La CNIL et la protection des données à caractère personnel face à la crise sanitaire du Covid-19 – Partie 2

Décret n°2020-1454 du 27 novembre 2020 ; Décret n°2020-1690 du 25 décembre 2020 ; Délibération n°2020-126 du 10 décembre 2020

Dans le contexte particulier de la crise sanitaire, la CNIL, autorité de contrôle française, est un acteur clé pour l’orientation tant des autorités publiques, que des professionnels et particuliers sur les enjeux relatifs à la protection des données à caractère personnel.

La CNIL publie et centralise de nombreux avis, fiches et recommandations thématiques relativement à la crise sanitaire du COVID-19. Si la lutte contre la propagation du virus s’illustre actuellement par le déploiement d’une campagne de vaccination à l’échelle nationale, celle-ci est également rendue effective par l’existence d’une application de traçage des cas contacts : l’application TousAntiCovid ayant succédé à l’application StopCovid.

Déployée par le gouvernement le 22 octobre 2020, cette application vise à faciliter l’information des personnes ayant été en contact avec une personne testée positive au COVID-19 et permet à ses utilisateurs d’être alertés et d’alerter les autres individus contacts ayant été exposés au virus. Tout comme l’application StopCovid, l’application TousAntiCovid repose sur une démarche volontaire des utilisateurs mais se distingue de la précédente en ce qu’elle propose des informations actualisées sur la circulation du virus ainsi que des liens vers d’autres outils numériques de lutte contre le COVID-19. 

Si cette nouvelle application n’était pas subordonnée à une saisine obligatoire de la CNIL, en l’absence de modifications substantielles du traitement de données personnelles, la CNIL précise qu’elle restera vigilante pour examiner et contrôler ses futures évolutions, et qu’elle devra être impérativement saisie en cas de modifications substantielles dudit traitement.

Il doit être rappelé que la CNIL s’est à plusieurs reprises prononcée en urgence en raison du caractère exceptionnel du contexte sanitaire. L’autorité de contrôle a en effet rendu deux avis relatifs à l’application StopCovid, le premier en date du 24 avril 2020 et relatif au principe de mise en œuvre de l’application, et le second en date du 25 mai 2020 relatif au projet de décret encadrant ladite application. Il doit être également noté que la CNIL rendait en urgence un avis le 8 mai 2020 sur la mise en œuvre de fichiers d’identification de personnes contaminées et de leurs cas contacts (fichiers SI-DEP et Contact Covid).

Dans le cadre du lancement de l’application TousAntiCovid, le gouvernement a opté pour l’envoi d’un SMS aux abonnés des opérateurs téléphoniques pour communiquer sur cette nouvelle application concomitamment à la réouverture des commerces. Cette opération de communication était réalisée dans le cadre du décret du 27 novembre 2020 lequel prévoit que l’opérateur prend les mesures nécessaires pour transmettre à ses utilisateurs les messages d’alerte et d’information des pouvoirs publics destinés au public pour atténuer les effets de la catastrophe sanitaire. Le gouvernement s’est alors directement adressé aux opérateurs de télécommunications qui se sont ensuite chargés d’acheminer le message gouvernemental à leurs propres abonnés.

Afin d’accompagner la campagne de vaccination, l’autorité de contrôle française a été saisie par le ministre des solidarités et de la santé. Cette saisine pour avis portait sur la création d’un traitement de données à caractère personnel ayant pour objet la gestion et le suivi des vaccinations contre le coronavirus. Ce traitement intitulé « Système d’information (SI) Vaccin Covid » poursuit pour finalités l’organisation de la campagne de vaccination, le suivi et l’approvisionnement en vaccins et consommables (seringues), la réalisation de recherches et le suivi de pharmacovigilance. Parmi les données collectées figurent des catégories particulières de données, telles que le numéro de sécurité sociale (NIR) ou encore des informations relatives aux critères d’éligibilité à la vaccination. De telles données sont tant protégées par la réglementation relative à la protection des données que par le secret médical.

De manière générale, il convient d’adopter la plus grande vigilance dans le déploiement des dispositifs destinés à la surveillance de la propagation du virus en raison du risque prononcé d’une atteinte aux libertés individuelles.

Pour lutter contre la propagation du COVID-19, sont apparus des dispositifs de caméras dites « intelligentes » ou thermiques. Ces dispositifs permettent notamment la prise de température automatique, la détection du port du masque ou encore le respect de la distanciation sociale. Dans ce contexte, la CNIL appelle à la plus grande vigilance et demande une analyse au cas par cas de ces dispositifs qui peuvent conduire à traiter des données sensibles sans recueillir préalablement le consentement des personnes concernées ou sans leur permettre d’exercer leur droit d’opposition. 

Enfin, il est à noter que la CNIL a également publié un certain nombre de recommandations thématiques destinées à accompagner l’ensemble des secteurs d’activités.

L’autorité de contrôle s’est ainsi adressée aux structures sportives souhaitant mettre en œuvre des dispositifs de limitation de propagation du virus et assurer la reprise de leurs activités. Il est rappelé que les relevés de température, les résultats aux tests virologiques et tout certificat médical constituent des données de santé. La CNIL indique que sauf en cas de recueil d’un consentement libre, spécifique, univoque et éclairé des personnes concernées, les structures sportives ne peuvent pas mettre en place de registres relatifs à la prise de température corporelle ou encore décider de pratiquer des tests virologiques préalables à l’organisation de manifestations sportives. Enfin, en l’absence de réglementation le prévoyant expressément, l’accès à une structure sportive ne peut être conditionnée à la production d’un test virologique négatif.

En raison de leur sensibilité, les données relatives à l’état de santé d’une personne sont en principe interdites et font l’objet d’une protection juridique particulière. L’autorité de contrôle rappelle que la collecte en dehors de toute prise en charge médicale de telles données doit être impérativement encadrée et respecter la réglementation relative à la protection des données.

Il est à noter que l’ensemble de ces recommandations est actualisé régulièrement au regard du contexte actuel inédit et s’accompagne de liens redirigeant vers des contenus exhaustifs de la CNIL et des autorités concernées pour chacune des thématiques abordées.

A rapprocher : Décret n°2020-1454 du 27 novembre 2020 modifiant le décret n° 2020-1310 du 29 octobre 2020 prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire ; Décret n°2020-1690 du 25 décembre 2020 autorisant la création d’un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19 ; Délibération n°2020-126 du 10 décembre 2020 portant avis sur un projet de décret autorisant la création d’un traitement de données à caractère personnel relatif à la gestion et au suivi des vaccinations contre le coronavirus SARS-CoV-2 (demande d’avis n°20020767) ; La collecte de données dans le cadre de la vaccination contre la Covid-19 : quelles garanties pour les personnes ? (CNIL, 30 déc. 2020) ; TousAntiCovid : le Gouvernement s’adresse aux abonnés des opérateurs téléphoniques (CNIL, 30 nov. 2020) ; Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs (CNIL, 23 sept. 2020) ; COVID-19 et pratiques sportives : quel cadre juridique pour la collecte de données de santé ? (CNIL, 14 oct. 2020) ; « TousAntiCovid » : la CNIL revient sur l’évolution de l’application « StopCovid » (CNIL, 23 oct. 2020) ; Application TousAntiCovid (site du gouvernement)

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…