Suite à la publication de la recommandation et de la boîte à outils de la Commission Européenne sur l’utilisation des technologies de traçage des contacts pour soutenir la lutte contre la pandémie de COVID-19, le Comité Européen à la Protection des Données (CEPD) a publié deux nouvelles lignes directrices relatives à l’épidémie de COVID-19 et concernant :
– l’utilisation des données de localisation et des outils de recherche des contacts ; et
– le traitement des données sanitaires à des fins de recherche dans le cadre de l’épidémie de COVID-19.
Dans l’ensemble, les nouvelles lignes directrices de l’EDPB sont conformes et ne vont pas au-delà de la recommandation de la Commission Européenne sur l’utilisation des outils de recherche des contacts (voir ici). Toutefois, elle fournit son analyse sur l’utilisation des données de localisation (1) et les conditions applicables au traitement des données personnelles pour la recherche scientifique dans le contexte de la pandémie (2).
1. Lignes directrices sur l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de l’épidémie de COVID-19
1.1. Conditions de traitement et d’anonymisation des données de localisation
Traitement des données de localisation
La collecte de données de localisation peut avoir lieu (i) lorsque les fournisseurs de services de communication électronique (tels que les opérateurs de télécommunications mobiles) fournissent leur service ou (ii) lorsque des particuliers utilisent des applications fournies par des organisations et dont la fonctionnalité nécessite l’utilisation de données de localisation (par exemple, des services de navigation, de transport, etc.)
Les fournisseurs de services de communications électroniques ne peuvent transmettre des données de localisation aux autorités que sous forme anonyme ou avec le consentement de la personne concernée.
Les fournisseurs d’applications ont besoin du consentement des personnes si les informations sont collectées directement à partir du terminal des utilisateurs grâce l’utilisation de cookies qui ne sont pas strictement nécessaires à la fourniture du service demandé.
Le consentement est également nécessaire pour la réutilisation des données de localisation à de nouvelles fins telles que la modélisation.
Toutefois, le CEPD rappelle que l’article 15 de la directive « vie privée et communications électroniques » prévoit que des dérogations sont possibles lorsqu’elles constituent une mesure nécessaire, appropriée et proportionnée dans une société démocratique pour atteindre certains objectifs. Contrairement à la Commission, elle ne donne pas sa position ou sa recommandation sur l’application de cet article.
Anonymisation des données de localisation
Même si le RGPD ne s’applique pas aux données anonymisées, le CEPD souligne le fait que l’anonymisation des données de localisation est très difficile et, souvent confondue avec la pseudonymisation.
À cet égard, le CEPD énonce les grands principes permettant d’évaluer la robustesse des techniques d’anonymisation utilisées (c’est-à-dire l’identification, le lien (avec un autre fichiers) et la déduction (d’autres informations).
1.2. Utilisation des outils de suivi des contacts (« contact tracing »)
Comme la Commission Européenne, le CEPD considère que la surveillance systématique et à grande échelle de la localisation et/ou des contacts entre personnes physiques constitue une grave intrusion dans leur vie privée.
En conséquence, elle prévoit que :
- Les personnes devraient avoir le choix de télécharger et d’utiliser chacune des fonctionnalités des applications pour légitimer l’utilisation de cette technologie ;
- Toutefois, la base légale la plus pertinente pour le traitement est la nécessité d’exécuter une tâche dans l’intérêt public. Cette base légale doit être établie par le droit de l’Union ou des États membres auquel le responsable du traitement est soumis et doit fournir des détails et des garanties, y compris une référence à la nature volontaire de l’application ;
- Le ou les responsables du traitement des applications peuvent être les autorités sanitaires nationales ;
- Les objectifs de la demande doivent être suffisamment spécifiques pour exclure tout traitement ultérieur à des fins non liées à la gestion de la crise sanitaire COVID (par exemple, à des fins commerciales ou répressives) ;
- Les responsables du traitement doivent traiter des données de proximité plutôt que des données de localisation, ces dernières n’étant pas nécessaires pour ces activités de traitement.
