GDPR & COVID-19 Insight

A date du 7 mai 2020, les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées.
Aucun test sérologique n’est autorisé.
Les entreprises peuvent organiser un contrôle de la température des personnes entrant sur leur site. Ces mesures peuvent faire l’objet de la procédure relative à l’élaboration des notes de service valant adjonction au règlement intérieur prévue à l’article L. 1321-5 du code du travail qui autorise une application immédiate des obligations relatives à la santé et à la sécurité. Ces contrôles doivent être destinés à la seule vérification de la température à l’entrée d’un site au moyen d’un thermomètre (par exemple de type infrarouge sans contact), sans qu’aucune trace ne soit conservée, sans qu’aucun fichier des données de température ne soit constitué, ni qu’aucune autre opération ne soit effectuée (relevés de ces températures, remontées d’informations, etc.).
Le salarié est en droit de le refuser.
Les opérations de captation automatisées de température au moyen d’outils tels que des caméras thermiques dont interdites.
Si la situation sanitaire exige la collecte de données de santé, l’employeur doit uniquement collecter les données qui sont sollicitées par les autorités sanitaires compétentes.

L’identité des personnes concernées ne doit pas être divulguée aux autres salariés “sans justification claire”.Pour en savoir plus ici (CNIL) et ici (Gouvernement)

Le CEPD (EDPB) a émis des lignes directrices sur le traitement de données personnelles dans le contexte du Covid-19 Disponibles ici

ITALIE:L’autorité Italienne de protection des données a diffusé une FAQ Disponible en anglais ici

POLOGNE:

L’autorité de protection des données indique que le traitement des données de santé des employés et des visiteurs, en mesurant la température ou via un questionnaire sur les symptômes d’une maladie est possible. Disponible en polonais ici

ESPAGNE:

Déclaration sur les contrôles de température des personnes à l’entrée des lieux de travail, des magasins et autres types d’établissements. Disponible ici en espagnol

BELGIQUE:

L’APD a émis des lignes directrices et une FAQ sur “COVID-19 et traitement de données à caractère personnel sur le lieu de travail”. Elle rappelle notamment que si les prises de température ne s’accompagnent pas d’un enregistrement ou d’un traitement de données personnelles, le RGPD ne s’applique pas. Disponible ici

LUXEMBOURG:

La CNPD a publié des recommandations, sans préjudice d’éventuelles mesures étatiques plus contraignantes. Disponible ici

IRLANDE:

L’autorité irlandaise a émis des lignes directrices et une FAQ. L’autorité encourage les organisations qui auraient des difficultés à répondre aux demandes d’exercice des droits dans le délai d’un mois à utiliser la possibilité de proroger ledit délai de deux mois supplémentaires en cas de demande complexe; par ailleurs elle propose aux organisations de répondre en plusieurs étapes. Disponible ici

PAYS-BAS :
La loi de protection des données ne s’applique pas si la température n’est pas enregistrée et dans un système automatisé. Cependant il peut y avoir une atteinte à la vie privée et aux droits fondamentaux, tels que l’intégrité du corps. Disponible ici

ROYAUME-UNI:

L’ICO a publié une page sur “tout ce qu’il faut savoir sur la protection des données et le coronavirus”: L’autorité précise notamment qu’elle ne pénalisera pas les organisations pendant cette période et informera les personnes concernées qu’elles pourront subir des retards dans le traitement de leurs demandes.

Disponible ici

L’ICO a aussi publié un blog sur les traitements de données personnelles par les groupes communautaires venant en aide aux personnes durant la pandémie.

Disponible ici

Enfin, l’ICO indique que les organisations qui procèdent à des tests et traitent des informations sur la santé, doivent mener une analyse d’impact sur la protection des données. Voir ici

Deux types de registres nominatifs, intégrés dans des dispositifs d’alerte et d’information des populations, peuvent légalement être établis au sein des communes.L’inscription sur ces registres doit résulter d’une démarche volontaire, émanant de la personne concernée ou d’un tiers agissant pour son compte et sous réserve du droit d’opposition de la personne concernée.
L’utilisation de fichiers préexistants ne peut servir qu’à procéder à l’information des personnes sur l’existence du registre.

– Registre relatif au « plan départemental d’alerte et d’urgence au profit des personnes âgées et handicapées en cas de risques exceptionnels »:
La finalité exclusive de ce traitement porte sur l’organisation de contacts périodiques avec les personnes inscrites afin de leur apporter les conseils et l’assistance nécessaires.
Le maire n’a pas à exiger de pièces justificatives de l’appartenance à l’une ou l’autre des catégories cibles.

