La propagation de l’épidémie de Covid-19 et l’encadrement du déconfinement ont encouragé les organismes publics à organiser la collecte de données personnelles de santé . L’occasion pour l’opinion publique de s’interroger sur la question du recensement par les médecins des personnes ayant été en contact avec ce patient atteint par le coronavirus. Si la situation actuelle est inédite et que les autorités veulent lutter au mieux contre cette pandémie, il est essentiel que chaque traitement de données respecte le principe de proportionnalité énoncé par le RGPD.
Quelques rappels sur la collecte de données de santé
L’article 4 du RGPD donne la définition suivante des données de santé : « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne »
La CNIL explique que « les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne » .
Par exemple, un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ( comme le numéro de sécurité sociale ) est une donnée de santé.
Par conséquent, on peut légitimement penser que toute information sur une personne physique liée à l’épidémie de covid-19 serait une donnée de santé.
Les désaveux prétorien de l’utilisation des drones
Le Conseil d’État a récemment donné raison aux associations La Quadrature du Net et la Ligue des Droits de l’Homme (LDH) qui réclamaient l’arrêt du déploiement des drones de la préfecture de police de Paris, décidé alors pour faire respecter le confinement.
Les deux associations considèrent que ces drones constituent « une ingérence grave et manifestement illégale dans plusieurs libertés fondamentales parmi lesquelles le droit à la vie privée et le droit à la protection des données personnelles . […] Le dispositif attaqué est constitué d’un essaim de drones filmant de très larges espaces, tant publics que privés. Par suite, il porte nécessairement atteinte au droit à la vie privée ».
Enfin, elles dénoncent une atteinte au principe de proportionnalité, qu’on retrouve dans l’ensemble des textes (directive Police-Justice, RGPD, Convention européenne de sauvegarde des droits de l’Homme). « Aucune étude, aucun élément statistique, ni aucun élément matériel ne vient étayer la nécessité, l’adéquation ou la proportionnalité de ce dispositif. Il est impossible d’évaluer les critères qui déterminent les parcours de chaque drone, leur nombre, leurs caractéristiques techniques ou leurs horaires de vol ».
L’application Stop Covid
Considérée comme l’une des solutions participant au plan de déconfinement, l’application StopCovid en cours de développement consiste à informer l’utilisateur s’il a récemment été en contact avec une personne diagnostiquée positive au covid-19. L’application repose sur un suivi des contacts (contact tracing) qui, sans géolocaliser les individus, permet de savoir à travers la technologie bluetooth si une personne présente des risques de contamination.
Le 24 avril 2020, la Commission nationale informatique et libertés (CNIL) et le Conseil national du numérique (CNNum) se sont montrés globalement favorables au projet eu égard à la gravité de la situation actuelle tout en rappelant la nécessité de sa conformité au RGPD.
Tout d’abord il est rappelé que le téléchargement de l’application sur un terminal génère un identifiant pseudonymisé communiqué au serveur central.
Aussi, le principe de limitation des finalités implique, selon la CNIL, que l’application StopCovid ne doit pas avoir pour objet de « surveiller le respect des mesures de confinement ou d’autres obligations sanitaires », ni « d’organiser une prise de contact avec la personne alertée, de réaliser un suivi du nombre de personnes infectées ou d’identifier les zones dans lesquelles ces personnes se sont déplacées ».
Enfin la CNIL rejoint cette position en énonçant que la durée du traitement doit être « limitée à celle de l’utilité du dispositif au regard des finalités » et que « toutes les données soient supprimées dès le moment où l’utilité de l’application ne sera plus avérée », restreignant la durée du traitement non pas à la période de crise sanitaire mais à la période durant laquelle l’application est jugée utile.
Anne-Claire Loup
M2 Cyberjustice – Promotion 2019-2020
Sources
https://www.nextinpact.com/news/108946-confinement-drones-prefecture-police-paris-attaques-en-justice.htm https://www.dalloz-actualite.fr/flash/coronavirus-stopcovid-avis-de-cnil-et-du-cnnum#.XsFta2gzbid