Par Jean-Christophe Guerrini, Avocat.
 
 

Covid-19, données personnelles et vie privée.

L’efficacité de la lutte contre l’épidémie du virus Covid-19 dans certains pays a nécessité une réduction des libertés fondamentales telles que le respect de la vie privée.
Qu’en est-il en Europe et plus particulièrement en France ? Les autorités publiques et les entreprises privées peuvent-elles faire tout usage de données personnelles pour lutter contre une pandémie ?
Le Comité Européen sur la Protection des Données vient de se prononcer.

La crise sanitaire que connaît la planète amène certains gouvernements à adopter des mesures restreignant les libertés individuelles telle que la liberté de circuler librement, garantie par les dispositions de l’article 13 de la Déclaration Universelle des Droits de l’Homme.

Cette crise implique encore l’immixtion d’organismes publics ou privés dans l’intimité des individus, et pose des difficultés juridiques notamment en matière de protection des données personnelles et de respect de la vie privée.

Les 16 et 19 mars derniers, le Comité Européen de la Protection des Données (CEPD) s’est prononcé sur le sujet du traitement des données personnelles dans le cadre de l’épidémie de Covid-19. [1]

Le CEPD est un organe européen indépendant dont les objectifs sont de garantir l’application cohérente du Règlement Général sur la Protection des Données (RGPD) et de promouvoir la coopération entre les autorités de protection des données de l’Union Européenne. Le 25 mai 2018, le CEPD a remplacé le groupe de travail dit G29, en référence à l’article 29 de la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Andrea Jelinek, Présidente du CEPD, a déclaré : « Les règles de protection des données (telles que le RGPD) n’entravent pas les mesures prises dans la lutte contre la pandémie de coronavirus. Cependant, je voudrais souligner que, même en ces temps exceptionnels, le responsable du traitement doit assurer la protection des données personnelles des personnes concernées. Par conséquent, un certain nombre de considérations doivent être prises en compte pour garantir le traitement licite des données personnelles ».

Le CEPD rappelle que le RGPD prévoit les fondements juridiques permettant aux employeurs et aux autorités de santé publique compétentes de traiter les données personnelles dans le cadre d’épidémies, sans avoir besoin d’obtenir le consentement de la personne concernée.

Tel est le cas lorsque le traitement de données à caractère personnel est nécessaire pour des raisons d’intérêt public dans le domaine de la santé publique ou pour protéger des intérêts vitaux (art. 6 et 9 du RGPD), ou pour se conformer à une autre obligation légale.

Sur ces fondements, les employeurs peuvent se dispenser du consentement du salarié pour collecter une donnée de santé, donnée dite sensible, telle qu’une infection au Covid-19.

Pour le traitement des données de communication électronique, telles que les données de localisation mobile, le CEPD souligne que des règles supplémentaires s’appliquent.

Les lois nationales mettant en œuvre la Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, dite Directive ePrivacy, reposent sur le principe selon lequel les données de localisation ne peuvent être utilisées par l’opérateur qu’après anonymisation qui est le principe, ou avec le consentement de l’abonné.

Tel est le sens des dispositions de l’article L 34-1 du Code des postes et des communications électroniques, qui dispose entre autres « Les opérateurs de communications électroniques, et notamment les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic (…) ».

Ce même texte prévoit une série d’exceptions limitativement énumérées. Notamment, l’obligation d’anonymisation des données techniques peut être repoussée d’un an pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ou d’un manquement à l’obligation définie à l’article L 336-3 du code de la propriété intellectuelle ou pour les besoins de la prévention des atteintes aux systèmes de traitement automatisé de données, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire ou de l’HADOPI ou de l’ANSSI.
Or, la stratégie adoptée par certains pays tels que la Corée du Sud pour lutter contre le Covid 19, a consisté à rechercher systématiquement les proches de toutes les personnes contaminées, avant de se voir proposer un test de dépistage.

Les déplacements des malades, avant qu’ils ne soient testés positifs, ont été reconstitués au travers d’images de vidéosurveillance, de l’utilisation de leur carte bancaire ou du bornage de leur téléphone portable, puis rendus publics. Des SMS ont même été envoyés aux abonnés quand un nouveau cas était détecté près de chez eux ou de leur lieu de travail.

Cette stratégie suscite des interrogations évidentes quant à la protection de la vie privée.
Dans l’optique de l’éventuelle mise en œuvre d’une telle stratégie par un des Etats membres de l’UE, le CEPD précise « lorsqu’il n’est pas possible de traiter uniquement des données anonymes, l’article 15 de la directive ePrivacy permet aux États membres d’introduire des mesures législatives visant la sécurité nationale et la sécurité publique. Cette législation d’urgence est possible à condition qu’elle constitue une mesure nécessaire, appropriée et proportionnée au sein d’une société démocratique.

Si de telles mesures sont introduites, l’État membre est tenu de mettre en place des garanties adéquates, telles que l’octroi aux particuliers du droit à un recours juridictionnel », le juge judiciaire étant en France le garant des libertés individuelles. D’autre part, l’application de telles mesures devrait être limitée dans le temps et bornée par leur finalité.

Des dispositions en ce sens dans le « projet de loi d’urgence pour faire face à l’épidémie de covid 19 » auraient été bienvenues.
Retrouvez la suite de cet article ici.

Notes :

Jean-Christophe GUERRINI
Avocat au barreau de Paris

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

10 votes

A lire aussi dans la même rubrique :

LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs