« Nombre d’autorités de protection des données ou d’agences gouvernementales ont publié sur leurs sites des recommandations en lien avec la pandémie de COVID-19. » Et « l’association internationale des professionnels de la protection des données (IAPP) a produit un tableau listant les documents mis en ligne dans plus d’une cinquantaine de pays »[1].
Au-delà des États européens, « plus d’une vingtaine de pays dans le monde » ont publié les « bonnes pratiques », depuis le Mexique jusqu’à la Chine « en passant par la Russie, le Pérou, l’Argentine, la Nouvelle-Zélande, la Suisse ou le Canada ». Avec une volonté commune de « s’assurer que la protection des données ne soit pas un frein aux traitements de données nécessaires à la lutte contre la pandémie ».
La question qui « prédomine » est celle « des traitements des données de santé liées au covid-19 dans les relations de travail ». En réponse à « des pratiques soudaines, et parfois disproportionnées, souhaitées (ou mises en place) dans certaines organisations, comme les relevés des températures corporelles des salariés ou visiteurs ou des questionnaires médicaux obligatoires », les autorités « semblent s’accorder sur le fait que les organisations ne doivent pas mettre en place de traitements systématiques et généralisés relatifs aux données de santé de leurs collaborateurs, en dehors de ceux qui leur seraient demandés par les autorités de santé publique ».
Vient ensuite « le suivi des personnes par les gouvernements afin d’endiguer la pandémie, à l’image de ce qui a été mis en œuvre en Corée du Sud ou en Chine ». Un suivi « via les données GPS des téléphones portables pourrait prendre diverses formes, telles que la détection des sorties du confinement ou le backtracking, permettant de tracer les itinéraires d’une personne contaminée afin d’identifier les personnes en contact avec elle ». L’utilisation « des données des opérateurs de télécommunication » inquiète : « risques de détournement d’usage », « pérennisation de telles mesures »…
La position des autorités nationales « dépendra des projets proposés par leur gouvernement ». En Europe, la Commission européenne avait consulté l’autorité de contrôle des institutions européennes (EDPS) au sujet d’« un projet de collecte massive des métadonnées (anonymisées) des opérateurs de télécommunication afin de cartographier les mouvements des personnes dans le cadre de la pandémie actuelle ». L’EDPS a, en réponse, formulé plusieurs recommandations « afin de garantir que les données soient réellement anonymisées, sécurisées et supprimées dès la fin de la crise ». Et en France, « la CNIL a dû rassurer les Français sur la légalité des SMS qu’ils avaient reçus au nom du gouvernement pour annoncer le confinement, en expliquant que cette campagne avait pu être réalisée sur le fondement de l’article L. 33-1 du code des postes et des communications électroniques ».
Parmi les autres sujets, « les mesures de sécurité liées au télétravail » ou encore « la collecte de données de santé par les établissements de santé », ainsi que des questions « liées à la sécurité et à la confidentialité des données de santé dans le cadre de la télémédecine ». Sur ce point « le département de la santé américain (HHS) en charge de faire respecter la législation américaine spécifique aux données de santé (HIPPA) a déclaré qu’il serait clément avec les professionnels de santé utilisant des applications populaires de communication ».
En dernier ressort, il apparait que « les autorités de contrôle, en particulier européennes, veulent faire preuve de pragmatisme dans leur application des législations en vigueur tout en préservant les principes fondamentaux de la protection des données personnelles et les libertés publiques ».
Pour aller plus loin :
Données de santé, liberté, état de droit : jusqu’où aller ?
Recherche et données de santé à l’heure du Big Data
Le Département américain de la Santé victime d’une cyberattaque
Dalloz, Alexandra Guérin-François (01/04/2020)