Actualités : analyse de données, Business Intelligence, Data Science, Big Data


COVID-19 : quel impact sur la protection des données ?


Rédigé par Communiqué de l'AFCDP le 25 Mars 2020

La mise en œuvre des mesures de confinement soulève aujourd’hui, plusieurs problématiques au regard de la protection des données. D’une part, les méthodes de travail ont évolué, tendant vers le déploiement de services à distance ; d’autre part, le COVID-19 pointe le doigt sur les données de santé, considérées comme sensibles au sens du Règlement européen sur la protection des données (RGPD) et devant faire l’objet d’une attention particulière. L’Association des Délégués à la protection des données (AFCDP) rappelle que la lutte contre la pandémie n’est pas en contradiction avec la protection des données personnelles.



Photo ev / Unsplash
Photo ev / Unsplash
Les recommandations des autorités de contrôle de protection des données, tant au niveau européen que national se sont manifestées sur ce sujet : les principes fondamentaux de la protection des données n’entravent pas la lutte contre la pandémie, et le COVID-19 n’est pas une exception au respect du Règlement européen sur la protection des données.

Quels traitements de données sont concernés ?

La mise en œuvre de traitements spécifiques peut relever du Considérant 46 du RGPD, celui-ci les autorisant pour des « motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation […] ».

Sont ainsi concernés les traitements de recherche médicale et de données de santé. Les autorités de protection européennes s’accordant à mettre en balance ce fondement avec le principe de proportionnalité. Ainsi en France, la CNIL rappelle par exemple, que l’employeur, en tant que responsable de la sécurité et de la santé de ses salariés ne peut « collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un employé/agent et ses proches ». Par ailleurs, seules les autorités sanitaires sont à même « d’évaluer et de collecter les informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques ».

Au niveau mondial, le RGPD n’a pas vocation à s’appliquer en dehors des États membres de l’Union européenne, sauf en cas de traitement à destination de l’Europe. Cela explique pourquoi certains pays sont moins regardants sur le principe de proportionnalité et ont recours à des systèmes de surveillance permanente pour lutter contre l’épidémie. Ces technologies peuvent ainsi viser différentes finalités : le suivi des personnes (Iran, Thaïlande, Hong-Kong), le « contact tracing » (Inde, Bahreïn).

En France et dans les pays de l’Union européenne : vers l’utilisation de données « sensibles » anonymisées et agrégées

L’actualité française démontre de son côté des pistes de réflexion sur la mise en place d’une stratégie numérique d’identification des personnes s’appuyant sur des données de géolocalisation, anonymisées et agrégées pouvant ainsi, en principe, ne pas porter atteinte aux personnes concernées. Ces éléments permettraient de dresser une cartographie de la population et de constater le respect des consignes de confinement afin de mieux surveiller, contenir, et atténuer le virus. En ce sens, les États membres de l’Union européenne doivent donc chercher à utiliser les données anonymisées et agrégées pour ce type de traitement. C’est le chemin pris par l’Allemagne, l’Autriche ainsi que le Royaume-Uni.

L’usage des technologies en vue d’atténuer la pandémie : le déploiement massif du télétravail

Le télétravail, qui était jusqu’à présent l’exception, fait désormais office de règle. Toutefois, cette méthode de travail fait encourir un risque de piratage. En effet, les cyber-attaquants ont surfé également sur cette actualité pour attaquer les réseaux et systèmes informatiques, en particulier du secteur hospitalier.
D’autres pratiques de services à distance se sont développées : téléconsultation, enseignement à distance, visites virtuelles, paiement sans contact, usage du matériel personnel à des fins professionnelles… Chaque geste du quotidien peut avoir un impact significatif sur la protection des données et pose des enjeux de confidentialité, de sécurité des données, et de leurs bonnes utilisations. Les membres de l’AFCDP se sont par ailleurs interrogés sur ces cas d’usage et ont ainsi développé des fiches de bonnes pratiques relatives au télétravail et à la cybersécurité.

5 règles d’or pour télé-travailler en toute sécurité et sérénité

1. Préservez la confidentialité
Que vous soyez en couple, ou en famille, orientez votre écran de PC de façon que seul vous puissiez le voir.

2. Accédez de manière limitée aux données
En cas de télétravail, appliquez le principe de minimisation des données : n’ouvrez et n’utilisez que les informations dont vous aurez vraisemblablement besoin.

3. Redoublez de vigilance sur votre boite aux lettres électronique
Attention aux courriels, SPAM, ou tentatives de phishing !

4. Évitez les échanges de données professionnelles sur les réseaux sociaux
Afin de minimiser les risques de fuite de données et le piratage. Prenez le temps de relire votre charte informatique.

5. Économisez votre utilisation de l'internet

Les impacts du COVID-19 sur le DPO ?

La mise en œuvre de « l’activité partielle » soulève d’autres interrogations pour les Délégués à la protection des données : qu’ils soient internes ou externes, beaucoup s’interrogent sur les conséquences juridiques de cette situation exceptionnelle : Comment assurer le traitement des droits des personnes en cas de sollicitation ? Une entreprise serait-elle en infraction avec le RGPD en cas de mise en chômage partiel de son DPO ?

Comme elle en a l’habitude, et à plus forte raison dans le contexte actuel, l’AFCDP apporte tout son soutien à ses membres, professionnels de la protection des données, avec en particulier, un réseau social privé où s’échangent entraide et conseils.




Nouveau commentaire :
Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.


Twitter
Rss
LinkedIn
Facebook
Apple Podcast
App Store
Google Play Store