Que disent la CNIL et le gouvernement français ?
A date du 7 mai 2020, les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées.
Aucun test sérologique n’est autorisé.
Les entreprises peuvent organiser un contrôle de la température des personnes entrant sur leur site. Ces mesures peuvent faire l’objet de la procédure relative à l’élaboration des notes de service valant adjonction au règlement intérieur prévue à l’article L. 1321-5 du code du travail qui autorise une application immédiate des obligations relatives à la santé et à la sécurité. Ces contrôles doivent être destinés à la seule vérification de la température à l’entrée d’un site au moyen d’un thermomètre (par exemple de type infrarouge sans contact), sans qu’aucune trace ne soit conservée, sans qu’aucun fichier des données de température ne soit constitué, ni qu’aucune autre opération ne soit effectuée (relevés de ces températures, remontées d’informations, etc.).
Le salarié est en droit de le refuser.
Les opérations de captation automatisées de température au moyen d’outils tels que des caméras thermiques dont interdites.
Si la situation sanitaire exige la collecte de données de santé, l’employeur doit uniquement collecter les données qui sont sollicitées par les autorités sanitaires compétentes.
L’identité des personnes concernées ne doit pas être divulguée aux autres salariés “sans justification claire”.Pour en savoir plus ici (CNIL) et ici (Gouvernement)
Quelles sont les recommandations des autorités dans les autres pays de l'UE?
Le CEPD (EDPB) a émis des lignes directrices sur le traitement de données personnelles dans le contexte du Covid-19 Disponibles ici
ITALIE:L’autorité Italienne de protection des données a diffusé une FAQ Disponible en anglais ici
POLOGNE:
L’autorité de protection des données indique que le traitement des données de santé des employés et des visiteurs, en mesurant la température ou via un questionnaire sur les symptômes d’une maladie est possible. Disponible en polonais ici
ESPAGNE:
Déclaration sur les contrôles de température des personnes à l’entrée des lieux de travail, des magasins et autres types d’établissements. Disponible ici en espagnol
BELGIQUE:
L’APD a émis des lignes directrices et une FAQ sur “COVID-19 et traitement de données à caractère personnel sur le lieu de travail”. Elle rappelle notamment que si les prises de température ne s’accompagnent pas d’un enregistrement ou d’un traitement de données personnelles, le RGPD ne s’applique pas. Disponible ici
LUXEMBOURG:
La CNPD a publié des recommandations, sans préjudice d’éventuelles mesures étatiques plus contraignantes. Disponible ici
IRLANDE:
L’autorité irlandaise a émis des lignes directrices et une FAQ. L’autorité encourage les organisations qui auraient des difficultés à répondre aux demandes d’exercice des droits dans le délai d’un mois à utiliser la possibilité de proroger ledit délai de deux mois supplémentaires en cas de demande complexe; par ailleurs elle propose aux organisations de répondre en plusieurs étapes. Disponible ici
PAYS-BAS :
La loi de protection des données ne s’applique pas si la température n’est pas enregistrée et dans un système automatisé. Cependant il peut y avoir une atteinte à la vie privée et aux droits fondamentaux, tels que l’intégrité du corps. Disponible ici
ROYAUME-UNI:
L’ICO a publié une page sur “tout ce qu’il faut savoir sur la protection des données et le coronavirus”: L’autorité précise notamment qu’elle ne pénalisera pas les organisations pendant cette période et informera les personnes concernées qu’elles pourront subir des retards dans le traitement de leurs demandes.
L’ICO a aussi publié un blog sur les traitements de données personnelles par les groupes communautaires venant en aide aux personnes durant la pandémie.
Enfin, l’ICO indique que les organisations qui procèdent à des tests et traitent des informations sur la santé, doivent mener une analyse d’impact sur la protection des données. Voir ici
Collectivités locales: collectes et traitements de données personnelles en période de crise sanitaire du Covid-19
Les registres nominatifs
Deux types de registres nominatifs, intégrés dans des dispositifs d’alerte et d’information des populations, peuvent légalement être établis au sein des communes.L’inscription sur ces registres doit résulter d’une démarche volontaire, émanant de la personne concernée ou d’un tiers agissant pour son compte et sous réserve du droit d’opposition de la personne concernée.
L’utilisation de fichiers préexistants ne peut servir qu’à procéder à l’information des personnes sur l’existence du registre.
– Registre relatif au « plan départemental d’alerte et d’urgence au profit des personnes âgées et handicapées en cas de risques exceptionnels »:
La finalité exclusive de ce traitement porte sur l’organisation de contacts périodiques avec les personnes inscrites afin de leur apporter les conseils et l’assistance nécessaires.
Le maire n’a pas à exiger de pièces justificatives de l’appartenance à l’une ou l’autre des catégories cibles.
– Registre relatif au « plan communal de sauvegarde »:
Le recueil d’informations relatives à l’état de santé des personnes, aux conditions de vie et éventuelles difficultés sociales devra être strictement limité aux fins d’assurer une prise en charge adéquate et optimale.
Fichiers pouvant être utilisés pour informer les administrés et distribuer les masques
-Le fichier de communication municipale: peut être utilisé pour fournir toute indication utile sur les actions menées par la collectivité pour protéger sa population dans le cadre de la gestion de la crise.
-Les registres communaux d’information et d’alerte des populations: il speuvent être utilisées par les personnes habilitées à en connaître pour renseigner personnellement les intéressés sur les modalités d’obtention d’un masque de protection.
-Le fichier de la taxe d’habitation : il peut être utilisé pour la distribution des masques (ex. livraison à domicile)
-Les listes électorales: peuvent servir pour adresser aux administrés des courriers d’information sur les modalités de mise en œuvre des opérations de distribution de masques.
-Avec le consentement des personnes, les fichiers de partenaires institutionnels: pour donner des informations liées à la gestion de crise sanitaire en lien avec la finalité de ceux-ci
Surveillance des examens en ligne
Les rappels et conseils de la CNIL sur les dispositifs de surveillance des examens
Concernant les outils numériques de télésurveillance afin d’organiser des examens à distance:
La CNIL rappelle que l’étudiant doit notamment se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. Dans ces conditions, le consentement comme base légale peut difficilement être retenu pour les traitements de surveillance des examens organisés et surveillés en ligne.
L’établissement peut s’appuyer sur une autre base légale, telle que l’exécution d’une mission d’intérêt public qui peut être utilisée tant par les universités que par les établissements privés d’enseignement supérieur, dès lors qu’ils poursuivent une mission d’intérêt public.
Traitements qui ne sont pas disproportionnés :
– la surveillance vidéo en temps réel pendant la durée de l’examen ;
– la prise de photographies ou de flux vidéo ou sons de manière ponctuelle ou aléatoire.
Traitement qui sont à priori disproportionnés au regard de la finalité poursuivie :
– les dispositifs de surveillance permettant de prendre le contrôle à distance de l’ordinateur personnel de l’étudiant (notamment pour vérifier l’accès aux courriels ou aux réseaux sociaux) ;
-les dispositifs de surveillance reposant sur des traitements biométriques (exemple : reconnaissance faciale via une webcam).
Dès lors que le dispositif de télésurveillance est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées », une analyse d’impact relative à la protection des données (AIPD) devra être réalisée, en particulier, en cas d’utilisation de technologies innovantes telles que le recours à l’oculométrie (eye tracking), à des algorithmes et à l’intelligence artificielle.
Pour en savoir plus notamment sur les obligations de sécurité
Les traitements de recherche médicale sur le COVID-19
Règlementation applicable en France
Quelles sont les formalités à réaliser avant de mener une recherche COVID-19 ?
Engagement de conformité à la MR-001 (recherche interventionnelle) ou à la MR-003 (recherche non interventionnelle) auprès de la CNIL.
Si les essais n’entrent pas dans le cadre de ces MR, il faut effectuer une demande d’autorisation “recherche”.
Dans tous les cas il faut mener une analyse d’impact (AIPD).
Enfin, il faut inscrire l’essai au registre des activités de traitement.
Lignes directrices du CEPD (EDPB) publiées le 21 avril 2020
Compte tenu des risques liés aux traitements dans le contexte de l’épidémie de COVID-19, le CEPD insiste fortement sur le nécessaire respect des principes du RGPD, sur les mesures de sécurité et de minimisation.
Une analyse d’impact sur la protection des données doit être effectuée.
