Le Comité européen de la protection des données a adopté, le 19 mars 2020, une déclaration relative à la protection des données dans le cadre de la pandémie de covid-19.
Cette position du Comité européen de la protection des données (CEPD) était très attendue tant par les employeurs que par les autorités publiques des Etats membres de l’Union européenne.
Il est rappelé que le CEPD regroupe les autorités de contrôle de l’Union européenne chargées de la protection des données personnelles, dont la CNIL pour la France.
Le CEPD a déclaré que « même dans ces circonstances exceptionnelles, le responsable du traitement doit garantir la protection des données des personnes concernées ».
Le CEPD rappelle également que l’urgence liée à la pandémie peut légitimer des traitements qui restreignent les libertés à condition qu’ils soient proportionnés et limités dans le temps.
En résumé, dans sa déclaration, le CEPD a rappelé les grands principes et en a précisé certains au regard de la pandémie. Toutefois, il conviendra aux responsables de traitements (c’est-à-dire les chefs d’entreprises) d’être extrêmement vigilants aux dispositions nationales (et à ses évolutions possibles), en se référant au site de leur autorité de contrôle (la CNIL en France).
En parallèle, la plupart des autorités nationales, dont la CNIL, ont publié leurs propres recommandations. En dehors des États européens, plus d’une vingtaine de pays dans le monde ont déjà publié des « avis » ou des foires aux questions. Ce besoin de rappeler les bonnes pratiques s’étend du Mexique à la Chine en passant par la Russie, le Pérou, l’Argentine, la Nouvelle-Zélande, la Suisse ou encore le Canada.
Si chaque autorité a formulé ses propres recommandations, on constate leur volonté commune de s’assurer que la protection des données ne soit pas un frein aux traitements de données nécessaires à la lutte contre la pandémie. Les autorités européennes insistent sur le fait que tant le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD) que la directive 2002/58/CE du 12 juillet 2002 (directive « vie privée ») offrent assez de souplesse pour mettre en œuvre des traitements liés à la pandémie.
Notons que c’est la question des traitements des données de santé liées au covid-19 dans les relations de travail qui prédomine à l’échelle mondiale.
Par ailleurs, la CNIL a dû, le 19 mars 2020, rassurer les Français sur la légalité des SMS qu’ils avaient reçus au nom du gouvernement pour annoncer le confinement en expliquant que cette campagne avait pu être réalisée sur le fondement de l’article L. 33-1 du Code des postes et des communications électroniques. Quelques jours auparavant, l’autorité britannique a indiqué de manière plus générale que « les lois sur la protection des données et les communications électroniques n’empêchent pas le gouvernement ou tout autre professionnel de la santé d’envoyer des messages de santé publique aux personnes, par téléphone, SMS ou e-mail, car ces messages ne sont pas du marketing direct ».
L’association internationale des professionnels de la protection des données (IAPP) a produit un tableau listant les documents mis en ligne dans plus d’une cinquantaine de pays : voir le tableau de l’IAPP.
A lire :
Déclaration de la CNIL du 6 mars 2020
Déclaration du CEPD du 19 mars 2020
