Comment garantir le respect du RGPD face à la collecte massive de données en temps de Covid ?
Le Règlement Général sur la Protection des Données (RGPD), qui est d’application depuis le 25 Mai 2018, renforce les règles en matière de protection des données à caractère personnel ainsi que les droits des individus en ce qui concerne leurs données. Le RGPD établit des principes de base pour la protection des données à caractère personnel qui s’appliquent directement aux organisations du secteur privé et du secteur public traitant des données à caractère personnel dans l’UE. En voici les principaux principes:
- Licéité : tout traitement de données à caractère personnel doit reposer sur une des bases juridiques prévues par le RGPD.
- Minimisation des données : les données à caractère personnel collectées doivent être limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
- Proportionnalité : le traitement de données à caractère personnel doit être adéquat, pertinent et non excessif au regard de la finalité qui est envisagée.
- Limitation des finalités : les données à caractère personnel ne peuvent en principe être traitées que pour la finalité pour laquelle elles ont été collectées.
- Durée de conservation : les données à caractère personnel ne peuvent être conservées que pendant la durée nécessaire à l’accomplissement des finalités pour lesquelles elles ont été collectées
- Sécurité et confidentialité des données : les acteurs qui effectuent le traitement de données à caractère personnel doivent prendre toutes les mesures techniques et organisationnelles appropriées afin de garantir la sécurité et la confidentialité des données, notamment pour prévenir un accès non autorisé à ces données.
- Principe de transparence : les personnes concernées doivent recevoir une information claire et complète quant aux traitements de leurs données.
Les principes de base du RGPD doivent aussi être respectés dans le cadre de la collecte de données à caractère personnel pour la lutte contre le COVID-19, que ce soit pour la prise de mesures sanitaires préventives ou bien pour respecter une obligation imposée par des lois nationales des États membres de l’UE. Ainsi, les ingérences dans la vie privée des personnes ne sont admissibles que si elles sont nécessaires et proportionnées à la réalisation de l’objectif d’intérêt général qu’est la lutte contre la propagation du virus.
Il convient de souligner que le RGPD garantit un niveau de protection plus élevé pour le traitement de données sensibles, telles que les données relatives à la santé, car leur
traitement peut entraîner des risques significatifs pour les personnes concernées.
Le contrôle de la mise en œuvre du RGPD relève de la compétence des autorités
nationales, en particulier des autorités de contrôle de la protection des données, ainsi que des tribunaux. En conséquence, chaque personne concernée, qui pense que le traitement de ses données enfreint le RGPD, peut s’adresser à l’autorité de contrôle de la protection des données de son pays et exiger une réparation devant un tribunal national. En France, l’autorité de contrôle de la protection des données est la Commission Nationale de l’Informatique et des Libertés (CNIL).
Le rôle de la Commission européenne est de promouvoir une application harmonisée des règles du RGPD au sein des États membres de l’UE. Concrètement dans le contexte du COVID-19, la Commission européenne a adopté le 16 avril 2020 des Orientations sur les applications soutenant la lutte contre la pandémie de COVID-19 en ce qui concerne la protection des données. Ces Orientations énoncent une série de principes, notamment en ce qui concerne le caractère volontaire de l’utilisation des applications mobiles de traçage, l’utilisation de données Bluetooth and non de données de localisation beaucoup plus intrusives sur le plan de la vie privée ou la durée de conservation limitée des données.
D’autre part, les États membres de l’UE, avec le soutien de la Commission européenne, ont développé une Boîte à outils commune au niveau de l’UE pour l’utilisation d’applications mobiles de traçage de contacts et d’alerte en réponse à la pandémie de COVID-19.
Enfin, les autorités de contrôle de la protection des données réunies au sein du Comité Européen de la Protection des Données, ont publié le 21 avril des lignes directrices sur la géolocalisation et relatives à l’utilisation de données de localisation et d’outils de recherche de contacts dans le cadre de la pandémie de COVID-19.
L’objectif poursuivi au travers de ces initiatives est que les individus gardent le contrôle de leurs données. C’est en effet une condition essentielle pour garantir la confiance des citoyens dans ces applications, et donc l’efficacité de ces dernières pour contenir la propagation du virus. Il est ainsi essentiel d’identifier les solutions les moins intrusives et qui respectent pleinement les exigences de protection des données personnelles et de confidentialité telles que définies dans le droit de l’Union européenne.