– Registre relatif au « plan communal de sauvegarde »:
Le recueil d’informations relatives à l’état de santé des personnes, aux conditions de vie et éventuelles difficultés sociales devra être strictement limité aux fins d’assurer une prise en charge adéquate et optimale.

-Le fichier de communication municipale: peut être utilisé pour fournir toute indication utile sur les actions menées par la collectivité pour protéger sa population dans le cadre de la gestion de la crise.
-Les registres communaux d’information et d’alerte des populations: il speuvent être utilisées par les personnes habilitées à en connaître pour renseigner personnellement les intéressés sur les modalités d’obtention d’un masque de protection.

-Le fichier de la taxe d’habitation : il peut être utilisé pour la distribution des masques (ex. livraison à domicile)

-Les listes électorales: peuvent servir pour adresser aux administrés des courriers d’information sur les modalités de mise en œuvre des opérations de distribution de masques.
-Avec le consentement des personnes, les fichiers de partenaires institutionnels: pour donner des informations liées à la gestion de crise sanitaire en lien avec la finalité de ceux-ci

Pour en savoir plus

Concernant les outils numériques de télésurveillance afin d’organiser des examens à distance:

La CNIL rappelle que l’étudiant doit notamment se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. Dans ces conditions, le consentement comme base légale peut difficilement être retenu pour les traitements de surveillance des examens organisés et surveillés en ligne.
L’établissement peut s’appuyer sur une autre base légale, telle que l’exécution d’une mission d’intérêt public qui peut être utilisée tant par les universités que par les établissements privés d’enseignement supérieur, dès lors qu’ils poursuivent une mission d’intérêt public.

Traitements qui ne sont pas disproportionnés :
– la surveillance vidéo en temps réel pendant la durée de l’examen ;
– la prise de photographies ou de flux vidéo ou sons de manière ponctuelle ou aléatoire.
Traitement qui sont à priori disproportionnés au regard de la finalité poursuivie :
– les dispositifs de surveillance permettant de prendre le contrôle à distance de l’ordinateur personnel de l’étudiant (notamment pour vérifier l’accès aux courriels ou aux réseaux sociaux) ;
-les dispositifs de surveillance reposant sur des traitements biométriques (exemple : reconnaissance faciale via une webcam).

Dès lors que le dispositif de télésurveillance est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées », une analyse d’impact relative à la protection des données (AIPD) devra être réalisée, en particulier, en cas d’utilisation de technologies innovantes telles que le recours à l’oculométrie (eye tracking), à des algorithmes et à l’intelligence artificielle.
Pour en savoir plus notamment sur les obligations de sécurité

Décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire.

Base de données recensant pour chaque personne détectée positive, l’ensemble de ses contacts rapprochés.

L’identité de la personne infectée ne sera communiquée à ses cas « contacts » qu’avec son consentement.

L’assurance maladie est le responsable de traitement. Les personnes pourront exercer leurs droits auprès de l’organisme de rattachement de l’assurance maladie.

Les données seront enregistrées par les médecins généralistes, les enquêteurs sanitaires de l’assurance maladie et les ARS.

Données collectées :

• Identification et coordonnées des patients détectés positifs,

• Identification et coordonnées de leurs contacts rapprochés,

• Information si les patients et/ou leurs cas contacts fréquentent ou travaillent dans une collectivité sensible (crèche, école, établissement de santé et médico-social, établissement pénitentiaire),

• Présence d’éventuels signes cliniques évocateurs,

• Informations sur l’état de santé général des patients et leur potentiel besoin d’hébergement ou d’accompagnement social, pour déclencher des prises en charge adaptées à des publics fragiles.

Mise à jour à la suite de la décision du Conseil Constitutionnel n° 2020-800 DC du 11 mai 2020:

Le Conseil constitutionnel a jugé que, sauf à méconnaître le droit au respect de la vie privée, l’exigence de suppression des nom et prénoms des intéressés, de leur numéro d’inscription au répertoire national d’identification des personnes physiques et de leur adresse, dans les parties de ces traitements ayant pour finalité la surveillance épidémiologique et la recherche contre le virus, doit également s’étendre aux coordonnées de contact téléphonique ou électronique des intéressés.

