Covid-19 et données personnelles

Covid-19 et

Covid-19 et données personnelles : la collecte et le traitement des données personnelles pour endiguer la pandémie du Covid-19 sont particulièrement encadrés.

Covid-19 et données personnelles : le cadre légal

Les moyens de lutter contre la pandémie reposent sur certains outils susceptibles de collecter de nombreuses données personnelles, pour la plupart, « sensibles » :

  • traitements à des fins d’investigation par les autorités sanitaires (1) ;
  • questionnaires médicaux à des fins de gestion des suspicions d’exposition au virus par les employeurs (2) ;
  • jusqu’au « document » permettant de justifier d’un déplacement dérogatoire qui avait initialement été accepté en format numérique sur smartphone avant d’être finalement refusé, la Cnil ayant mis en garde contre les risques de phishing ou d’hameçonnage face aux nombreux sites non officiels proposant des solutions sans sécurisation du processus numérique…

La collecte et le traitement des données personnelles pour endiguer le virus pose de nombreuses questions liées à la sécurité et la confidentialité des données mais également au respect de la vie privée.

Ces données font par ailleurs l’objet d’une protection toute particulière par les dispositions du Code de la santé publique, le Code du travail ou encore le Code des postes et communications électroniques.

La collecte et le traitement des données

L’une des principales conditions à la licéité de la collecte des données et de leur traitement est le consentement des personnes concernées.

Il est l’une des six bases légales posées par le RGPD pour considérer qu’un traitement est licite. C’est même l’une des clés de voûte de la protection des données à caractère personnel.

Ce principe fait toutefois l’objet de dérogations. Ainsi, il est possible de traiter légalement des données personnelles malgré l’absence de consentement des personnes, notamment si le traitement est nécessaire

  • « à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne » ou
  • « à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement » (RGPD, art. 6, 1 d et e).

La collecte et le traitement de données dans le contexte de lutte contre la propagation du coronavirus, s’inscrit clairement dans ce cadre dérogatoire.

Néanmoins, il ne doit pas être porté atteinte au respect de la vie privée des personnes, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus.

Face aux interrogations des salariés et des employeurs, la Cnil a fait le point dans un communiqué daté du 6 mars dans lequel est abordé tout ce qui est interdit et autorisé en matière de collecte de données personnelles relatives à la gestion du Covid-19.

La sécurité des données

La loi Informatique et libertés met à la charge de toute personne qui traite des données à caractère personnel (responsable du traitement et sous-traitant), l’obligation d’en assurer la sécurité et la confidentialité, afin de garantir le respect de la vie privée des personnes au sujet desquelles ces informations sont enregistrées.

En outre, la loi applique deux principes nouvellement consacrés par le RGPD : la confidentialité des données personnelles dès la conception et par défaut.

Ces principes impliquent notamment que les données traitées soient limitées à ce qui est strictement nécessaire à la finalité du traitement, que des durées de conservation aient été fixées, qu’il existe des règles de suppression automatique des données et qu’un processus d’habilitation soit mis en place pour l’accès aux données personnelles au bénéfice des seules personnes ayant à en connaître.

Le contexte lié à la pandémie ne doit pas faire oublier qu’en tant que données sensibles des mesures particulières de sécurité doivent être mises en place à l’égard de ces données.

La sécurité des personnes

Dans son communiqué du 6 mars, la Cnil rappelle les obligations de l’employeur à l’égard des salariés et agents en matière de prévention des risques professionnels.

L’employeur doit prendre les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale de ses salariés (C. du travail, art. L. 4121-1).

Les mesures de sécurité s’appliquent aux travailleurs au sens de salariés, y compris temporaires, et les stagiaires, ainsi que toute personne placée à quelque titre que ce soit sous l’autorité de l’employeur (C. du travail, art. L. 4111-5).

La Cnil indique que les mesures de sécurité que doit prendre l’employeur concernant la prévention des risques professionnels en matière de de pandémie, sont « L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relevant de la responsabilité de ces autorités publiques ».

De son côté, « chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même : il doit informer son employeur en cas de suspicion de contact avec le virus ».

Nombreuses sont les entreprises à avoir pris des mesures organisationnelles (plan de continuité d’activité, confinement, télétravail, etc.).

La sécurité sanitaire et les messages d’alerte

Un message officiel du gouvernement adressé par SMS à des millions de Français le 17 mars pour les informer des règles de confinement a fait polémique.

Le Code des postes et des télécommunications électroniques autorise les autorités à saisir les opérateurs pour « l’acheminement des communications des pouvoirs publics destinées au public pour l’avertir de dangers imminents ou atténuer les effets de catastrophes majeures » (CPCE, Art. L. 33-1, f bis).

Les opérateurs doivent être en mesure d’assurer la transmission de messages d’alerte demandés par les autorités publiques en utilisant leurs infrastructures et listes d’abonnés pour en maximiser la diffusion.

Ces dispositions permettent aux autorités d’alerter facilement et rapidement la population via les téléphones portables par l’intermédiaire des opérateurs ainsi que l’y autorise le Code des communications électroniques européen en cas notamment de menace imminente d’attentat, d’incendie ou de catastrophe naturelle (3).

Aucun numéro de téléphone – donnée considéré comme personnelle-, n’est donc transmis à l’Etat qui ne détient pas de base de données regroupant l’ensemble des numéros de téléphone des abonnés.

La possibilité de traiter de telles données personnelles sans le consentement de l’intéressé entre dans les dérogations précédemment analysées pour assurer la sauvegarde des intérêts vitaux d’un État (RGPD, art. 6, 1 d et e).

Alain Bensoussan,
Mél : alain-bensoussan@lexing.law
L.D. : +33 (0)6 19 13 44 46

(1) Santé publique France, « Traitement de données à caractère personnel – Investigation relatives au nouveau Coronavirus (SARS-CoV-2) – COVID-19 », Suivi des cas possibles, des cas confirmés et des personnes contact par les ARS et Santé publique France.
(2) Cnil, « Coronavirus (Covid-19) : les rappels de la Cnil sur la collecte de données personnelles», 6 mars 2020.
(3) Directive (UE) 2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen (refonte).

Retour en haut