Introduction
Dès le début de la pandémie du coronavirus en mars 2020, les gouvernements, les organisations publiques , les entreprises et associations en Europe et au-delà ont pris des mesures pour enrayer et atténuer la prolifération de la COVID-19. La collecte et le traitement de données personnelles ont constitué un aspect important dans ce contexte, y inclus l’identification des cas positifs, le traçage des personnes à haut risque et le suivi du programme de vaccination mis en œuvre.
Reste impressionnant le fait que, pendant la crise sanitaire la plus grave vécue de mémoire d’homme, les organismes qui traitaient les données personnelles en relation avec la COVID-19 consacraient du temps et des efforts considérables pour veiller à ce que ce travail fut achevé de façon transparente et consciencieuse dans le respect de la vie privée des personnes concernées.
La CNPD tient à saluer ces efforts ; en même temps, force est de constater qu’il y a eu des incidents où certaines lacunes en termes de protection des données ont pu être observées. La Commission nationale souhaite donc saisir cette occasion pour revenir sur la période en question sous l’angle des pratiques de protection des données personnelles et de la vie privée.
La CNPD a effectué son rôle pour assurer que le déploiement des mesures prises se fasse conformément aux règles portant sur la protection des données, intervenant à plusieurs niveaux de la société. La Commission nationale a notamment conseillé rapidement la Chambre des députés et le Gouvernement par le biais de ses avis sur les projets de loi COVID-19 successifs, a régulièrement mis à jour ses recommandations destinées à orienter les professionnels dans la poursuite de leurs activités et a répondu aux questions des citoyens sur leurs droits en la
matière.
Compte tenu du caractère inédit de la situation, et particulièrement de l’évolution rapide du contexte sanitaire et des conditions juridiques, la CNPD a pris la décision de ne pas sanctionner les manquements à la protection des données constatés dans le cadre du traitement et/ou de la prévention de la propagation de la COVID-19. En revanche, la Commission nationale a mis l’accent sur l’information des procédures appropriées de traitement des données personnelles, et notamment médicales, dans un esprit de sensibilisation et de transparence.
Le présent document se concentre sur les observations faites par la CNPD dans le cadre du système d’information spécifiquement mis en place pour lutter contre la pandémie, ainsi que les nouveaux traitements de données réalisés par les entreprises pour s’adapter à la situation exceptionnelle. Ce document ne reflète pas la panoplie des situations observées mais dresse uniquement un bilan des situations pour lesquelles la CNPD a procédé à une surveillance plus attentive.
1. Mise en place d'un système d'information spécifique
Sur base de la loi du 17 juillet 2020 portant introduction d’une série de mesures de lutte contre la pandémie Covid-19, un système d’information a été créé en urgence en vue de suivre l’évolution de la propagation du virus SARS-CoV-2 et les effets des vaccins contre la maladie Covid-19.
Le système en question reposait sur des outils et flux de données préexistants mais également sur la création de nouveau mécanismes et canaux d’information. La CNPD s’est penchée sur la problématique de ces nouveaux flux et outils au regard de la Loi.
1.1 Observations relatives à la transparence
La CNPD a notamment constaté que dans la plupart des cas, la transparence vis-à-vis des personnes concernées n’était pas complète. Dans de rares cas, les individus n’étaient pas du tout informés des traitements les concernant.
La CNPD a toutefois noté de gros efforts sur deux points :
- la vulgarisation des informations transmises ;
- la disponibilité des informations en plusieurs langues et notamment en luxembourgeois, français, anglais et allemand. Dans certains cas, l’information était même transmise en portugais.
1.2 Observations relatives à la minimisation
Dans l’ensemble, les données traitées dans le cadre du système d’information correspondaient au périmètre prévu par la Loi et les catégories de données traitées respectaient les catégories spécifiquement autorisées par la Loi.
En revanche, la CNPD a noté que les flux de données échangées dans le contexte de la lutte contre la maladie Covid-19 allaient au-delà de ce qui était prévu par la Loi. La Loi prévoyait par exemple que pour les besoins du contact tracing, certaines structures d’accueil et d’hébergement collectif devaient transmettre proactivement une liste des personnes hébergées à la direction de la Santé. Or, la CNPD a constaté que des organismes non concernés par cette disposition ont toutefois transmis des listings nominatifs. De telles pratiques allaient à l’encontre du principe de la minimisation des données personnelles découlant du RGPD.
1.3 Observations relatives à la sécurité des données
Enfin, les mesures de sécurité déployées lors des traitements de données à caractère personnel relatives au virus COVID-19 présentaient des lacunes. Aucun des applicatifs du système d’information ne disposait de politique d’accès, les garanties contre l’indisponibilité des données étaient parfois absentes ou encore certains fichiers étaient transférés sans aucune mesure de sécurité. Bien que peu élaboré, un système d’autorisation des accès était toutefois mis en place dans la plupart des cas. Étant donné qu’il s’agissait d’informations hautement sensibles, un renforcement des précautions et dispositifs de sécurité aurait été approprié.