Les délégués à la protection des données (DPO) devraient être consultés sur le traitement des données de santé à des fins de recherche scientifique dans le cadre de l’épidémie de COVID-19.
Droits des personnes : le RGPD autorise le législateur national à restreindre (certains) des droits de la personne concernée. De ce fait, les personnes concernées peuvent voir leurs droits varier en fonction des lois adoptées par l’État membre concerné.
Transferts de données vers un pays tiers : Dans le contexte actuel de la pandémie, lorsqu’il n’est pas possible de se fonder sur une décision d’adéquation, ou sur des garanties appropriées en vertu de l’article 46 du RGPD, les organisations peuvent se prévaloir des dérogations de l’article 49 (intérêt public ou consentement de la personne concernée), principalement à titre de mesure temporaire en raison de l’urgence de la situation médicale au niveau mondial. Cependant, si la nature de la crise COVID-19 peut justifier le recours aux dérogations applicables aux transferts initiaux effectués à des fins de recherche, les transferts répétés de données vers des pays tiers dans le cadre d’un projet de recherche de longue durée devraient être encadrés par des garanties appropriées conformément à l’article 46 du RGPD.
Lignes directrices du CEPD disponibles ici en anglais
Bases de données SI-DEP et CONTACT-COVID
Contact Covid
Décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire.
Base de données recensant pour chaque personne détectée positive, l’ensemble de ses contacts rapprochés.
L’identité de la personne infectée ne sera communiquée à ses cas « contacts » qu’avec son consentement.
L’assurance maladie est le responsable de traitement. Les personnes pourront exercer leurs droits auprès de l’organisme de rattachement de l’assurance maladie.
Les données seront enregistrées par les médecins généralistes, les enquêteurs sanitaires de l’assurance maladie et les ARS.
Données collectées :
• Identification et coordonnées des patients détectés positifs,
• Identification et coordonnées de leurs contacts rapprochés,
• Information si les patients et/ou leurs cas contacts fréquentent ou travaillent dans une collectivité sensible (crèche, école, établissement de santé et médico-social, établissement pénitentiaire),
• Présence d’éventuels signes cliniques évocateurs,
• Informations sur l’état de santé général des patients et leur potentiel besoin d’hébergement ou d’accompagnement social, pour déclencher des prises en charge adaptées à des publics fragiles.
Mise à jour à la suite de la décision du Conseil Constitutionnel n° 2020-800 DC du 11 mai 2020:
Le Conseil constitutionnel a jugé que, sauf à méconnaître le droit au respect de la vie privée, l’exigence de suppression des nom et prénoms des intéressés, de leur numéro d’inscription au répertoire national d’identification des personnes physiques et de leur adresse, dans les parties de ces traitements ayant pour finalité la surveillance épidémiologique et la recherche contre le virus, doit également s’étendre aux coordonnées de contact téléphonique ou électronique des intéressés.
S’agissant du champ des personnes susceptibles d’avoir accès à ces données à caractère personnel, sans le consentement de l’intéressé:Le Conseil a censuré comme méconnaissant le droit au respect de la vie privée la phrase dincluant dans ce champ les organismes qui assurent l’accompagnement social des intéressés. Il a en effet relevé que, s’agissant d’un accompagnement social qui ne relève pas directement de la lutte contre l’épidémie, rien ne justifie que l’accès aux données à caractère personnel traitées dans le système d’information ne soit pas subordonné au recueil du consentement des intéressés. les agents de ces organismes ne sont pas autorisés à communiquer les données d’identification d’une personne infectée, sans son accord exprès, aux personnes qui ont été en contact avec elle. En outre, et de manière plus générale, ces agents sont soumis aux exigences du secret professionnel.
Si-Dep
Cette base réunit l’ensemble des résultats de test de manière automatisée.
Le ministère des solidarités et de la santé est le responsable du traitement.
Les données seront remontées par plus de 600 laboratoires d’analyse publics et privés.
Données collectées :
• Données d’identification des personnes, les données de situation permettant aux agents de prioriser les appels par degré d’urgence : coordonnées postales, téléphoniques et électronique. Suis-je un professionnel de santé ? Est-ce que je vis dans un hébergement collectif ? Quelle est la date d’apparition de mes premiers symptômes ?
• Coordonnées des médecins responsables,
• Date du prélèvement et les résultats de l’examen.
