Depuis septembre 2009, même en l’absence de Cil et de déclaration de fichier de gestion du personnel, les responsables d’un traitement mis en œuvre dans le cadre de l’établissement et du suivi du plan de continuité de l’activité permettant de faire face à un épidémie grippale de grande ampleur ne sont plus tenus d’effectuer de formalités préalables, dans la mesure où leur traitement respecte toutes les dispositions de la nouvelle dispense n°14 (1). En août 2009, la Cnil publiait ses recommandations relatives aux traitements de données à caractère personnel dans le cadre de l’établissement et du suivi du plan de continuité de l’activité devant permettre de faire face à un épidémie grippale de grande ampleur. Elle indiquait que sous réserve que les données collectées ne soient pas soumises à un régime particulier, le traitement mis en œuvre dans ce cadre pouvait bénéficier d’une dispense de déclaration en cas de désignation d’un correspondant à la protection des données par l’organisme responsable du traitement ou être déjà couvert par une déclaration de fichier de gestion du personnel si une telle déclaration a déjà été effectuée par l’organisme (2).
Un tel traitement est considéré comme légitime par la Cnil mais, afin de bénéficier de la dispense, il ne peut intervenir qu’à la condition que la France ait atteint le seuil d’alerte de situation 4. Lorsque le seuil d’alerte de situation 7 est atteint, les données nominatives doivent être supprimées. La dispense a ainsi un effet immédiat puisqu’à ce jour, le seuil d’alerte de situation 4 (cas groupés humains) a été dépassé, la France se trouvant en situation 5, à savoir une situation dans laquelle il existe une « transmission interhumaine d’un virus grippal dans au moins deux pays non limitrophes d’un même continent ».
La dispense n°14 vise les traitements ayant pour finalités :
Les données traitées dans ce cadre ne peuvent en aucun cas comprendre le numéro de sécurité sociale ni aucune donnée relative à la santé des personnes. Seules pourront être traitées un nombre restreint de données énumérées par la dispense. Il s’agit, notamment, des données suivantes :
Ces données ne pourront être communiquées qu’aux personnes habilitées des services chargés de la gestion du personnel ou en charge de la cellule de crise si une telle cellule a été mise en place au sein de l’organisme. Quand bien même l’ensemble de ces dispositions serait respecté, la dispense ne s’appliquera pas en cas de mise en œuvre de transferts de données à caractère personnel à destination de pays tiers. La mise en œuvre de tels transferts devra faire l’objet d’une demande d’autorisation préalable. Enfin, comme tout traitement de données à caractère personnel, celui mis en œuvre dans le cadre d’un plan de continuité de l’activité destiné à lutter contre la pandémie grippale devra faire l’objet d’une information conforme à l’article 32 de la loi Informatique et libertés portée à la connaissance des personnes concernées. Cette information pourra avoir lieu via l’intranet ou la distribution d’une notice. En cas de collecte de données à l’aide d’un formulaire, celui-ci devra contenir une mention d’information spécifique.
(1) Délib. Cnil 2009-476 du 10-9-2009, norme simplifiée n°14
(2) Délib. Cnil 2005-002 du 13-1-2005, norme simplifiée n°46