Quelques considérations relatives à la pandémie de la COVID-19 et de son impact sur la protection des données en Suisse
Depuis le début de la lutte contre la pandémie de la COVID-19, la collecte de données personnelles par des acteurs privés a été centrale : de l’obligation pour les exploitants de cafés et restaurants de collecter les coordonnées destinées au traçage des contacts, aux nombreuses « Tracing App », en passant par les centres de dépistages privés et les vives discussions qui ont lieu depuis plusieurs semaines au sujet d’éventuels « passeports COVID » ou vaccinaux.
L’accès aux données patients paraît même avoir été un outil de négociation clé dans les accords bilatéraux passés par les États pour l’achat des doses de vaccin, comme semble le démontrer le cas israélien.
Depuis le début de la pandémie, le traitement de données personnelles relatives à la santé interpelle, en particulier lorsqu’il est entrepris par des acteurs privés. Les vifs débats autour du passeport vaccinal COVID ne sont pas sans rappeler l’un des points de discorde principaux dans le cadre de la votation fédérale du 7 mars prochain suite au référendum à l’encontre de la loi sur l’e-ID, qui entend mettre en circulation des moyens d’identification électroniques reconnus par l’État, mais émis par des fournisseurs privés. En Suisse comme à l’étranger, les traitements en masse de données personnelles relatives à la santé et le mélange des genres entre prérogatives étatiques et appropriation par le secteur privé questionnent.
Le 21 janvier dernier, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié une note relative aux « Exigences de protection des données pour la collecte de données sur la santé par des acteurs privés dans le cadre de la lutte contre la pandémie ». Le même jour, la Commission Nationale de l’Informatique et des Libertés (CNIL) française publiait son deuxième avis adressé au Parlement français sur les différents systèmes mis en place dans le cadre de la pandémie, y compris le système d’information Vaccin COVID.
La publication du PFPDT porte essentiellement sur la preuve que pourraient demander certains acteurs privés d’une vaccination contre la COVID-19 ou d’un test rapide négatif pour accéder à certains biens et services. Le PFPDT y rappelle les fondamentaux suivants :
« Si des acteurs privés se procurent des données sur la santé de particuliers dans le contexte de la pandémie, ils doivent respecter non seulement les dispositions de droit public sur les plans de protection contre la pandémie, mais aussi celles de la loi fédérale sur la protection des données (LPD), notamment les principes de proportionnalité et de finalité. Conditionner l’accès à des biens ou services privés à la présentation de données sur la santé peut porter atteinte à la personnalité des personnes concernées. Or, conformément aux articles 28 alinéa 2 CC et 13 LPD, les atteintes à la personnalité ne peuvent être justifiées que par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi. »
C’est ainsi une approche au cas par cas qui est envisagée par le PFPDT qui pose par ailleurs les exigences suivantes :
- Afin d’évaluer si un traitement privé est adéquat (proportionnel au sens de la LPD), il sied de déterminer si ledit traitement est susceptible de contribuer de manière significative à la protection contre la transmission et la maladie, en tenant compte des avis des autorités sanitaires compétentes.
- Il doit être renoncé au traitement si l’accès aux biens ou aux services en dépend, si la renonciation à ceux-ci n’est pas acceptable et si leur accès peut être garanti d’une autre manière.
- Les données personnelles ne doivent être ni gardées ni transmises, sauf si un traitement ultérieur de ces données est absolument nécessaire, objectivement justifié ou exigé expressément par les personnes concernées.
- La sécurité des données doit être assurée par des mesures techniques et organisationnelles appropriées.
- Il convient de prévoir des méthodes de traitement acceptables et ouvertes à toutes et tous (et donc pas de traitement par smartphone obligatoire par exemple).
- Le principe de transparence doit être respecté et une information claire et détaillée fournie.
On rappellera à toutes fins utiles que des données personnelles relatives à la vaccination ou à la contraction d’une maladie sont des données dites de santé et donc sensibles au sens de la loi (art. 3 let. c ch. 2 LPD) de sorte que les principes et prescriptions exposés ci-dessus devront être appliqués avec une diligence accrue : le test de proportionnalité sera particulièrement strict, le consentement au traitement devra être éclairé et explicite (art. 4 al. 5 et 14 LPD), les mesures techniques et organisationnelles devront être intensifiées (art. 8 al. 2 OLPD), etc.
La récente publication du PFPDT, qui jusqu’à présent a émis relativement peu de recommandations durant la pandémie, est donc bienvenue afin de rappeler les fondamentaux en la matière. Le PFPDT s’est d’ailleurs réservé le droit de prendre des mesures de surveillance à l’encontre des acteurs privés s’il devait estimer que ceux-ci ne respectent pas les exigences légales, de même que de réévaluer ou compléter les exigences exposées supra si des développements ou découvertes scientifiques l’imposent.
Il sied finalement de garder à l’esprit que les données personnelles relatives à la santé sont généralement également protégées sous un autre angle dont – de façon surprenante – l’on parle moins dans le cadre de la présente pandémie : le secret médical. Or les enjeux sont là aussi fondamentaux et les conséquences en cas de violation très graves. Tant les questions liées à la recherche médicale (l’entrée en vigueur de la Loi fédérale relative à la recherche sur l’être humain a entraîné la suppression de l’art. 32 LPD qui prévoyait diverses tâches et prérogatives pour le PFPDT, transférant ainsi les tâches du PFPDT aux commissions cantonales d’éthique pour la recherche) qu’aux transferts des données patients sont notamment concernées. La crise sanitaire actuelle aura eu le triste mérite d’en démontrer l’urgent besoin.
Proposition de citation : Stéphanie Chuffart-Finsterwald, Quelques considérations relatives à la pandémie de la COVID-19 et de son impact sur la protection des données en Suisse, 3 février 2021 in www.swissprivacy.law/54
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.