webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

La CNIL et la protection des données à caractère personnel face à la crise sanitaire du Covid-19

Délibération n°2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée «StopCovid».

Face au contrecoup de la crise sanitaire, la CNIL a publié de nombreuses fiches et recommandations pour orienter les professionnels et les personnes concernées sur les enjeux relatifs à la protection des données à caractère personnel.

Afin d’apporter un éclairage sur les enjeux relatifs à la protection des données à caractère personnel tant dans le cadre de la mise en place des mesures inédites de confinement que dans le cadre de la stratégie gouvernementale de déconfinement progressif, la CNIL, autorité de contrôle française, a publié de nombreuses fiches d’orientation et recommandations.

Autorité de contrôle publique et indépendante, la CNIL est chargée de surveiller l’application du Règlement européen sur la protection des données (ci-après « RGPD ») afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard des traitements de leurs données à caractère personnel.

Conformément au considérant 46 du RGPD, il est opportun de rappeler que « certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation ». 

La CNIL constitue dans ce contexte inédit un acteur majeur de la mise en œuvre de la politique sanitaire et des recherches sur la Covid-19 et du déploiement éventuel de traitements fondés sur ces finalités exceptionnelles. L’autorité de contrôle accompagne ainsi les acteurs gouvernementaux dans leur politique de dépistage et d’enquêtes sanitaires, les acteurs de la santé désireux d’initier des projets de recherche sur la Covid-19, ainsi que les professionnels et particuliers dans le cadre de la poursuite de leurs activités. 

En premier lieu, la CNIL a rappelé que les dispositifs de collecte d’informations concernant les symptômes de la Covid-19 et des informations de géolocalisation dans le cadre de la lutte contre l’épidémie relevaient de la responsabilité des autorités sanitaires. 

Saisie d’une demande d’avis par le secrétaire d’Etat chargé du numérique concernant l’éventuelle mise en œuvre d’une application de suivi de contact volontaire « StopCovid », la CNIL avait appelé le 24 avril 2020 à la vigilance dans le déploiement d’un tel dispositif. Dans une délibération en date du 25 mai 2020, la CNIL s’est prononcée sur les conditions concrètes de mise en œuvre de cette application et a estimé qu’elle pouvait être légalement être déployée. L’autorité relève en ce sens que l’application, temporaire et conçue sur la base du volontariat, ne mènera pas à la constitution d’un fichier des personnes contaminées mais à une liste de contacts pour lesquels toutes les données seront pseudonymisées. L’autorité de contrôle émet néanmoins des recommandations complémentaires telles que l’amélioration des informations fournies aux utilisateur et la délivrance d’une information spécifique relative aux mineurs et à leurs parents, ou encore le libre accès à l’intégralité du code source de l’application mobile et du serveur. 

Il est à noter que la CNIL s’est prononcée le 8 mai 2020 sur le projet de décret relatif à deux autres projets, les dispositifs SI-DEP et Contact Covid. Si le fichier SI-DEP permet entre autre la centralisation des résultats des tests à la Covid-19, le fichier Contact Covid recueille quant à lui des informations sur les chaînes de contaminations. Ces systèmes ont pour finalité d’assurer la prise en charge sanitaire et l’accompagnement des personnes atteintes du virus ou susceptibles de l’être. Parmi les données à caractère personnel traitées par ces dispositifs figurent notamment des données de santé ou encore des données de déplacement accessibles à de nombreux acteurs et notamment des enquêteurs sanitaires.

Bien que ces fichiers soient nécessaires à la mise en œuvre de la politique sanitaire engagée par le gouvernement selon la CNIL, cette dernière demande qu’un contrôle régulier de cette nécessité soit effectué.  Dans une lignée similaire à celle relative à l’application StopCovid, la CNIL appelle à la vigilance et demande des garanties supplémentaires. L’autorité de contrôle requiert notamment que la sécurité des dispositifs et la responsabilisation des personnes ayant accès aux fichiers soient garanties. 

