Covid-19 & Protection des données personnelles de santé

25/03/20
Covid-19 & Protection des données personnelles de santé

Dans le contexte de crise sanitaire que connait actuellement l’ensemble du monde, nombreuses sont les initiatives ou les réflexions pour la mise en place de mesures permettant d’enrayer la propagation du COVID-19. Ces mesures émanent tant d’organisations publiques que privées ou d’autorités étatiques. Elles impliquent souvent l’usage des nouvelles technologies et peuvent induire un profilage et/ou une surveillance des individus. A titre d’exemple, on peut citer, l’appel à contribution du commissaire européen chargé du marché intérieur, Thierry Breton, à l’attention des opérateurs télécoms pour fournir les données liées aux déplacements de leurs clients en vue de cartographier la propagation du Covid-19 et d’optimiser la répartition des ressources médicales. Dès lors, se pose la question des conditions dans lesquelles intervient le traitement des données personnelles et en particulier des données de santé des individus.

Cet article est l’occasion de revenir sur cette actualité et les grands principes à respecter en la matière, dans l’objectif de préserver l’équilibre nécessaire entre vie privée et sécurité.

 

Pratiquement toutes les autorités européennes de protection des données ont publié un communiqué sur le sujet:

  • L’EDPB a pris la parole au niveau européen :

https://edpb.europa.eu/our-work-tools/our-documents/other/statement-processing-personal-data-context-covid-19-outbreak_fr

  • Pour la France, la CNIL a publié ce communiqué (à destination des employeurs) :

https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles

  • L’organisme à but non lucratif NOYBEU (Non Of Your Business) a publié une page dédiée, centralisant les communiqués des autorités de protection européennes et synthétisant les règles de droit applicables :

https://gdprhub.eu/index.php?title=Data_Protection_under_COVID-19#United_Kingdom

 

Les points clés à retenir pour tout projet:

  • Les grands principes du RGPD doivent être respectés par l’ensemble des acteurs (privés ou publics), qu’il s’agisse des responsables de traitement ou à leur échelle, de leurs sous-traitants comme le prévoient les textes :
  • Licéité, loyauté, transparence : le traitement doit être licite (au regard des articles 6 et 9 du RGPD, voir ci-après) et les personnes doivent en être informées (articles 12, 13 et 14 du RGPD) ;
  • Limitation des finalités : les finalités doivent être déterminées, explicites et légitimes. Par exemple, si les données sont traitées par l’employeur aux fins de prévention des risques professionnels, elles ne peuvent l’être pour un autre objectif ;
  • Minimisation des données : seules les données strictement nécessaires pour atteindre une finalité déterminée doivent être collectées et utilisées ;
  • Exactitude : les données doivent être exactes et, au besoin, mises à jour. Comme le souligne NOYBEU, l’inexactitude des données en ce domaine peut avoir des conséquences particulièrement graves puisque le traitement peut mener à une limitation de la liberté de mouvement ou d’entreprendre, conditionner l’accès aux soins voire à une guérison ;
  • Limitation de la conservation : une fois la finalité accomplie, les données doivent être supprimées ou anonymisées pour des besoins de statistiques ou de recherche – n’oubliez pas que l’anonymisation est un traitement de données en tant que tel et qu’il est très strictement apprécié par la CNIL, en particulier pour les données de santé, puisqu’une fois anonymisées, les données ne sont plus protégées par le RGPD ;
  • Intégrité et confidentialité : des mesures doivent impérativement être mises en place pour assurer la sécurité des données (et ce, d’autant plus, que la période est propice aux cyber-attaques comme le révèle l’attaque récente portée contre les hôpitaux de Paris) ;
  • Respect des droits des personnes : les personnes doivent pouvoir exercer tout ou partie des droits dont elles bénéficient à l’égard d’un traitement (par exemple, le droit d’accéder aux informations détenues sur elles) ;
  • Privacy by design et privacy by default : tout projet doit être conçu dans une optique de protection de la vie privée en intégrant l’ensemble des principes à respecter (en particulier, la sécurité) ;
  • DPIA : malgré l’urgence, la réalisation d’une analyse d’impact est nécessaire lorsque, notamment, de larges volumes de données personnelles sensibles sont traités.
  • Coordination par le Data Protection Officer (DPO) s’il a été désigné ;
  • Tenue du registre des activités de traitement;
  • Contrats avec les sous-traitants respectant l’article 28 du RGPD ;
  • Attention aux garanties spécifiques à apporter pour les éventuels transferts de données hors UE.