S’agissant du champ des personnes susceptibles d’avoir accès à ces données à caractère personnel, sans le consentement de l’intéressé:Le Conseil a censuré comme méconnaissant le droit au respect de la vie privée la phrase dincluant dans ce champ les organismes qui assurent l’accompagnement social des intéressés. Il a en effet relevé que, s’agissant d’un accompagnement social qui ne relève pas directement de la lutte contre l’épidémie, rien ne justifie que l’accès aux données à caractère personnel traitées dans le système d’information ne soit pas subordonné au recueil du consentement des intéressés. les agents de ces organismes ne sont pas autorisés à communiquer les données d’identification d’une personne infectée, sans son accord exprès, aux personnes qui ont été en contact avec elle. En outre, et de manière plus générale, ces agents sont soumis aux exigences du secret professionnel.

Pour en savoir plus

Cette base réunit l’ensemble des résultats de test de manière automatisée.

Le ministère des solidarités et de la santé est le responsable du traitement.

Les données seront remontées par plus de 600 laboratoires d’analyse publics et privés.

Données collectées :

• Données d’identification des personnes, les données de situation permettant aux agents de prioriser les appels par degré d’urgence : coordonnées postales, téléphoniques et électronique. Suis-je un professionnel de santé ? Est-ce que je vis dans un hébergement collectif ? Quelle est la date d’apparition de mes premiers symptômes ?

• Coordonnées des médecins responsables,

• Date du prélèvement et les résultats de l’examen.

La CNIL a demandé que le projet de décret soit précisé sur certains points, notamment pour encadrer plus précisément les données auxquelles aura accès chaque catégorie d’utilisateur des deux fichiers.
Elle a appelé à ce que le décret ne prévoit pas le recueil, sans autre précision, d’informations sur les « liens » existants entre un « patient 0 » et un « cas contact ».
Elle demande à ce que les enquêteurs et les autres personnes (personnels des laboratoires d’analyse, médecins et autres professionnels de santé, pharmaciens, chercheurs, etc.) appelées à utiliser le fichier soient formés de façon adaptée, et qu’un dispositif de traçabilité des consultations soit mis en place.
Plus de détails ici

Les demandes de recherche de contacts devrait être volontaires et ne devrait pas reposer sur la recherche de déplacements individuels mais plutôt sur des informations relatives à la proximité avec d’autres personnes.

Art.5,6 et 9 de la directive ePrivacy.

Les données de localisation collectées auprès des fournisseurs de communications électroniques ne peuvent être transmises aux autorités ou à d’autres tiers que si elles ont été anonymisées par le fournisseur ou, pour les données indiquant la position géographique du terminal qui ne sont pas des données relatives au trafic, avec le consentement préalable des utilisateurs.

Les dérogations aux droits et obligations prévus dans l’article 15 de la directive “vie privée et communications électroniques”, lorsqu’elles constituent une mesure nécessaire, appropriée et proportionnée dans une société démocratique pour certains objectifs spécifiques.

Concernant la réutilisation des données de localisation collectées par un prestataire de services de la société de l’information (par exemple, par le biais du système d’exploitation ou d’applications), elle ne peuvent être traitées ultérieurement qu’avec le consentement de la personne concernée ou sur la base du droit de l’Union ou d’un État membre qui constitue une mesure nécessaire et proportionnée, dans une société démocratique.

L’EDPB considère que les autorités sanitaires nationales pourraient être les responsables de traitements des applications de contacts.

Les applications ne devraient pas permettre l’identification directe des personnes et empêcher toute réidentification; les données collectées doivent rester sur le terminal de la personne.

L’utilisation de l’application doit se faire sur la base du volontariat mais l’accès aux données ne nécessite pas de consentement si ces données sont nécessaires à la fourniture du service explicitement requis par la personne concernée (ePrivacy directive).

La base légale du traitement (art.6 RGPD) pourrait être l’intérêt public.

Le traitement des données relatives à la santé est autorisé lorsque ce traitement est nécessaire pour des raisons d’intérêt public dans le domaine de la santé publique ou à des fins de soins de santé. Le traitement peut également être fondé sur un consentement explicite.

Enfin le RGPD permet également que les données de santé soient traitées à des fins de recherche scientifique ou à des fins statistiques.

Les algorithmes doivent être auditables et doivent être régulièrement examinés par des experts indépendants. Le code source de l’application doit être rendu public.On doit aussi pouvoir corriger les données et/ou les résultats des analyses ultérieures.

L’EDPB considère qu’une analyse d’impact sur la protection des données (AIPD) doit être effectuée avant de mettre en œuvre une telle application car le traitement est considéré comme susceptible de présenter un risque élevé (données sur la santé, grande échelle, surveillance systématique, utilisation d’une nouvelle solution technologique). L’EDPB recommande vivement la publication des AIPD.

