Depuis le début de la lutte contre la pandé­mie de la COVID-19, la collecte de données person­nelles par des acteurs privés a été centrale : de l’obligation pour les exploi­tants de cafés et restau­rants de collec­ter les coor­don­nées desti­nées au traçage des contacts, aux nombreuses « Tracing App », en passant par les centres de dépis­tages privés et les vives discus­sions qui ont lieu depuis plusieurs semaines au sujet d’éventuels « passe­ports COVID » ou vaccinaux.

L’accès aux données patients paraît même avoir été un outil de négo­cia­tion clé dans les accords bila­té­raux passés par les États pour l’achat des doses de vaccin, comme semble le démon­trer le cas israélien.

Depuis le début de la pandé­mie, le trai­te­ment de données person­nelles rela­tives à la santé inter­pelle, en parti­cu­lier lorsqu’il est entre­pris par des acteurs privés. Les vifs débats autour du passe­port vacci­nal COVID ne sont pas sans rappe­ler l’un des points de discorde prin­ci­paux dans le cadre de la vota­tion fédé­rale du 7 mars prochain suite au réfé­ren­dum à l’encontre de la loi sur l’e-ID, qui entend mettre en circu­la­tion des moyens d’iden­ti­fi­ca­tion élec­tro­niques recon­nus par l’État, mais émis par des four­nis­seurs privés. En Suisse comme à l’étranger, les trai­te­ments en masse de données person­nelles rela­tives à la santé et le mélange des genres entre préro­ga­tives étatiques et appro­pria­tion par le secteur privé questionnent.

Le 21 janvier dernier, le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT) a publié une note rela­tive aux « Exigences de protec­tion des données pour la collecte de données sur la santé par des acteurs privés dans le cadre de la lutte contre la pandé­mie ». Le même jour, la Commission Nationale de l’Informatique et des Libertés (CNIL) fran­çaise publiait son deuxième avis adressé au Parlement fran­çais sur les diffé­rents systèmes mis en place dans le cadre de la pandé­mie, y compris le système d’information Vaccin COVID.

La publi­ca­tion du PFPDT porte essen­tiel­le­ment sur la preuve que pour­raient deman­der certains acteurs privés d’une vacci­na­tion contre la COVID-19 ou d’un test rapide néga­tif pour accé­der à certains biens et services. Le PFPDT y rappelle les fonda­men­taux suivants :

« Si des acteurs privés se procurent des données sur la santé de parti­cu­liers dans le contexte de la pandé­mie, ils doivent respec­ter non seule­ment les dispo­si­tions de droit public sur les plans de protec­tion contre la pandé­mie, mais aussi celles de la loi fédé­rale sur la protec­tion des données (LPD), notam­ment les prin­cipes de propor­tion­na­lité et de fina­lité. Conditionner l’ac­cès à des biens ou services privés à la présen­ta­tion de données sur la santé peut porter atteinte à la person­na­lité des personnes concer­nées. Or, confor­mé­ment aux articles 28 alinéa 2 CC et 13 LPD, les atteintes à la person­na­lité ne peuvent être justi­fiées que par le consen­te­ment de la victime, par un inté­rêt prépon­dé­rant privé ou public, ou par la loi. »

• Les données person­nelles ne doivent être ni gardées ni trans­mises, sauf si un trai­te­ment ulté­rieur de ces données est abso­lu­ment néces­saire, objec­ti­ve­ment justi­fié ou exigé expres­sé­ment par les personnes concernées.
• La sécu­rité des données doit être assu­rée par des mesures tech­niques et orga­ni­sa­tion­nelles appropriées.
• Il convient de prévoir des méthodes de trai­te­ment accep­tables et ouvertes à toutes et tous (et donc pas de trai­te­ment par smart­phone obli­ga­toire par exemple).
• Le prin­cipe de trans­pa­rence doit être respecté et une infor­ma­tion claire et détaillée fournie.

On rappel­lera à toutes fins utiles que des données person­nelles rela­tives à la vacci­na­tion ou à la contrac­tion d’une mala­die sont des données dites de santé et donc sensibles au sens de la loi (art. 3 let. c ch. 2 LPD) de sorte que les prin­cipes et pres­crip­tions expo­sés ci-dessus devront être appli­qués avec une dili­gence accrue : le test de propor­tion­na­lité sera parti­cu­liè­re­ment strict, le consen­te­ment au trai­te­ment devra être éclairé et expli­cite (art. 4 al. 5 et 14 LPD), les mesures tech­niques et orga­ni­sa­tion­nelles devront être inten­si­fiées (art. 8 al. 2 OLPD), etc.

La récente publi­ca­tion du PFPDT, qui jusqu’à présent a émis rela­ti­ve­ment peu de recom­man­da­tions durant la pandé­mie, est donc bien­ve­nue afin de rappe­ler les fonda­men­taux en la matière. Le PFPDT s’est d’ailleurs réservé le droit de prendre des mesures de surveillance à l’en­contre des acteurs privés s’il devait esti­mer que ceux-ci ne respectent pas les exigences légales, de même que de rééva­luer ou complé­ter les exigences expo­sées supra si des déve­lop­pe­ments ou décou­vertes scien­ti­fiques l’imposent.

Il sied fina­le­ment de garder à l’esprit que les données person­nelles rela­tives à la santé sont géné­ra­le­ment égale­ment proté­gées sous un autre angle dont – de façon surpre­nante – l’on parle moins dans le cadre de la présente pandé­mie : le secret médi­cal. Or les enjeux sont là aussi fonda­men­taux et les consé­quences en cas de viola­tion très graves. Tant les ques­tions liées à la recherche médi­cale (l’en­trée en vigueur de la Loi fédé­rale rela­tive à la recherche sur l’être humain a entraîné la suppres­sion de l’art. 32 LPD qui prévoyait diverses tâches et préro­ga­tives pour le PFPDT, trans­fé­rant ainsi les tâches du PFPDT aux commis­sions canto­nales d’éthique pour la recherche) qu’aux trans­ferts des données patients sont notam­ment concer­nées. La crise sani­taire actuelle aura eu le triste mérite d’en démon­trer l’urgent besoin.