Quelques mois après la mise en œuvre des systèmes visant à gérer la crise sanitaire (applications, passe sanitaire, contact tracing, dispositifs mis en place par les employeurs, vaccination), l’AFCDP prend du recul sur l’efficacité du RGPD pour encadrer le recours aux données personnelles dans le cadre de la gestion de la crise sanitaire en Europe.

Le développement massif de systèmes et/ou de traitements de données de santé et de technologies de pointe

En Europe, le confinement a soulevé un certain nombre de questions, notamment éthiques et sociétales comme en France avec l’usage de drones en vue d’assurer le respect des restrictions de sortie. Pour gérer la crise, l’usage de caméras thermiques, de la reconnaissance faciale ou encore du contact tracing (localisation des personnes) ont également vu le jour. En Europe émerge ainsi les données « agrégées » : en Autriche par exemple, les opérateurs de télécommunication ont fourni les données de localisation anonymisées en vue de faire respecter les règles de confinement.

Ces éléments allaient-ils à l’encontre du RGPD ? Les principes fondateurs du RGPD, dont "licéité-loyauté-transparence" et "sécurité-intégrité-confidentialité" (RGPD art.5.1.a et 5.1.f) vis-à-vis des personnes et du traitement fait de leurs données, n’a jamais été un frein concernant le développement et l’usage des technologies. C’est ce paradigme qui permet d’observer lors de la situation de crise, le développement en masse d’outils en vue de gérer la pandémie. En revanche, le texte reste rigoureux sur les garanties mises en œuvre en vue de protéger les données personnelles collectées, et demande un encadrement très strict d’une certaine catégorie de données sensibles, et notamment les données de santé. Dans le même temps, ces garanties devaient être efficaces en vue de lutter contre toute forme de violation dont les piratages informatiques.

Si le principe du privacy by design (obligation d’intégrer la protection de la vie privée par défaut et dès la conception pour tous les traitements), semble avoir été mis de côté au profit du contexte pandémique et du caractère urgent (faisant office d’exception à l’interdiction de collecter les données sans le consentement des intéressés), d’autres mesures issues du RGPD semblent avoir fait office de fil conducteur : le principe de base légale, de proportionnalité, et de durée de conservation qui font naturellement écho au fait que les traitements restreignant les libertés peuvent être mis en œuvre que s’ils sont proportionnés, et limités dans le temps.

On retrouve l’application de ces grands principes dans le cadre de la mise en place du télétravail, pour lequel les relations de travail ont dû être repensées à la lumière de la pandémie.

Le déploiement massif du télétravail

Les responsables des organismes privés comme publiques, en charge de la sécurité des données traitées mais aussi des données informatiques relatives à leurs salariés, ont été contraints de mettre en place des mesures pour collaborer à distance, parfois sans les connaissances nécessaires à la sécurisation technique et juridique des flux.

C’est ainsi que sont apparues pêle mêle visioconférences, registre des visiteurs, registre de présence, liste de personnes vaccinées, contrôle des temps de télétravail… ces mesures, ont souvent pu être réalisées dans un esprit de bien faire mais de manière totalement décentralisée et via des initiatives individuelles, de sorte que certains principes du RGPD semblent avoir été mis de côté (comme la gestion des habilitations, de sécurité). Pourtant, les délégués à la protection des données ont pu apporter leur expertise sur la mise en œuvre de ces mesures en particulier, sur la manière d’informer les collaborateurs de l’existence de ces traitements et de documenter l’ensemble des mesures prises. L’objectif du RGPD en pareil cas, n’était donc pas d’obtenir le consentement des personnes (qui n’est pas obligatoire dans la majorité des cas) , mais bien de garder la maîtrise des données utilisées.

Outre les nombreux communiqués de la CNIL sur le sujet, le CEPD/EDBP (l’entité qui regroupe toutes les CNIL européennes) s’est lui-même prononcé pour rappeler que, « même dans ces circonstances exceptionnelles, le responsable du traitement doit garantir la protection des données des personnes concernées ». Une coordination des autorités de contrôle de protection des données a démontré le respect du RGPD en pareil cas. La CNIL française quant à elle, à a opéré de nombreux contrôles sur les outils déployés (application TousAntiCovid, usage des drones…), a été consultée par le législateur et à émis de nombreuses recommandations pour éviter les écueils, et continue à ce jour de contrôler les dispositifs en place.

Au niveau collaboratif, il semblerait que le principe de confidentialité fut le maître mot : comment prévenir d’une pandémie et d’un cas contact sans pour autant compromettre l’identité de la personne atteinte du coronavirus ? Ces questions se sont fait ressentir également à l’occasion du protocole de sortie de crise.

“ Pour l’heure, restent certaines questions en suspens, mais dans l’ensemble, l’AFCDP constate que le RGPD a été considéré dans chacune des mesures de gestion de la crise en Europe, même si nous nous inquiétons de l’aspect quelque peu liberticide de ces mesures, et de l’absence souvent de notions de durée précises.” conclut Paul-Olivier Gibert, Président de l’AFCDP.