mardi 31 mars 2020

Nos données sont-elles privées en cas d’épidémie ?

Par Philippe RICHARD

Informations sensibles par définition, le traitement des données de santé est très encadré en France. Mais les dispositifs mis en place pour les protéger peuvent-ils résister en cas d’épidémie ?

La France confinée et surveillée. Un amendement initialement déposé au Sénat évoquait la possibilité d’obliger les opérateurs français à partager les données de leurs clients avec les autorités afin de faire face à l’épidémie de Covid-19. Il a depuis été retiré du texte provisoire.

La France n’est pas le seul pays à envisager une telle mesure. Elle est déjà adoptée en Chine, en Italie, en Corée du Sud, en Allemagne ou encore en Autriche. Israël devrait également passer au crible les données de géolocalisation régulièrement collectées par les opérateurs mobiles dans le pays et en Cisjordanie.

Dans tous les cas, l’objectif est le même : repérer des personnes qui sont entrées en contact étroit avec des porteurs du Covid-19 et leur envoyer des SMS afin qu’elles se mettent en quarantaine immédiatement.

La divulgation de ce plan a suscité l’inquiétude des défenseurs de la vie privée en Israël, mais aussi dans les autres pays. En France, cet amendement ne laisse pas indifférent. « Nous craignons que l’État n’ait déjà fait des tests sans le dire officiellement, car le droit le permet. Depuis 2015, la loi renseignement semble déjà autoriser de telles mesures. On peut se passer de cet amendement », Arthur Messaud, analyste juridique et politique à la Quadrature du Net.

Sur son site, cette association se demande si cet usage serait « conforme au règlement général sur la protection des données (RGPD) ».

Et de nombreux Français ont été surpris de recevoir un SMS leur rappelant les consignes de sécurité à appliquer pour lutter contre la propagation du Covid-19. Pourtant, cet envoi massif, prévu par la loi française, respecte le droit européen.


Missions d’intérêt public

La Commission Nationale de l’Informatique et des Libertés (CNIL) rappelle que le règlement général sur la protection des données (RGPD) permet l’utilisation de données personnelles sans consentement des personnes, notamment dans le cadre d’une obligation légale, de missions d’intérêt public ou pour la sauvegarde des intérêts vitaux des personnes.

« L’envoi des messages nécessaires à l’objectif prévu par l’article L. 33-1 du Code des postes et communications électroniques, dans le contexte de lutte contre la propagation du coronavirus (COVID-19), s’inscrit clairement dans ce cadre », a précisé la commission.

D’ailleurs, aucun numéro de téléphone n’a été transmis au gouvernement : celui-ci s’est contenté de transmettre un message aux opérateurs, qui se sont chargés, avec leurs propres bases de données, de l’acheminer vers les particuliers.

Mais l’amendement envisagé, le SMS de l’État et la multiplication des téléconsultations suscitent des interrogations sur la protection des données de santé. Dans le droit français, elles ne peuvent ni être cédées ni être vendues.


Collecte de données de santé par les entreprises

Et le RGPD a renforcé leur protection. Ce texte européen définit les données de santé comme étant « des données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

Il s’agit donc de données sensibles qu’il est interdit de collecter. Sauf exceptions. En France, le législateur a décidé « que les traitements ayant une finalité d’intérêt public, notamment à des fins de recherche, peuvent utiliser des données de santé après autorisation de la CNIL », indique au Monde Hélène Guimiot-Bréaud, Chef du service de la santé de la CNIL.

La CNIL a aussi rappelé récemment les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées par les entreprises.

Elle précise que « les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches ».

Les entreprises ne peuvent donc mettre en œuvre des relevés des températures corporelles de chaque employé/agent/visiteur ou la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents.

Selon, Arthur Messaud, de la Quadrature du Net, il est encore trop tôt pour savoir si des données sensibles (et dont de santé) ont été exploitées par des entreprises et les GAFA. « Une fois la crise passée, il faudra attendre plusieurs mois pour avoir une opinion plus précise ».

Aucun commentaire: