swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

Quelques considérations relatives à la pandémie de la COVID-19 et de son impact sur la protection des données en Suisse

Stéphanie Chuffart-Finsterwald, le 3 février 2021
Depuis le début de la pandé­mie, le trai­te­ment de données person­nelles rela­tives à la santé inter­pelle, en parti­cu­lier lorsqu’il est entre­pris par des acteurs privés. Le 21 janvier dernier, le PFPDT a publié une note bien­ve­nue rela­tive aux « Exigences de protec­tion des données pour la collecte de données sur la santé par des acteurs privés dans le cadre de la lutte contre la pandé­mie », consa­crant une approche au cas par cas.

Depuis le début de la lutte contre la pandé­mie de la COVID-19, la collecte de données person­nelles par des acteurs privés a été centrale : de l’obligation pour les exploi­tants de cafés et restau­rants de collec­ter les coor­don­nées desti­nées au traçage des contacts, aux nombreuses « Tracing App », en passant par les centres de dépis­tages privés et les vives discus­sions qui ont lieu depuis plusieurs semaines au sujet d’éventuels « passe­ports COVID » ou vaccinaux.

L’accès aux données patients paraît même avoir été un outil de négo­cia­tion clé dans les accords bila­té­raux passés par les États pour l’achat des doses de vaccin, comme semble le démon­trer le cas israélien.

Depuis le début de la pandé­mie, le trai­te­ment de données person­nelles rela­tives à la santé inter­pelle, en parti­cu­lier lorsqu’il est entre­pris par des acteurs privés. Les vifs débats autour du passe­port vacci­nal COVID ne sont pas sans rappe­ler l’un des points de discorde prin­ci­paux dans le cadre de la vota­tion fédé­rale du 7 mars prochain suite au réfé­ren­dum à l’encontre de la loi sur l’e-ID, qui entend mettre en circu­la­tion des moyens d’iden­ti­fi­ca­tion élec­tro­niques recon­nus par l’État, mais émis par des four­nis­seurs privés. En Suisse comme à l’étranger, les trai­te­ments en masse de données person­nelles rela­tives à la santé et le mélange des genres entre préro­ga­tives étatiques et appro­pria­tion par le secteur privé questionnent.

Le 21 janvier dernier, le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT) a publié une note rela­tive aux « Exigences de protec­tion des données pour la collecte de données sur la santé par des acteurs privés dans le cadre de la lutte contre la pandé­mie ». Le même jour, la Commission Nationale de l’Informatique et des Libertés (CNIL) fran­çaise publiait son deuxième avis adressé au Parlement fran­çais sur les diffé­rents systèmes mis en place dans le cadre de la pandé­mie, y compris le système d’information Vaccin COVID.

La publi­ca­tion du PFPDT porte essen­tiel­le­ment sur la preuve que pour­raient deman­der certains acteurs privés d’une vacci­na­tion contre la COVID-19 ou d’un test rapide néga­tif pour accé­der à certains biens et services. Le PFPDT y rappelle les fonda­men­taux suivants :

« Si des acteurs privés se procurent des données sur la santé de parti­cu­liers dans le contexte de la pandé­mie, ils doivent respec­ter non seule­ment les dispo­si­tions de droit public sur les plans de protec­tion contre la pandé­mie, mais aussi celles de la loi fédé­rale sur la protec­tion des données (LPD), notam­ment les prin­cipes de propor­tion­na­lité et de fina­lité. Conditionner l’ac­cès à des biens ou services privés à la présen­ta­tion de données sur la santé peut porter atteinte à la person­na­lité des personnes concer­nées. Or, confor­mé­ment aux articles 28 alinéa 2 CC et 13 LPD, les atteintes à la person­na­lité ne peuvent être justi­fiées que par le consen­te­ment de la victime, par un inté­rêt prépon­dé­rant privé ou public, ou par la loi. »

C’est ainsi une approche au cas par cas qui est envi­sa­gée par le PFPDT qui pose par ailleurs les exigences suivantes :

  • Afin d’évaluer si un trai­te­ment privé est adéquat (propor­tion­nel au sens de la LPD), il sied de déter­mi­ner si ledit trai­te­ment est suscep­tible de contri­buer de manière signi­fi­ca­tive à la protec­tion contre la trans­mis­sion et la mala­die, en tenant compte des avis des auto­ri­tés sani­taires compétentes.
  • Il doit être renoncé au trai­te­ment si l’ac­cès aux biens ou aux services en dépend, si la renon­cia­tion à ceux-ci n’est pas accep­table et si leur accès peut être garanti d’une autre manière.
  • Les données person­nelles ne doivent être ni gardées ni trans­mises, sauf si un trai­te­ment ulté­rieur de ces données est abso­lu­ment néces­saire, objec­ti­ve­ment justi­fié ou exigé expres­sé­ment par les personnes concernées.
  • La sécu­rité des données doit être assu­rée par des mesures tech­niques et orga­ni­sa­tion­nelles appropriées.
  • Il convient de prévoir des méthodes de trai­te­ment accep­tables et ouvertes à toutes et tous (et donc pas de trai­te­ment par smart­phone obli­ga­toire par exemple).
  • Le prin­cipe de trans­pa­rence doit être respecté et une infor­ma­tion claire et détaillée fournie.

On rappel­lera à toutes fins utiles que des données person­nelles rela­tives à la vacci­na­tion ou à la contrac­tion d’une mala­die sont des données dites de santé et donc sensibles au sens de la loi (art. 3 let. c ch. 2 LPD) de sorte que les prin­cipes et pres­crip­tions expo­sés ci-dessus devront être appli­qués avec une dili­gence accrue : le test de propor­tion­na­lité sera parti­cu­liè­re­ment strict, le consen­te­ment au trai­te­ment devra être éclairé et expli­cite (art. 4 al. 5 et 14 LPD), les mesures tech­niques et orga­ni­sa­tion­nelles devront être inten­si­fiées (art. 8 al. 2 OLPD), etc.

La récente publi­ca­tion du PFPDT, qui jusqu’à présent a émis rela­ti­ve­ment peu de recom­man­da­tions durant la pandé­mie, est donc bien­ve­nue afin de rappe­ler les fonda­men­taux en la matière. Le PFPDT s’est d’ailleurs réservé le droit de prendre des mesures de surveillance à l’en­contre des acteurs privés s’il devait esti­mer que ceux-ci ne respectent pas les exigences légales, de même que de rééva­luer ou complé­ter les exigences expo­sées supra si des déve­lop­pe­ments ou décou­vertes scien­ti­fiques l’imposent.

Il sied fina­le­ment de garder à l’esprit que les données person­nelles rela­tives à la santé sont géné­ra­le­ment égale­ment proté­gées sous un autre angle dont – de façon surpre­nante – l’on parle moins dans le cadre de la présente pandé­mie : le secret médi­cal. Or les enjeux sont là aussi fonda­men­taux et les consé­quences en cas de viola­tion très graves. Tant les ques­tions liées à la recherche médi­cale (l’en­trée en vigueur de la Loi fédé­rale rela­tive à la recherche sur l’être humain a entraîné la suppres­sion de l’art. 32 LPD qui prévoyait diverses tâches et préro­ga­tives pour le PFPDT, trans­fé­rant ainsi les tâches du PFPDT aux commis­sions canto­nales d’éthique pour la recherche) qu’aux trans­ferts des données patients sont notam­ment concer­nées. La crise sani­taire actuelle aura eu le triste mérite d’en démon­trer l’urgent besoin.



Proposition de citation : Stéphanie Chuffart-Finsterwald, Quelques considérations relatives à la pandémie de la COVID-19 et de son impact sur la protection des données en Suisse, 3 février 2021 in www.swissprivacy.law/54


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Enquête contre Digitec Galaxus : les recommandations du Préposé sont justifiables, mais sont-elles justes ?
  • Une nouvelle loi adaptée aux défis de l'ère numérique
  • Peut-on encore, en Suisse, recourir à des services cloud offerts par Microsoft ?
  • Documentation externe et interne aux entreprises en matière de protection de données
Derniers articles
  • Collectes de données personnelles par des étudiants dans le cadre de travaux académiques : qui est responsable du traitement ?
  • La LPD refoulée en clinique : des sanctions pénales plus théoriques que pratiques
  • La protection des personnes physiques à l’égard du traitement des données à caractère personnel en vertu de l’art. 58 par. 2 RGPD
  • 2e révision des ordonnances de la LSCPT : vers une surveillance de tout un chacun toujours plus intrusive pour l’internet suisse
Abonnement à notre newsletter
swissprivacy.law