 

Sur la licéité des traitements : les traitements de données personnelles incluant des données de santé nécessitent toujours une double base légale : l’article 6 du RGPD, d’une part, et l’article 9 du RGPD (et l’article 44 de la Loi Informatique et Libertés en France), d’autre part.

  • Au regard de l’article 6, les bases légales suivantes peuvent par exemple permettre de justifier le traitement selon le contexte :
    • Article 6.1.(d) du RGPD : « le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique» ;
    • Article 6.1.(e) du RGPD : « le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement» ;
    • Article 6.1.(f) du RGPD : « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, (…)».

 

  • S’agissant de l’article 9, les bases légales suivantes peuvent par exemple justifier le traitement selon le contexte[1]:
    • Article 9.2 (h) du RGPD: « le traitement est nécessaire aux fins de la médecine préventive (…), de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé (…) ».
    • Article 9.2.(i) du RGPD : « le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux (…) » ;
    • Article 9.2.(j) du RGPD : « le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, (…)».

 

  • Il est souligné que le considérant 46 du RGPD mentionne expressément les épidémies : « (…) Certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine».

Forts de leurs expertises multidisciplinaires, tous les avocats de notre société sont mobilisés pour aider les acteurs de la santé et de l’économie digitale à traverser cette période en mettant leur expertise au profit des soignants, des patients et des entrepreneurs publics ou privés.

 

 

 

De Gaulle Fleurance & Associés se mobilise pour les patients et les soignants !

Notre société d’avocats s’est mobilisée en apportant son soutien juridique en pro bono à une initiative collective de santé publique, le lancement de l’application Maladiecoronavirus.fr, disponible ici :

https://www.maladiecoronavirus.fr/.

 

Une alliance s’est formée autour de ce projet, avec notamment divers hôpitaux comme l’AP-HP, les CHU de Rennes, Lille et Angers, l’Institut Pasteur ou des entreprises comme Docapost, La Banque Postale Assurances, MesDocteurs, le groupe VYV, Allianz, AG2R ou encore AstraZeneca. La liste complète des partenaires à date est disponible ici : https://www.maladiecoronavirus.fr/partenaires. De nouveaux partenaires se sont mobilisés depuis le lancement.

 

Par un simple test individuel en ligne, cette application permet d’aider les patients à mieux réagir face à leurs symptômes, à mieux s’orienter ainsi que de soulager les soignants en désengorgeant le 15 et les urgences.

 

L’application est disponible sur le site du Ministère de la santé, qui l’a validée en la sélectionnant comme seule application de triage :

https://solidarites-sante.gouv.fr/soins-et-maladies/maladies/maladies-infectieuses/coronavirus/coronavirus-questions-reponses.

N’hésitez pas à faire le test et à partager ce lien autour de vous.

Et prenez soin de vous et de vos proches !

#restezchezvous

#Tech4good

[1] En droit français, la CNIL a mis en place une série de Méthodologies de Référence (MR) permettant de sécuriser certains traitements de données de santé dans le domaine de la recherche. Sous réserve d’en respecter strictement les conditions, un simple engagement de conformité en ligne permet de lancer le traitement, tandis que d’autres traitements devront démontrer leur intérêt public en obtenant une autorisation ad hoc de la CNIL.

 

To go further