Accueil
Le quotidien du droit en ligne
-A+A
Article

Coronavirus : les recommandations du Comité européen de la protection des données aux responsables de traitements

Le Comité européen de la protection des données a adopté, le 19 mars 2020, une déclaration relative aux traitements de données personnelles dans le cadre de la pandémie de covid-19, rappelant que les grands principes (dont celui de proportionnalité) doivent guider les responsables de traitements.

par Alexandra Guérin-Françoisle 30 mars 2020

Le Comité européen de la protection des données (CEPD), qui regroupe les autorités de contrôle de l’Union européenne chargées de la protection des données personnelles, a adopté, le 19 mars 2020, une déclaration relative à la protection des données dans le cadre de la pandémie de covid-19. Cette position était très attendue tant par les employeurs que les autorités publiques. Elle a utilement complété une déclaration initiale du 16 mars 2020 dont on retiendra que, « même dans ces circonstances exceptionnelles, le responsable du traitement doit garantir la protection des données des personnes concernées ».

La déclaration du 19 mars du CEPD fait écho aux publications des autorités de protection des données nationales. Ainsi, la Commission nationale de l’informatique et des libertés (CNIL), dès le 6 mars 2020, rappelait, sur son site, les grands principes liés à la collecte de données personnelles.

Dans sa déclaration, le CEPD rappelle que l’urgence liée à la pandémie peut légitimer des traitements qui restreignent les libertés à condition qu’ils soient proportionnés et limités dans le temps, et ce en fonction des législations nationales et dans le respect des conditions suivantes :

Déterminer la base légale applicable

Rappelons que, pour être licite, un traitement de données personnelles doit être fondé sur une des bases légales listées à l’article 6 du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD). Notons également que les traitements des données particulières (dont font partie les données de santé) sont prohibés par l’article 9 du RGPD, sauf à correspondre à une des dérogations de l’article 9.2 du RGPD, et que l’article 9.4 du RGPD permet aux États membres d’introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.

C’est pourquoi le CEPD précise que le RGPD permet le traitement de données personnelles dans le cadre d’une pandémie conformément aux dispositions nationales et selon certaines conditions et qu’il n’est pas nécessaire de systématiquement recourir au consentement des personnes, y compris en ce qui concerne la collecte de données de santé.

Garantir les principes relatifs aux traitements de données personnelles

L’article 5 du RGPD liste six principes clés. Le CEPD rappelle plus particulièrement les suivants :

• le principe de finalité : le traitement mis en œuvre doit répondre à une finalité explicite et déterminée ;

• le principe de transparence : les personnes concernées par le traitement doivent être informées du traitement, notamment de la durée de conservation des données et de sa finalité ;

• le principe de sécurité et de confidentialité : le responsable de traitements se doit de prendre toutes les mesures nécessaires pour garantir la sécurité et la confidentialité des données qu’il traite. Toutes ces mesures se doivent d’être documentées, notamment par la mise en place de politiques appropriées ;

• le principe d’une conservation des données limitée à la finalité : si des traitements peuvent être mis en œuvre pour faire face à l’urgence liée à la pandémie, ces traitements doivent être limités dans le temps et les données supprimées ou anonymisées à l’issue de la crise sanitaire ;

• le principe de proportionnalité et de minimisation des données : tout traitement mis en œuvre, en particulier s’il fait appel à des données de géolocalisation (par ex. tracking des personnes basé sur des données non anonymisées de géolocalisation), doit être proportionné à la finalité qu’il poursuit. Le CEPD rappelle que les solutions les moins intrusives possible doivent être privilégiées et qu’il convient de collecter le minimum de données possible au regard de la finalité.

Distinguer les situations en fonction des traitements et de la qualité de leur responsable

  • Les traitements mis en œuvre par les autorités publiques 

Concernant la base légale, leurs traitements peuvent être mis en œuvre sur le fondement des articles 6 et 9 du RGPD, notamment lorsque les traitements relèvent de leurs statuts (par ex. : agence publique de santé).

  • Les traitements mis en œuvre par les gouvernements nationaux reposant sur les données des téléphones portables afin de suivre et limiter la propagation du covid-19 

Les données des opérateurs de télécommunication sont soumises à la directive 2002/58/CE du 12 juillet 2002 (dir. « vie privée »). L’utilisation de ces données est permise si les données sont anonymisées ou si les personnes concernées ont consenti au traitement. C’est la raison pour laquelle le CEPD souligne que les gouvernements devraient privilégier les données de géolocalisation de manière anonyme. Cela implique que les données utilisées ne permettent pas la réidentification des personnes. De telles données peuvent permettre de générer, par exemple, des « cartographies » de population.

Si les données anonymisées ne s’avèrent pas suffisantes, les États membres peuvent recourir à l’article 15 de la directive « vie privée » leur permettant d’adopter des dispositions législatives spécifiques. Celles-ci doivent être nécessaires, appropriées et proportionnées, au sein d’une société démocratique, pour sauvegarder, notamment, la sécurité publique. Elles doivent respecter le principe de proportionnalité et bénéficier de garanties adéquates telles que le droit de recours auprès d’une juridiction nationale.

  • Les traitements mis en œuvre par les employeurs

En ce qui concerne la base légale, des traitements peuvent être mis en œuvre par les employeurs sur le fondement d’une obligation légale à laquelle ils sont soumis (par ex. : obligation liée à la santé et la sécurité) ou à l’intérêt public (par ex. : contrôle des maladies). Ils peuvent également justifier du traitement de données de santé pour des motifs d’intérêt public dans le domaine de la santé publique (art. 9.2.i) sur la base d’une législation nationale ou européenne, ou en raison de la sauvegarde des intérêts vitaux de la personne concernée (art. 9.2.c.).

En ce qui concerne les finalités des traitements, on notera que les traitements de données dans le cadre des relations de travail peuvent être soumis à des dispositions nationales spécifiques. Ces dérogations sont expressément prévues par l’article 88 du RGPD. Le CEPD confirme que :

• les employeurs peuvent collecter des données de santé relatives à leurs employés ou à leurs visiteurs sous réserve de respecter le principe de proportionnalité et de minimisation des données et dans la mesure où les dispositions nationales le permettent ;

• les employeurs ne peuvent demander des bilans de santé que dans la mesure où une obligation légale le leur impose ;

• les employeurs ne peuvent révéler les noms de leurs collaborateurs infectés que si la législation nationale le permet et après en avoir informé les collaborateurs en avance. La dignité et l’intégrité des personnes doivent être protégées ;

• les employeurs ne peuvent obtenir des données liées au covid-19 pour remplir leurs obligations et organiser leur travail que dans le cadre la législation nationale.

Par cette déclaration, le CEPD a rappelé les grands principes et en a précisé certains au regard de la pandémie. Toutefois, il conviendra aux responsables de traitements d’être extrêmement vigilants aux dispositions nationales (et à ses évolutions possibles), en se référant au site de leur autorité de contrôle (la CNIL en France).