par la loi qui impose aux opérateurs de télécommunications de diffuser, à leurs abonnés, les messages des pouvoirs publics destinés à prévenir la population d’un danger imminent ou d’une catastrophe majeure (article L. 33-1 du code des postes et des communications électroniques), comme l’a rappelé la CNIL.
S’agissant d’une crise sanitaire, la question de l’utilisation des données de santé est évidemment prégnante. Mais là encore, le RGPD offre des solutions adaptées puisque le traitement des données de santé peut se justifier notamment par des motifs d’intérêt public dans le domaine de la santé publique ou encore la sauvegarde des intérêts vitaux de la personne concernée. Ce que rappelle d’ailleurs le considérant 46 qui cite à titre d’illustration le traitement nécessaire « à des fins humanitaires, y compris pour suivre des épidémies et leur propagation ».
Quel que soit le fondement retenu, les principes clés de la protection des données à caractère personnel (limitation des finalités, minimisation des données, transparence, sécurité, etc.) doivent évidemment continuer à s’appliquer, y compris en période de crise.
- L’utilisation des données de localisation des téléphones portables
Les autorités peuvent-elles utiliser les données de localisation des téléphones portables pour surveiller et contenir la propagation du virus ? Oui, si les donnée sont anonymisées. A défaut, les Etats membres doivent adopter des mesures législatives spécifiques prévoyant des garanties suffisantes (par ex., droit à un recours en justice), conformément à l’article 15 de la directive ePrivacy.
En France, un amendement visant à faciliter les procédures imposées aux opérateurs dans la collecte et le traitement des données de santé et de localisation, avait été déposé au Sénat le 19 mars mais n’a finalement pas été retenu.
En tout état de cause, l’EDPB rappelle que le principe de proportionnalité doit être respecté et les mesures les moins intrusives préférées. Le tracking des personnes pourrait par exemple être considéré comme proportionnel au vu des circonstances exceptionnelles et en fonction des modalités concrètes du traitement. Toutefois, il devrait faire l’objet d’un examen et de garanties renforcés afin de garantir le respect des principes de protection des données.
En tout état de cause, l’EDPB rappelle que le principe de proportionnalité doit être respecté et les mesures les moins intrusives préférées. Le tracking des personnes pourrait par exemple être considéré comme proportionnel au vu des circonstances exceptionnelles et en fonction des modalités concrètes du traitement. Toutefois, il devrait faire l’objet d’un examen et de garanties renforcés afin de garantir le respect des principes de protection des données.
- La marge de manœuvre des employeurs
Un employeur peut-il exiger des visiteurs ou des employés qu’ils fournissent des informations spécifiques sur la santé dans le cadre de Covid-19 ? Uniquement si le droit national le permet.
Un employeur est-il autorisé à effectuer des examens médicaux sur ses employés ? Uniquement si le droit national l’exige.
Un employeur peut-il révéler qu’un employé est infecté par Covid-19 à ses collègues ou à des tiers ? Les employeurs doivent informer leur personnel des cas de COVID-19 et prendre des mesures de protection, mais ne doivent pas communiquer plus d’informations que nécessaire. Dans les cas où il est nécessaire de révéler le nom des employés qui ont contracté le virus (par exemple dans un contexte préventif) et où le droit national le permet, les employés concernés doivent être informés à l’avance et leur dignité et leur intégrité doivent être protégées.
Quelles informations traitées dans le cadre de COVID-19 peuvent être obtenues par les employeurs ? Les employeurs peuvent obtenir des informations personnelles pour remplir leurs obligations et organiser le travail conformément au droit national.
En France, la CNIL a d’ores et déjà publié, le 6 mars dernier, ses recommandationsen matière de traitement de données personnelles en lien avec la crise du coronavirus à l’attention des employeurs. Notre analyse est disponible ici.