La CNIL et la protection des données à caractère personnel face à la crise sanitaire du Covid-19

Délibération n°2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée «StopCovid».

Face au contrecoup de la crise sanitaire, la CNIL a publié de nombreuses fiches et recommandations pour orienter les professionnels et les personnes concernées sur les enjeux relatifs à la protection des données à caractère personnel.

Afin d’apporter un éclairage sur les enjeux relatifs à la protection des données à caractère personnel tant dans le cadre de la mise en place des mesures inédites de confinement que dans le cadre de la stratégie gouvernementale de déconfinement progressif, la CNIL, autorité de contrôle française, a publié de nombreuses fiches d’orientation et recommandations.

Autorité de contrôle publique et indépendante, la CNIL est chargée de surveiller l’application du Règlement européen sur la protection des données (ci-après « RGPD ») afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard des traitements de leurs données à caractère personnel.

Conformément au considérant 46 du RGPD, il est opportun de rappeler que « certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation ».

La CNIL constitue dans ce contexte inédit un acteur majeur de la mise en œuvre de la politique sanitaire et des recherches sur la Covid-19 et du déploiement éventuel de traitements fondés sur ces finalités exceptionnelles. L’autorité de contrôle accompagne ainsi les acteurs gouvernementaux dans leur politique de dépistage et d’enquêtes sanitaires, les acteurs de la santé désireux d’initier des projets de recherche sur la Covid-19, ainsi que les professionnels et particuliers dans le cadre de la poursuite de leurs activités.

En premier lieu, la CNIL a rappelé que les dispositifs de collecte d’informations concernant les symptômes de la Covid-19 et des informations de géolocalisation dans le cadre de la lutte contre l’épidémie relevaient de la responsabilité des autorités sanitaires.

Saisie d’une demande d’avis par le secrétaire d’Etat chargé du numérique concernant l’éventuelle mise en œuvre d’une application de suivi de contact volontaire « StopCovid », la CNIL avait appelé le 24 avril 2020 à la vigilance dans le déploiement d’un tel dispositif. Dans une délibération en date du 25 mai 2020, la CNIL s’est prononcée sur les conditions concrètes de mise en œuvre de cette application et a estimé qu’elle pouvait être légalement être déployée. L’autorité relève en ce sens que l’application, temporaire et conçue sur la base du volontariat, ne mènera pas à la constitution d’un fichier des personnes contaminées mais à une liste de contacts pour lesquels toutes les données seront pseudonymisées. L’autorité de contrôle émet néanmoins des recommandations complémentaires telles que l’amélioration des informations fournies aux utilisateur et la délivrance d’une information spécifique relative aux mineurs et à leurs parents, ou encore le libre accès à l’intégralité du code source de l’application mobile et du serveur.

Il est à noter que la CNIL s’est prononcée le 8 mai 2020 sur le projet de décret relatif à deux autres projets, les dispositifs SI-DEP et Contact Covid. Si le fichier SI-DEP permet entre autre la centralisation des résultats des tests à la Covid-19, le fichier Contact Covid recueille quant à lui des informations sur les chaînes de contaminations. Ces systèmes ont pour finalité d’assurer la prise en charge sanitaire et l’accompagnement des personnes atteintes du virus ou susceptibles de l’être. Parmi les données à caractère personnel traitées par ces dispositifs figurent notamment des données de santé ou encore des données de déplacement accessibles à de nombreux acteurs et notamment des enquêteurs sanitaires.

Bien que ces fichiers soient nécessaires à la mise en œuvre de la politique sanitaire engagée par le gouvernement selon la CNIL, cette dernière demande qu’un contrôle régulier de cette nécessité soit effectué.  Dans une lignée similaire à celle relative à l’application StopCovid, la CNIL appelle à la vigilance et demande des garanties supplémentaires. L’autorité de contrôle requiert notamment que la sécurité des dispositifs et la responsabilisation des personnes ayant accès aux fichiers soient garanties.

En second lieu, la CNIL s’est prononcée sur les projets de recherche et a indiqué que pour les recherches internes, aucune formalité n’était requise au delà de l’inscription du traitement au registre des activités de traitement. En outre, il est précisé qu’une déclaration de conformité à la méthodologie de référence correspondante est nécessaire. En cas de non conformité à ladite méthodologie, il est précisé qu’une demande d’autorisation « recherche » est nécessaire. Pour ce faire, la CNIL publie un mode opératoire dédié afin que l’instruction en urgence de cette demande soit facilitée.

Bien que la CNIL ait opté pour la priorisation des dossiers en lien avec l’épidémie de la Covid-19, l’instruction des autres demandes est vraisemblablement effectuée dans les conditions habituelles malgré une prorogation des délais échus dans certains cas.

En effet, conformément à l’ordonnance du 25 mars 2020 relative à la prorogation des délais échus pendant la période d’urgence sanitaire, certaines procédures initiées par la CNIL ont fait l’objet d’un allongement des délais. Il en est ainsi des mises en demeure pour lesquelles le délai n’a pas expiré avant le 12 mars 2020 ou pour celles adressées après le 12 mars 2020. Si dans le premier cas, les délais imposés pour se conformer sont suspendus jusqu’au 24 juin 2020, dans le second cas, le point de départ de la mise en conformité est reporté à cette même date. En outre, ladite ordonnance permet aux organismes mis en cause par des plaintes de répondre aux demandes de la CNIL au plus tard le 24 août 2020.

Notons que la CNIL a publié des recommandations générales dans le cadre de l’organisation du travail à la destination des employeurs, des salariés mais également à destination des enseignants afin d’accompagner la continuité d’activité. Cette démarche a notamment pour dessein d’aider à l’encadrement, dans ce contexte inédit la sécurité des systèmes d’information et des données à caractère personnel traitées.

Au delà de ces recommandations dédiées à la continuité d’activité, la CNIL a publié des observations concernant les dispositifs destinés à assurer la reprise progressive d’activité. En effet, si l’employeur est responsable de la santé et de la sécurité de ses employés/agents, la CNIL rappelle que chaque employé/agent doit également veiller à préserver la santé et la sécurité des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle.

Dans ce contexte, l’employeur peut s’interroger sur l’opportunité et la licéité d’un traitement des signalements d’une éventuellement contamination au virus étant entendu que le traitement d’une donnée de santé est en raison de sa sensibilité par principe interdit. Il est rappelé que l’employeur ne peut traiter que des données strictement nécessaires à la satisfaction de ses obligations en matière de droit du travail, de sécurité sociale, ou encore de protection sociale. La CNIL conseille dans ce contexte aux employeurs qui souhaiteraient opérer des traitements visant à s’assurer de l’état de santé de leurs employés de se rapprocher des services de santé au travail. Il en est notamment ainsi des tests sérologiques que les seuls personnels de santé compétent peuvent collecter et mettre en œuvre.

Il est à noter que l’ensemble de ces recommandations est actualisé régulièrement au regard du contexte actuel inédit et s’accompagne de liens redirigeant vers des contenus exhaustifs de la CNIL et des autorités concernées pour chacune des thématiques abordées.

Liens : 

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…