La Commission européenne a récemment publié une recommandation visant à garantir des normes de protection des données complètes pour les applications de lutte contre la pandémie COVID-19, ainsi qu’une boîte à outils.
Ce document est l’un des nombreux documents récemment publiés par le Comité européen à la protection des données (CEPD) et la Commission sur ce sujet (ex: recommandations, lettre, communiqué de presse, etc.).
Avant d’entrer dans les détails de cette nouvelle recommandation, nous avons pensé qu’il serait utile de retracer l’historique de toutes les publications pertinentes de la Commission et du CEPD afin d’avoir une meilleure idée de la manière dont elles s’intègrent dans la stratégie des deux agences concernant les questions de protection de la vie privée dans le contexte de l’épidémie de COVID-19.
1. Comprendre la stratégie de la Commission européenne et du Conseil européen de la protection des données
1.1. Historique des publications
19 mars : le CEPD a adopté une déclaration sur le traitement des données personnelles dans le contexte de la pandémie COVID-19 (voir ici) qui a été suivi par des recommandations des autorités nationales de contrôle.
7 avril : le CEPD a adopté des mandats sur les sujets suivants :
- Mandat sur le traitement des données de santé à des fins de recherche dans le cadre de l’épidémie COVID-19 – 07/04/2020 ;
- Mandat sur la géolocalisation et autres outils de traçage dans le contexte de l’épidémie de COVID-19 – 07/04/2020
8 avril : La Commission a publié une recommandation relative à l’adoption d’une boîte à outils commune de l’Union pour l’utilisation des technologies et des données afin de combattre et de sortir de la crise COVID-19, en particulier en ce qui concerne les applications mobiles et l’utilisation de données anonymes sur la mobilité ;
14 avril : le CEPD a publié une lettre concernant sa révision de la recommandation de la Commission européenne publiée le 16 avril ;
15 avril : la Commission a publié la boîte à outils commune de l’UE ;
16 avril : la Commission a publié une recommandation visant à garantir des normes complètes de protection des données pour les applications de lutte contre la pandémie ;
17 avril : selon son communiqué de presse, le CEPD travaille toujours sur ses lignes directrices. Cependant, elle devrait publier dans les prochains jours des lignes directrices sur les outils de géolocalisation et de traçage dans le contexte de l’épidémie de COVID-19.
1.2. Notre compréhension de l’objectif de ces publications
Tous ces documents (par exemple, des lettres, des boîtes à outils ou des recommandations) traitent des questions de protection de la vie privée dans le contexte de l’épidémie de COVID-19. Par conséquent, on peut se demander quels documents devraient prévaloir et quel est l’objectif de publier tous ces documents dans un si court délai.
Nous croyons comprendre que, compte tenu de l’urgence, la Commission a réagi rapidement pour s’assurer que les États membres appliquent les mêmes normes de protection de la vie privée aux applications soutenant la lutte contre la pandémie COVID-19.
Toutefois, cette recommandation non contraignante ne fait que refléter la position de la Commission sur cette question et, même si elle est assez complète, sa portée est limitée à un certain type d’applications et de finalités (voir ci-dessous).
Jusqu’à présent, le CEPD a fourni des recommandations générales sur la manière dont les employeurs et les autorités publiques devraient traiter les données personnelles dans le contexte de la pandémie COVID-19 et a coopéré avec la Commission.
Les prochaines lignes directrices du CEPD devraient, pour être utiles, aborder des questions qui dépassent le cadre de la recommandation de la Commission, telles que l’utilisation des données à des fins de recherche, les applications non volontaires, la surveillance des quarantaines, etc.
2. Présentation de la dernière recommandation publiée par la Commission
2.1. Quels sont l’objectif et la portée de cette recommandation ?
Ce document non juridiquement contraignant définit les caractéristiques et les exigences en matière de protection de la vie privée auxquelles les applications développées pour lutter contre l’épidémie de COVID-19 doivent satisfaire pour se conformer au règlement général sur la protection des données (RGPD) et à la directive « Vie privée et communications électroniques ». Ce document complète la boîte à outils également publiée par la Commission.
Toutefois, la Commission a choisi de se concentrer uniquement sur les applications volontaires soutenant la lutte contre la pandémie de COVID 19 et comportant au moins une des fonctionnalités suivantes
- Service d’information (c’est-à-dire fournir des informations précises aux individus sur la pandémie COVID-19) ;
- Contrôleur de symptômes (c’est-à-dire questionnaires d’auto-évaluation et d’orientation des personnes) ;
- Fonctionnalité de recherche des contacts (« tracing ») et d’alerte (c’est-à-dire alerter les personnes qui ont été en contact avec une personne infectée pour leur fournir des informations telles que l’opportunité d’une mise en quarantaine et l’endroit où se faire tester) ;
- La télémédecine.