Délibération n° 2020-051 du 8 mai 2020 portant avis de la CNIL l’avis de la CNIL sur le projet de décret encadrant les SI mis en œuvre pour le suivi des malades du COVID-19
La CNIL a demandé que le projet de décret soit précisé sur certains points, notamment pour encadrer plus précisément les données auxquelles aura accès chaque catégorie d’utilisateur des deux fichiers.
Elle a appelé à ce que le décret ne prévoit pas le recueil, sans autre précision, d’informations sur les « liens » existants entre un « patient 0 » et un « cas contact ».
Elle demande à ce que les enquêteurs et les autres personnes (personnels des laboratoires d’analyse, médecins et autres professionnels de santé, pharmaciens, chercheurs, etc.) appelées à utiliser le fichier soient formés de façon adaptée, et qu’un dispositif de traçabilité des consultations soit mis en place.
Plus de détails ici
Applications de suivi des contacts – STOP COVID
Avis du CEPD / EDPB sur les conditions d'utilisation des données de localisation et des solutions de recherche des contacts
Les demandes de recherche de contacts devrait être volontaires et ne devrait pas reposer sur la recherche de déplacements individuels mais plutôt sur des informations relatives à la proximité avec d’autres personnes.
Art.5,6 et 9 de la directive ePrivacy.
Les données de localisation collectées auprès des fournisseurs de communications électroniques ne peuvent être transmises aux autorités ou à d’autres tiers que si elles ont été anonymisées par le fournisseur ou, pour les données indiquant la position géographique du terminal qui ne sont pas des données relatives au trafic, avec le consentement préalable des utilisateurs.
Les dérogations aux droits et obligations prévus dans l’article 15 de la directive “vie privée et communications électroniques”, lorsqu’elles constituent une mesure nécessaire, appropriée et proportionnée dans une société démocratique pour certains objectifs spécifiques.
Concernant la réutilisation des données de localisation collectées par un prestataire de services de la société de l’information (par exemple, par le biais du système d’exploitation ou d’applications), elle ne peuvent être traitées ultérieurement qu’avec le consentement de la personne concernée ou sur la base du droit de l’Union ou d’un État membre qui constitue une mesure nécessaire et proportionnée, dans une société démocratique.
L’EDPB considère que les autorités sanitaires nationales pourraient être les responsables de traitements des applications de contacts.
Les applications ne devraient pas permettre l’identification directe des personnes et empêcher toute réidentification; les données collectées doivent rester sur le terminal de la personne.
L’utilisation de l’application doit se faire sur la base du volontariat mais l’accès aux données ne nécessite pas de consentement si ces données sont nécessaires à la fourniture du service explicitement requis par la personne concernée (ePrivacy directive).
La base légale du traitement (art.6 RGPD) pourrait être l’intérêt public.
Le traitement des données relatives à la santé est autorisé lorsque ce traitement est nécessaire pour des raisons d’intérêt public dans le domaine de la santé publique ou à des fins de soins de santé. Le traitement peut également être fondé sur un consentement explicite.
Enfin le RGPD permet également que les données de santé soient traitées à des fins de recherche scientifique ou à des fins statistiques.
Les algorithmes doivent être auditables et doivent être régulièrement examinés par des experts indépendants. Le code source de l’application doit être rendu public.On doit aussi pouvoir corriger les données et/ou les résultats des analyses ultérieures.
L’EDPB considère qu’une analyse d’impact sur la protection des données (AIPD) doit être effectuée avant de mettre en œuvre une telle application car le traitement est considéré comme susceptible de présenter un risque élevé (données sur la santé, grande échelle, surveillance systématique, utilisation d’une nouvelle solution technologique). L’EDPB recommande vivement la publication des AIPD.
Respect du principe de minimisation: La demande ne doit pas recueillir des informations sans rapport ou non nécessaires, telles que l’état civil, les identifiants de communication, les informations du répertoire des équipements, les messages, les journaux d’appels, les données de localisation, les identifiants d’appareils, etc.
Les données diffusées par les applications ne doivent comporter que des données uniques et pseudonymes des identifiants, générés par et spécifiques à l’application. Ces identifiants doivent être renouvelés régulièrement, à une fréquence compatible avec l’objectif d’endiguer la propagation du virus, et suffisante pour limiter le risque d’identification et de suivi physique des personnes.