Respect du principe de minimisation: La demande ne doit pas recueillir des informations sans rapport ou non nécessaires, telles que l’état civil, les identifiants de communication, les informations du répertoire des équipements, les messages, les journaux d’appels, les données de localisation, les identifiants d’appareils, etc.

Les données diffusées par les applications ne doivent comporter que des données uniques et pseudonymes des identifiants, générés par et spécifiques à l’application. Ces identifiants doivent être renouvelés régulièrement, à une fréquence compatible avec l’objectif d’endiguer la propagation du virus, et suffisante pour limiter le risque d’identification et de suivi physique des personnes.

La solution peut suivre une approche centralisée ou décentralisée.

Le serveurs doit uniquement collecter l’historique des contacts ou les pseudonymes d’un utilisateur diagnostiqué comme étant infecté par une autorité de santé. Le serveur doit conserver une liste de pseudonymes des utilisateurs infectés ou de leur historique de contact uniquement pendant le temps nécessaire pour informer les utilisateurs potentiellement infectés de leur exposition.Il ne doit pas collecter les adresses IP. Les logs du serveur doivent respecter le princpe de minimisation

Les données doivent être chiffrées suivant les règles de l’art, au repos et en transit.
La déclaration d’utilisateurs infectés par le COVID-19 sur l’application doit être soumise à une autorisation appropriée, par exemple au moyen d’un code à usage unique lié à un pseudonyme relatif à la personne infectée et lié à une station de test ou à un professionnel de la santé. Si la confirmation ne peut être obtenue de manière sûre, aucun traitement de données ne doit avoir lieu.

Lignes directrices 04/2020 accessibles ici

Le protocole PEPP-PT est un protocole centralisé:

PEPP-PT implique une génération des identifiants directement à partir du serveur central, qui est détenu par l’Etat.

Les risques spécifiques liés à la centralisation :

– Surveillance étatique

– Augmente le risque d’une attaque extérieur qui conduirait à une fuite des données

– Manque de transparence concernant le protocole

– Les règles préexistantes d’Apple et de Google en matière de Bluetooth n’autorisent pas le fonctionnement d’application reposant sur le protocole ROBERT (protocole utilisé par PEPP-PT)

Le protocole DP-3T est un protocole décentralisé:

Les identifiants éphémères sont générés par les téléphones des utilisateurs.

Risques spécifiques liés à la décentralisation :

Apple et Google (qui vont accueillir les applications via leur OS) utilisent ce protocole.

Avantages spécifiques à DP-3T (Serveur décentralisé) :

– Conçu pour empêcher la surveillance de masse par des organismes étatiques,

– Open source,

– Back end déjà en place (n’importe qui peut relire le code, soulever des interrogations et proposer des modifications/améliorations),

– Interruption sécurisée (n’importe qui peut quitter DP3T quand il le souhaite, DP3T sera arrêté une fois la pandémie terminée).

Il s’agirait d’une application de « suivi de contacts » (ou « contact tracing »), et non de suivi des personnes exposées ou diagnostiquées positives au virus.

L’application mobile StopCovid doit permettre d’afficher une alerte si l’un des propriétaires des téléphones croisés dans les 14 derniers jours s’est signalé comme malade du Covid-19. Les utilisateurs de l’application doivent accorder un accès permanent à la fonction de bluetooth à l’application StopCovid. Elle n’utilise pas la géolocalisation.

Stop Covid fonctionne sous les systèmes d’exploitation Android et iOS, elle repose sur le protocole ROBERT et nécessite un serveur central. Ce serveur doit vérifier s’il existe une concordance entre les pseudonymes attribués, lors de son installation, à l’application de cet utilisateur et ceux ayant été transmis au serveur central par l’application d’une autre personne reconnue comme positive. L’architecture du dispositif tend à ne faire remonter au serveur central que les pseudonymes générés par les applications associées aux personnes avec lesquelles un individu infecté a été en contact.

La CNIL note que Stop Covid n’a pas pour objet d’organiser une prise de contact avec la personne alertée, de réaliser un suivi du nombre de personnes infectées ou d’identifier les zones dans lesquelles ces personnes se sont déplacées.
Le dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre mais la durée de mise en œuvre devra dépendre de son utilité réelle.

Pour en savoir plus sur l’avis de la CNIL du 24 avril et sur la délibération de la CNIL du 25 mai 2020