Sont donc exclues les applications visant à faire respecter les exigences de quarantaine.
En outre, la recommandation ne traite pas d’autres conditions telles que les limitations prévues par la législation des États membres en ce qui concerne le traitement des données relatives à la santé.
2.2. Pourquoi la Commission recommande-t-elle de n’utiliser que des applications volontaires ?
Si les États membres voulaient imposer l’utilisation d’une application impliquant l’application des droits de confidentialité des communications énoncés dans la directive « vie privée et communications électroniques », ils devraient adopter une loi qui soit nécessaire, appropriée et proportionnée pour protéger certains objectifs spécifiques.
Étant donné les défis et la complexité que cette approche implique, la Commission recommande l’utilisation d’applications volontaires.
2.3. Quand les personnes doivent-elles donner leur consentement ?
La Commission fournit des détails sur la manière d’obtenir le consentement de personnes concernées. Bien que le consentement des personnes ne soit pas la base légale recommandée pour le traitement des données à caractère personnel, les exigences de la Commission en matière de consentement sont similaires à celles prévues par le RGPD.
Par conséquent, l’installation de l’application sur l’appareil d’une personne doit être volontaire et celle-ci ne doit pas subir de conséquences négatives pour ne pas avoir téléchargé/utilisé l’application.
Un consentement spécifique est nécessaire pour chaque fonctionnalité (par exemple, les fonctionnalités d’information, de vérification des symptômes, de recherche des contacts et d’alerte).
Les données de proximité (c’est-à-dire les données générées par l’échange de signaux Bluetooth à faible énergie (BLE) entre des appareils situés à une distance et pendant une période épidémiologiquement pertinentes) doivent être stockées sur l’appareil et partagées avec les autorités sanitaires avec l’autorisation de la personne et sur confirmation qu’elle a été infectée par le COVID-19 ;
2.4. Quelle est la base juridique du traitement des données ?
Comme indiqué ci-dessus, même si l’installation et l’utilisation des applications sont volontaires, le consentement n’est pas la base juridique recommandée pour le traitement des données par les autorités sanitaires.
À cet égard et bien que leur approche diffère légèrement, la Commission et le CEPD sont d’avis que le droit et l’intérêt public constituent une base juridique plus appropriée pour le traitement des données à caractère personnel.
En effet, selon le CEPD, « lorsque les autorités publiques fournissent un service, sur la base d’un mandat attribué par la loi et conformément aux exigences fixées par celle-ci, la base juridique la plus pertinente pour le traitement est la nécessité d’exécuter une mission d’intérêt public. La promulgation de lois nationales, encourageant l’utilisation volontaire de l’application sans aucune conséquence négative pour les personnes qui ne l’utilisent pas, pourrait constituer une base juridique pour l’utilisation de l’application ».
Nous pensons que si la loi encourage l’utilisation volontaire des applications (c’est-à-dire que les personnes doivent accepter l’utilisation de chaque fonctionnalité), le traitement des données personnelles sur cette base devrait être conforme aux exigences relatives aux droits de l’homme et apporter une plus grande sécurité juridique aux autorités sanitaires.
Toutefois, la Commission rappelle que, comme l’exige la directive « vie privée et communications électroniques », l’utilisation de cookies ou de technologies équivalentes qui ne sont pas strictement nécessaires au fonctionnement des applications est soumise au consentement de la personne concernée (par exemple, lorsque les utilisateurs acceptent de télécharger des données de proximité).
2.5. Quelles sont les autres recommandations énoncées dans cette recommandation ?
La Commission fournit des recommandations spécifiques sur la manière de se conformer aux exigences du RGPD telles que la minimisation des données, le partage des données, le stockage des données mais aussi sur d’autres questions telles que l’interopérabilité entre les applications en fonctionnement dans les différents États membres.
En particulier, la recommandation prévoit ce qui suit :
- Les autorités sanitaires nationales devraient être les responsables du traitement chargés de veiller à la conformité des opérations de traitement avec les exigences de la GDPR, y compris la fourniture aux personnes d’un avis d’information (principe de responsabilité) ;
- La désactivation des applications devrait avoir lieu automatiquement au plus tard lorsque la pandémie est déclarée sous contrôle (c’est-à-dire qu’elle ne devrait pas dépendre de l’action de l’utilisateur) ;
- La Commission préfère l’utilisation de données de proximité aux données de géolocalisation qu’elle considère comme non pertinentes pour atteindre les objectifs en question ;
- Une Analyse d’impact (AIPD) est nécessaire car les opérations de traitement impliquent le traitement de données sensibles à grande échelle.
Cette publication est également disponible en en_GB.