Contrairement aux autres observations relatives à la sécurité des données mentionnées ci-avant, la CNPD a constaté qu’en matière de sauvegarde des données, des mesures adéquates avaient été déployées sur l’ensemble du système.
2. Pratiques observées dans les organisations publiques et privées luxembourgeoises
La CNPD s’est également penchée sur les pratiques des entreprises, associations, etc. et a constaté la mise en place de traitements spécifiques liées à la pandémie.
2.1 Traitement des arrêts maladies en lien avec le Covid-19
Cette dernière entraînait notamment le traitement par les organisations de courriels d’employés en lien avec le Covid-19 contenant des données de santé et/ou autres données sensibles, parfois de manière incidente (communication spontanée de l’employé) et parfois de manière obligatoire (exigence de l’employeur).
La CNPD a été satisfaite de constater que de nombreux employeurs traitaient les arrêts maladie « Covid » de la même façon qu’un arrêt maladie standard, sans surenchère de traitement.
2.2 Compilation de données de santé
Une autre pratique qui a été mise en place par les entreprises et autres organes et constatée par la CNPD concernait la compilation de diverses données de santé sous forme de fichiers, applications ou bases de données, parfois en combinaison avec un système de tracking interne. La CNPD a observé que ces traitements ne répondaient pas toujours aux exigences de transparence, de base de licéité, et/ou de limitation des durées de conservation.
Ainsi, l’information des personnes concernées était parfois absente, parfois incomplète. Certaines organisations invoquaient comme base de licéité l’intérêt légitime alors qu’un tel intérêt n’était pas suffisamment caractérisé. En outre, des mesures de sécurité adéquates n’étaient pas toujours déployées. Ces pratiques étaient donc globalement problématiques et il convient de rappeler que de tels traitements, relatifs à des données de santé, présentent un niveau de sensibilité très élevé.
A l’inverse, la CNPD a constaté une pratique positive : la tenue d’un listing nominatif de personnes vulnérables, mais sans mention du motif de vulnérabilité. Ainsi, des mesures spécifiques de protection ont pu être mises en place (aménagement des bureaux, recours accru au télétravail pour ces personnes) sans pour autant impliquer le traitement de données de santé.
2.3 Prise de température
Concernant les prises de température manuelles effectuées au sein ou à la demande des organisations, surtout en début de la pandémie pour assurer un contrôle d’accès à des locaux, la CNPD n’a pas observé de traitement de données personnelles y relatif. En effet, la température corporelle d’une personne, prise isolément, ne permet pas de l’identifier. Il ne s’agit donc pas d’une donnée à caractère personnel.
Naturellement, l’analyse de la commission aurait été différente si cette température était associée à un autre élément, et que ces données combinées avaient permis l’identification directe ou indirecte d’un individu.
Conclusion
Dans le contexte de la crise sanitaire, l’utilisation des technologies de communication à distance et de dispositifs de surveillance pour essayer de ralentir la propagation du virus ou pour s’adapter aux mesures de distanciation physique s’est développée. En parallèle, des traitements de données inédits ont été mis en œuvre pour répondre ponctuellement à l’urgence sanitaire comme le « contact tracing », la mesure de la température corporelle à l’entrée de locaux ou le « large scale testing » de la population.
Analysant les observations qu’elle a pu faire lors de la pandémie, la CNPD a constaté que les organismes disposant déjà d’un bon niveau de maturité en protection des données et disposaient de procédures et outils conformes au RGPD, étaient ceux qui ont commis le moins d’erreur en la matière durant la pandémie. Toutefois, la Commission restera vigilante vis-à-vis des traitements de données personnelles qui perdurent au-delà de la pandémie.
Il convient enfin de noter que la crise a révélé la pertinence de l’application de plusieurs principes du RGPD : les notions de proportionnalité (existe-t-il un moyen moins intrusif ?) et de nécessité (quelle utilité sanitaire?) ont été au cœur des débats. Le principe de minimisation des données permet de s’assurer que seules les données nécessaires à la gestion de la crise sont collectées alors que le principe de finalité et de limitation de la conservation des données permet d’encadrer les usages de ces données afin d’éviter tout éventuel détournement de
finalités.
Finalement, la crise sanitaire a particulièrement bien montré l’intérêt des approches de protection des données dès la conception et de protection des données par défaut, consacrés par le RPGD, puisque les organismes, publics ou privés, ayant respecté cette approche ont su faire face à la pandémie dans le respect des droits fondamentaux des citoyens.