Traitements de données personnelles et coronavirus : la CNIL et le CEPD se prononcent sur les bonnes pratiques

Dans le contexte de l’épidémie de Covid-19, le recours à de nouveaux traitements de données personnelles ayant pour objet de contrôler la diffusion du virus est observé de près. Certaines institutions ont d’emblée réagi en diffusant des conseils et en rappelant les bonnes pratiques à mettre en place pour protéger au mieux les données personnelles, sujet épidermique à l’heure actuelle.

À l’échelle européenne, le CEPD (Comité européen de la protection des données – entité regroupant les autorités de contrôle chargées de la protection des données personnelles au sein de l’UE, telles que la CNIL) a diffusé une annonce sur le traitement des données personnelles dans le contexte de l’épidémie, concentrée principalement sur quatre points :

  • Un rappel des principes fondamentaux assurant la licéité des traitements

Le CEPD rappelle notamment que, malgré le contexte actuel, les obligations incombant aux responsables de traitements (finalité déterminée, information transparente, claire et complète de la personne concernée, sécurité des données, etc.) restent d’actualité. En revanche, la licéité de ces traitements, y compris lorsqu’ils ont trait à des données « sensibles », peut reposer sur des bases juridiques autres que le consentement des personnes concernées.

  • Un focus sur les traitements effectués par les autorités publiques (ex: autorités sanitaires)

Du fait de leurs statuts, ces autorités devraient être en mesure d’opérer ces nouveaux traitements

  • Un focus sur les traitements réalisés par les employeurs

Les employeurs peuvent mettre en œuvre des traitements de données personnelles sur le fondement d’une obligation légale à laquelle ils sont soumis (ex : sécurité sur le lieu de travail) ou de l’intérêt public (ex : contrôle des maladies), et y inclure des données de santé pour cette dernière raison, ou si c’est justifié pour la sauvegarde des intérêts vitaux des personnes concernées.

Sur les modalités de traitement des données ainsi collectées, le CEPD s’en remet aux législations nationales, précisant toutefois que :

  1. Seules les données nécessaires pour remplir leurs obligations et organiser le travail peuvent être collectées par les employeurs ;
  2. La collecte d’informations relatives à la santé des employés ou des visiteurs ne peut être faite que dans le respect des principes de proportionnalité et de minimisation;
  3. La possibilité de demander la réalisation de bilans de santé sur des employés n’est possible que dans la mesure où ils sont imposés par une obligation légale ;
  4. La fourniture d’informations sur des cas de COVID-19 au sein de l’entreprise doit être limitée à ce qui est nécessaire. Dans les cas où il est nécessaire de révéler le nom de l’employé qui a contracté le virus (par exemple dans un contexte préventif), il doit être informé à l’avance et sa dignité et son intégrité doivent être protégées.
  • Un focus sur les traitements de données de géolocalisation des téléphones mobiles

Le CEPD rappelle que ces données ne peuvent en principe être utilisées qu’après anonymisation (ex : pour réaliser des cartographies) ou avec le consentement de la personne concernée.

À défaut, des dispositions législatives spécifiques pourront être adoptées pour permettre des traitements plus invasifs, tels que le « tracking », sous réserve de la mise en œuvre de garanties adéquates (notamment droit au recours auprès d’une juridiction nationale, caractère nécessaire, approprié, proportionné et limité dans le temps, respect la Charte des droits fondamentaux et la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales).


À l’échelle nationale, la CNIL
a répondu aux sollicitations de professionnels et particuliers au sujet de la collecte et du traitement de données personnelles dans le but de de limiter la propagation du virus.

Elle dresse notamment une liste des comportements interdits et autorisés dans le cadre des relations de travail. Ainsi :

  • les employeurs doivent mettre en place des actions préventives, d’information et de formation afin de garantir la santé et la sécurité de leurs employés (ex : invitation à effectuer des remontées individuelles d’informations par les employés en cas d’éventuelle exposition au virus, possibilité de consigner la date et l’identité de l’employé qui signalerait une exposition).
  • Mais ils ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus (ex: pas de relevés obligatoires quotidiens de température ou de questionnaires médicaux pour l’ensemble des employés).

Les employés doivent, quant à eux, informer leur employeur en cas de suspicion de contact avec le virus.

La CNIL a en outre donné des conseils sur la mise en place du télétravail et l’utilisation d’outils de visioconférence.

Parmi les mesures les plus significatives, on notera :

  • Pour les mesures de bases à prendre en cas de télétravail : la sécurisation des systèmes d’information (édition d’une charte de sécurité, installation de pares feux et d’antivirus, mise en place de VPN, utilisation de mécanismes d’authentification à double facteur, consultation des journaux d’accès, etc.) ;
  • Pour la visioconférence : privilégier les solutions qui protègent la vie privée, ne pas télécharger d’application de source inconnue, sécuriser le réseau wifi, limiter le nombre d’informations fournies lors de l’inscription, fermer l’application lorsqu’elle n’est pas utilisée.


Eugénie Lebelle

Elève-avocate

Anita Delaage
Avocate

Lire la déclaration du CEPD ou accéder à la page de la CNIL sur la COVID-19