Lors de sa 30e session plénière du 2 juin 2020, le Conseil européen de la protection des données (CEPD) a adopté :
– une déclaration sur les droits des personnes concernées en rapport avec l’état d’urgence dans les États membres ;
– une lettre en réponse à une lettre de l’Union des libertés civiles pour l’Europe, d’Access Now et de l’Union hongroise des libertés civiles (HCLU) concernant le décret 179/2020 du gouvernement hongrois du 4 mai.
Ces documents portent principalement sur les restrictions aux droits des personnes que les États membres peuvent adopter dans le contexte de la pandémie COVID-19, comme le permet l’article 23 du RGPD. Ils fournissent une première orientation/la position du CEPD quant à l’approche que les États membres devraient adopter lorsqu’ils prévoient de mettre en place de telles restrictions.
En outre, le CEPD a également annoncé qu’il publierai des lignes directrices sur la mise en œuvre de l’article 23 du RGPD dans les mois à venir.
Dans les documents adoptés lors de sa session pléniaire, le CEPD réaffirme que le RGPD demeure applicable et doit être respectée dans le contexte des mesures d’urgence, y compris la pandémie COVID-19. En effet, la loi sur la protection des données n’est pas un obstacle à la mise en œuvre des traitements de données qui contribuent à la lutte contre la COVID-19.
Il rappelle également que l’application des droits des personnes doit être la règle générale et les restrictions l’exception et précise les conditions dans lesquelles les restrictions doivent s’appliquer. Ainsi, ces restrictions devraient :
- être prévues « par la loi » et être suffisamment claires pour permettre aux citoyens de comprendre les conditions dans lesquelles les contrôleurs sont habilités à y recourir ;
- n’être appliquées que dans des circonstances limitées ;
- ne pas être générales, étendues ou intrusives au point de vider un droit fondamental de son contenu de base ;
- être prévisibles pour les personnes qui y sont soumises (par exemple, ils doivent être limités dans le temps, ne pas s’appliquer rétroactivement ou être soumis à des conditions indéfinies) ;
- respecter l’essence des droits et libertés fondamentaux et constituer une mesure nécessaire et proportionnée dans une société démocratique pour sauvegarder des objectifs importants d’intérêt public général de l’Union ou d’un État membre, tels que, notamment, la santé publique.
Le CEPD est d’avis que la simple existence d’une pandémie ou de toute autre situation d’urgence n’est pas une raison suffisante pour prévoir une quelconque restriction des droits des personnes concernées. Toutefois, l’état d’urgence, adopté dans un contexte de pandémie, peut légitimer des restrictions des droits des personnes concernées, pour autant que ces restrictions respectent les autres conditions énoncées ci-dessus et que les garanties prévues à l’article 23, paragraphe 2, du RGPD s’appliquent pleinement (c’est-à-dire que les dispositions légales doivent contenir des précisions telles que l’identification des responsables du traitement, les finalités des traitements, les garanties à mettre en œuvre, la durée de conservation, etc.
Si les restrictions adoptées par les États membres ne remplissent pas les conditions énoncées ci-dessus, en particulier si elles ne sont pas limitées dans le temps, elles ne respecteraient « de facto » pas l’essence des droits et libertés fondamentaux des personnes concernées.