La solution peut suivre une approche centralisée ou décentralisée.
Le serveurs doit uniquement collecter l’historique des contacts ou les pseudonymes d’un utilisateur diagnostiqué comme étant infecté par une autorité de santé. Le serveur doit conserver une liste de pseudonymes des utilisateurs infectés ou de leur historique de contact uniquement pendant le temps nécessaire pour informer les utilisateurs potentiellement infectés de leur exposition.Il ne doit pas collecter les adresses IP. Les logs du serveur doivent respecter le princpe de minimisation
Les données doivent être chiffrées suivant les règles de l’art, au repos et en transit.
La déclaration d’utilisateurs infectés par le COVID-19 sur l’application doit être soumise à une autorisation appropriée, par exemple au moyen d’un code à usage unique lié à un pseudonyme relatif à la personne infectée et lié à une station de test ou à un professionnel de la santé. Si la confirmation ne peut être obtenue de manière sûre, aucun traitement de données ne doit avoir lieu.
Les protocoles DP-3T et PEPP-PT
Le protocole PEPP-PT est un protocole centralisé:
PEPP-PT implique une génération des identifiants directement à partir du serveur central, qui est détenu par l’Etat.
Les risques spécifiques liés à la centralisation :
– Surveillance étatique
– Augmente le risque d’une attaque extérieur qui conduirait à une fuite des données
– Manque de transparence concernant le protocole
– Les règles préexistantes d’Apple et de Google en matière de Bluetooth n’autorisent pas le fonctionnement d’application reposant sur le protocole ROBERT (protocole utilisé par PEPP-PT)
Le protocole DP-3T est un protocole décentralisé:
Les identifiants éphémères sont générés par les téléphones des utilisateurs.
Risques spécifiques liés à la décentralisation :
Apple et Google (qui vont accueillir les applications via leur OS) utilisent ce protocole.
Avantages spécifiques à DP-3T (Serveur décentralisé) :
– Conçu pour empêcher la surveillance de masse par des organismes étatiques,
– Open source,
– Back end déjà en place (n’importe qui peut relire le code, soulever des interrogations et proposer des modifications/améliorations),
– Interruption sécurisée (n’importe qui peut quitter DP3T quand il le souhaite, DP3T sera arrêté une fois la pandémie terminée).
Application Stop Covid
Il s’agirait d’une application de « suivi de contacts » (ou « contact tracing »), et non de suivi des personnes exposées ou diagnostiquées positives au virus.
L’application mobile StopCovid doit permettre d’afficher une alerte si l’un des propriétaires des téléphones croisés dans les 14 derniers jours s’est signalé comme malade du Covid-19. Les utilisateurs de l’application doivent accorder un accès permanent à la fonction de bluetooth à l’application StopCovid. Elle n’utilise pas la géolocalisation.
La CNIL note que Stop Covid n’a pas pour objet d’organiser une prise de contact avec la personne alertée, de réaliser un suivi du nombre de personnes infectées ou d’identifier les zones dans lesquelles ces personnes se sont déplacées.
Le dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre mais la durée de mise en œuvre devra dépendre de son utilité réelle.
Pour en savoir plus sur l’avis de la CNIL du 24 avril et sur la délibération de la CNIL du 25 mai 2020
L’ANSSI quant à elle, a émis les recommandations suivantes :
– L’utilisation d’un coffre-fort électronique, matériel ou logiciel, pour protéger de manière robuste sur le serveur central, les informations pseudonymisées ;
– La mise en oeuvre d’une architecture sécurisée ;
– l’application de mesures de sécurité visant à se protéger des attaques informatiques de type DDOS ;
– L’utilisation de mécanismes d’audit de l’imputabilité et de la traçabilité des actions menées sur le système ;
– La réalisation d’audits et de contrôles de sécurité réalisés par l’ANSSI tout au long de la conception de l’application ainsi qu’un audit de type bug bounty ;
– La création d’un dispositif de gestion des vulnérabilités ;
– La mise en place d’un dispositif de détection des cyberattaques
– L’utilisation de l’algorithme de chiffrement SKINNY-64/192.
Retrouvez ici le décret du 29 mai 2020 relatif au traitement de données dénommé « StopCovid »