En second lieu, la CNIL s’est prononcée sur les projets de recherche et a indiqué que pour les recherches internes, aucune formalité n’était requise au delà de l’inscription du traitement au registre des activités de traitement. En outre, il est précisé qu’une déclaration de conformité à la méthodologie de référence correspondante est nécessaire. En cas de non conformité à ladite méthodologie, il est précisé qu’une demande d’autorisation « recherche » est nécessaire. Pour ce faire, la CNIL publie un mode opératoire dédié afin que l’instruction en urgence de cette demande soit facilitée. 

Bien que la CNIL ait opté pour la priorisation des dossiers en lien avec l’épidémie de la Covid-19, l’instruction des autres demandes est vraisemblablement effectuée dans les conditions habituelles malgré une prorogation des délais échus dans certains cas.

En effet, conformément à l’ordonnance du 25 mars 2020 relative à la prorogation des délais échus pendant la période d’urgence sanitaire, certaines procédures initiées par la CNIL ont fait l’objet d’un allongement des délais. Il en est ainsi des mises en demeure pour lesquelles le délai n’a pas expiré avant le 12 mars 2020 ou pour celles adressées après le 12 mars 2020. Si dans le premier cas, les délais imposés pour se conformer sont suspendus jusqu’au 24 juin 2020, dans le second cas, le point de départ de la mise en conformité est reporté à cette même date. En outre, ladite ordonnance permet aux organismes mis en cause par des plaintes de répondre aux demandes de la CNIL au plus tard le 24 août 2020. 

Notons que la CNIL a publié des recommandations générales dans le cadre de l’organisation du travail à la destination des employeurs, des salariés mais également à destination des enseignants afin d’accompagner la continuité d’activité. Cette démarche a notamment pour dessein d’aider à l’encadrement, dans ce contexte inédit la sécurité des systèmes d’information et des données à caractère personnel traitées. 

Au delà de ces recommandations dédiées à la continuité d’activité, la CNIL a publié des observations concernant les dispositifs destinés à assurer la reprise progressive d’activité. En effet, si l’employeur est responsable de la santé et de la sécurité de ses employés/agents, la CNIL rappelle que chaque employé/agent doit également veiller à préserver la santé et la sécurité des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle. 

Dans ce contexte, l’employeur peut s’interroger sur l’opportunité et la licéité d’un traitement des signalements d’une éventuellement contamination au virus étant entendu que le traitement d’une donnée de santé est en raison de sa sensibilité par principe interdit. Il est rappelé que l’employeur ne peut traiter que des données strictement nécessaires à la satisfaction de ses obligations en matière de droit du travail, de sécurité sociale, ou encore de protection sociale. La CNIL conseille dans ce contexte aux employeurs qui souhaiteraient opérer des traitements visant à s’assurer de l’état de santé de leurs employés de se rapprocher des services de santé au travail. Il en est notamment ainsi des tests sérologiques que les seuls personnels de santé compétent peuvent collecter et mettre en œuvre. 

Il est à noter que l’ensemble de ces recommandations est actualisé régulièrement au regard du contexte actuel inédit et s’accompagne de liens redirigeant vers des contenus exhaustifs de la CNIL et des autorités concernées pour chacune des thématiques abordées.

 

Liens : 

VOIR AUSSI

Le contrôle du temps de travail par la géolocalisation des salariés est-il légal ?

Cass. soc., 19 décembre 2018, n°17-14.631

- Vu : 1669

"L'utilisation d'un système de géolocalisation pour assurer le contrôle de la durée du travail, laquelle n'est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation, n'est pas justifiée lorsque le salarié dispose d'une liberté dans l'organisation de son travail."

> Lire la suite

Partage de responsabilité entre acteurs d’un traitement de données personnelles : l’article 82 du RGPD

Article 82 du Règlement Général sur la Protection des Données

- Vu : 1754

L’article 82 du RGPD confirme le principe du droit à réparation issu de la Directive 95/46/CE (non transposée en droit français) et le précise en 6 paragraphes, fixant ainsi les principes directeurs gouvernant désormais la réparation du préjudice subi par toute personne résultant d’une violation du Règlement.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 6232
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 5464
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 4546
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Victime d’hameçonnage : la Cour de cassation impose à l’utilisateur une vigilance de plus en plus accrue
22 mai 2018 - Vu : 3421
La Cour de cassation renforce à nouveau l’obligation de prudence pesant sur l’internaute victime d’hameçonnage, dans la droite ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©