De nombreuses autorités de protection des données à travers le monde ont publié des recommandations sur la mise en œuvre de traitements dans le cadre du Covid-19.

De nombreux medias ont présenté le système mis en œuvre dans certaines régions de Chine dans lesquelles les personnes autorisées à circuler doivent le justifier par le biais d’un QR Code vert.
Or, les données relatives à la santé des personnes sont des données « sensibles » au sens de l’article 9 du RGPD. La collecte et le traitement de ce type de données sont donc interdits, sauf si une ou plusieurs exceptions prévues par les textes s’appliquent.

Les données de localisation des terminaux de communications mobiles, comme les téléphones portables par exemple, sont également strictement encadrées, notamment par la Directive 2002/58 du 12 juillet 2002 (actuellement en cours de refonte).

La CNIL et le Comité Européen pour la Protection des Données (CEPD) ont bien entendu publié leurs recommandations. Ces autorités se sont prononcées sur 2 types de traitements bien différents que sont les traitements mis en œuvre par les employeurs ainsi que les traitements des données provenant des terminaux mobiles par les autorités publiques, que nous avons traités dans 2 newsletters distinctes.

Les recommandations du Comité Européen sur la Protection des Données (CEPD)

Les recommandations du CEPD ont été adoptées le 16 mars 2020 et mises à jour le 19, elles portent notamment sur la collecte de données de santé et de données de localisation des individus, collectées via leur téléphone portable.

Le CEPD rappelle tout d’abord que la collecte et le traitement de données sur la santé des personnes par les autorités publiques sont possibles en cas d’épidémie, dans le respect de la loi nationale et de certaines conditions. L’article 9 2 i) du RGPD permet par exemple le traitement des données de santé pour des « (…) motifs d’intérêt public dans le domaine de la santé publique (…) ». Dans ce cas le consentement de la personne concernée n’est pas nécessaire.

Le CEPD indique que certains gouvernements des Etats membres de l’Union envisagent d’utiliser les données de localisation des terminaux mobiles pour vérifier ou contenir la diffusion du COVID-19. Ceci permet par exemple de géolocaliser des individus ou d’envoyer des messages concernant la santé publique sur les téléphones mobiles. Le CEPD précise que, dans ce cas, les téléphones doivent pouvoir être localisés afin de pouvoir envoyer les messages.

Le CEPD rappelle que cette localisation doit s’effectuer sans identification de l’abonné, sur la base de données agrégées qui permettent par exemple d’obtenir des informations sur la concentration de téléphones portables dans une zone géographique donnée.

Le CEPD rappelle également que le RGPD ne s’applique pas aux données traitées sous forme anonyme.
Dans l’hypothèse où un gouvernement viendrait à adopter un texte spécifique pour traiter les données de géolocalisation sous une forme non-anonymisée, il conviendrait de mettre en œuvre des mesures spécifiques comme par exemple la fourniture aux personnes concernées d’un droit à des recours juridictionnels spécifiques.

Le principe de proportionnalité prévu par le RGPD s’applique également et les solutions les moins intrusives possibles doivent toujours être privilégiées.

Les mesures telles que le « tracking » d’individus sous forme non-anonymisée peuvent être considérées comme proportionnées dans le cadre de circonstances exceptionnelles en fonction des modalités concrètes du traitement. En tout état de cause, ce type de traitement doit faire l’objet d’un examen et de mesures renforcés permettant de s’assurer du respect des règles de protection des données (finalité proportionnée, durée de conservation etc…).

Il précise qu’en tout état de cause, les données collectées et traitées doivent être nécessaires pour atteindre les objectifs poursuivis dans le cadre de finalités spécifiques.

Il rappelle également le principe de minimisation des données selon lequel les données traitées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (art. 5.1.c du RGPD).

Les personnes dont les données sont traitées doivent être informées dans un langage clair et compréhensible sur les traitements mis en œuvre, et notamment sur leur(s) finalité(s), les durées de conservation.

Dans sa mise à jour, le CEPD ajoute que ces traitements doivent être mis en oeuvre dans le respect de la Charte des Droits Fondamentaux et de la Convention Européenne des Droits de l’Homme. De plus, ces traitements pourront faire l’objet de recours devant la Cour Européenne de Justice et/ou la Cour Européenne des Droits de l’Homme.

Le CEPD considère enfin qu’étant donné que ces traitements sont mis en oeuvre dans le cadre de l’urgence liée au Covid-19, leur durée devra se limiter à cette période d’urgence.

Les recommandations publiées par la CNIL

A la suite de l’envoi de SMS par les autorités françaises, la CNIL a publié un communiqué en date du 19 mars dernier dans lequel elle précise que le Code des postes et des communications électroniques français (art. L.33-1 I fbis) prévoit que les opérateurs de télécommunications doivent acheminer à leurs abonnés « (…) des communications des pouvoirs publics destinées au public pour l’avertir de dangers imminents ou atténuer les effets de catastrophes majeures ». La CNIL indique que l’envoi de ces messages s’effectue sans transmission des coordonnées des personnes concernées aux autorités, et est conforme à la loi.

La réaction de certaines associations

Par ailleurs, l’association française La Quadrature du Net a déjà publié un communiqué les traitements mis en œuvre dans plusieurs pays et incite le gouvernement français à « (…) résister à toute fuite-en-avant sécuritaire » et à « (…) s’engager à faire immédiatement la transparence sur toutes les mesures de surveillance de la population mises en œuvre pour lutter contre la propagation du COVID-19 (…) ».

La Quadrature du Net a intenté à plusieurs reprises des recours à l’encontre des autorités lorsqu’elle estimait que des projets ne respectaient pas les libertés fondamentales des citoyens.

Si dans le cadre du Covid-19 les autorités mettaient en œuvre des traitements que des associations, dont celle-ci, considéreraient comme contraires aux droits des personnes, il est vraisemblable qu’elles n’hésiteraient pas à intenter des recours.