L’Association des Délégués à la protection des données (AFCDP) rappelle que la lutte contre la pandémie n’est pas en contradiction avec la protection des données personnelles.

Les recommandations des autorités de contrôle de protection des données, tant au niveau européen que national se sont manifestées sur ce sujet : les principes fondamentaux de la protection des données n’entravent pas la lutte contre la pandémie, et le COVID-19 n’est pas une exception au respect du Règlement européen sur la protection des données.

Quels traitements de données sont concernés ?

La mise en œuvre de traitements spécifiques peut relever du Considérant 46 du RGPD, celui-ci les autorisant pour des « motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation […] ».

Sont ainsi concernés les traitements de recherche médicale et de données de santé. Les autorités de protection européennes s’accordant à mettre en balance ce fondement avec le principe de proportionnalité. Ainsi en France, la CNIL rappelle par exemple, que l’employeur, en tant que responsable de la sécurité et de la santé de ses salariés ne peut « collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un employé/agent et ses proches ». Par ailleurs, seules les autorités sanitaires sont à même « d’évaluer et de collecter les informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques ».

Au niveau mondial, le RGPD n’a pas vocation à s’appliquer en dehors des États membres de l’Union européenne, sauf en cas de traitement à destination de l’Europe. Cela explique pourquoi certains pays sont moins regardants sur le principe de proportionnalité et ont recours à des systèmes de surveillance permanente pour lutter contre l’épidémie. Ces technologies peuvent ainsi viser différentes finalités : le suivi des personnes (Iran, Thaïlande, Hong-Kong), le « contact tracing » (Inde, Bahreïn).

En France et dans les pays de l’Union européenne : vers l’utilisation de données « sensibles » anonymisées et agrégées

L’actualité française démontre de son côté des pistes de réflexion sur la mise en place d’une stratégie numérique d’identification des personnes s’appuyant sur des données de géolocalisation, anonymisées et agrégées pouvant ainsi, en principe, ne pas porter atteinte aux personnes concernées. Ces éléments permettraient de dresser une cartographie de la population et de constater le respect des consignes de confinement afin de mieux surveiller, contenir, et atténuer le virus. En ce sens, les États membres de l’Union européenne doivent donc chercher à utiliser les données anonymisées et agrégées pour ce type de traitement. C’est le chemin pris par l’Allemagne, l’Autriche ainsi que le Royaume-Uni. 

L’usage des technologies en vue d’atténuer la pandémie : le déploiement massif du télétravail

Le télétravail, qui était jusqu’à présent l’exception, fait désormais office de règle. Toutefois, cette méthode de travail fait encourir un risque de piratage. En effet, les cyber-attaquants ont surfé également sur cette actualité pour attaquer les réseaux et systèmes informatiques, en particulier du secteur hospitalier.

D’autres pratiques de services à distance se sont développées : téléconsultation, enseignement à distance, visites virtuelles, paiement sans contact, usage du matériel personnel à des fins professionnelles… Chaque geste du quotidien peut avoir un impact significatif sur la protection des données et pose des enjeux de confidentialité, de sécurité des données, et de leurs bonnes utilisations. Les membres de l’AFCDP se sont par ailleurs interrogés sur ces cas d’usage et ont ainsi développé des fiches de bonnes pratiques relatives au télétravail et à la cybersécurité.

Les impacts du COVID-19 sur le DPO ?

La mise en œuvre de « l’activité partielle » soulève d’autres interrogations pour les Délégués à la protection des données : qu’ils soient internes ou externes, beaucoup s’interrogent sur les conséquences juridiques de cette situation exceptionnelle : Comment assurer le traitement des droits des personnes en cas de sollicitation ? Une entreprise serait-elle en infraction avec le RGPD en cas de mise en chômage partiel de son DPO ? Comme elle en a l’habitude, et à plus forte raison dans le contexte actuel, l’AFCDP apporte tout son soutien à ses membres, professionnels de la protection des données, avec en particulier, un réseau social privé où s’échangent entraide et conseils.