En ce qui concerne les questions techniques et la minimisation des données, le CEPD suggère que :
- les responsables du traitement mettent en œuvre des mesures appropriées pour empêcher la réidentification des personnes, les données pseudonymisées étant suffisantes ;
- les informations collectées soient conservées sur l’équipement terminal des utilisateurs et ne soient transmises aux responsables du traitement que lorsque cela est nécessaire.
En outre, CEPD considère que le recours à système décentralisé est moins intrusif que le recours à système centralisé (via un serveur central). Toutefois, il souligne également que la première solution empêcherait les responsables du traitement d’accéder à des informations anonymisées qui pourraient être nécessaires à d’autres fins.
2. Utilisation de données personnelles à des fins de recherche et scientifiques dans le cadre de l’épidémie de COVID-19
Dans le contexte de l’épidémie de COVID-19, les États membres et les entreprises privées du monde entier peuvent avoir besoin de traiter des données personnelles pour mener des recherches scientifiques.
2.1. Que signifie « traiter des données relatives à la santé pour la recherche scientifique » ?
Par « données relatives à la santé », on entend « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur son état de santé ».
Le terme « recherche scientifique », devrait, selon le CEPD, signifier « un projet de recherche mis en place selon des normes méthodologiques et éthiques pertinentes liées au secteur, conformément aux bonnes pratiques ».
2.2. Bases juridiques du traitement des données relatives à la santé pour la recherche scientifique
Lorsque la recherche scientifique est l’une des finalités premières du traitement des données (c’est-à-dire que la recherche scientifique fait partie du plan initial au moment de la collecte des données), les responsables du traitement peuvent :
– traiter des données à caractère personnel sur la base du consentement des personnes concernées, de leur intérêt légitime ou d’une mission d’intérêt public ;
– traiter des données relatives à la santé sur la base du consentement explicite des personnes, une tâche d’intérêt public dans le domaine de la santé publique ou l’archivage dans l’intérêt public, à des fins scientifiques ou historiques.
Toutefois, l’inconvénient du consentement est que les utilisateurs peuvent le retirer à tout moment, ce qui implique la suppression de leurs données.
C’est pourquoi le CEPD recommande aux États membres de fonder leur traitement sur les autres bases légales exposées ci-dessus, en particulier celles fondées sur l’intérêt public, et d’adopter la législation nécessaire pour fixer les conditions de traitement des données.
Lorsque la recherche scientifique est une finalité secondaire du traitement, il existe une présomption que cette finalité soit compatible avec la finalité primaire et n’oblige pas les responsables du traitement à se fonder sur une base juridique supplémentaire pour traiter les données. Toutefois, le CEPD abordera la question complexe de la compatibilité dans des lignes directrices spécifiques qui seront publiées plus tard dans l’année.
2.3. Notice d’information et droits des personnes
Dans le cas où les données ne sont pas collectées directement auprès des personnes, le responsable du traitement doit délivrer la notice d’information dans un délai raisonnable avant la mise en œuvre du nouveau projet de recherche.
Selon le CEPD, dans certaines circonstances, les responsables du traitement peuvent invoquer les exemptions prévues à l’article 14 du RGPD (par exemple, si cela implique un effort disproportionné ou si l’obtention ou la divulgation des données est expressément prévue par la loi). Toutefois, les responsables du traitement doivent être en mesure de prouver que ces conditions leur sont applicables.
En outre, la loi nationale peut prévoir des restrictions aux droits des personnes concernées conformément à l’article 89 du RGPD.
2.4. Transferts internationaux de données
En principe, les responsables du traitement doivent mettre en place un mécanisme de transfert (par exemple, décision d’adéquation, RCB, clauses types de l’UE, etc.) lorsqu’ils transfèrent des données à caractère personnel en dehors de l’EEE.
Toutefois, la nature de la crise COVID-19 peut justifier que les responsables du traitement fondent leurs transferts internationaux de données sur le consentement explicite des personnes ou sur les dérogations d’intérêt public prévues à l’article 49 du RGPD.
Néanmoins, ces dérogations ne s’appliquent pas aux transferts répétitifs de données vers des pays tiers effectués dans le cadre d’un projet de recherche de longue durée.
Cette publication est également disponible en en_GB.