Guidelines de l’EDPB sur les applications “Covid-19”

Le Comité européen de la protection des données (connu sous son acronyme anglophone EDPB – European Data Protection Board) a adopté le 21 avril ses guidelines concernant l’utilisation de données de localisation et de contact par des outils de traçage dans le contexte de l’épidémie Covid-19. 

L’EDPB précise que l’efficacité de ces dispositifs dépend de nombreux facteurs (ex. : pourcentage de personnes utilisatrices, définition de la notion de « contact » en termes de proximité et de durée). L’EDPB rappelle à ce titre que l’utilisation de ces applications doit être volontaire et que le traitement de données effectivement anonymisées doit toujours être privilégié lors du traitement de données de localisation. 

Comme pour tout traitement de données à caractère personnel, les principes phares du RGPD doivent être respectés :  

  • Le responsable de traitement doit être clairement déterminé : l’EDPB considère qu’il peut s’agir des autorités sanitaires nationales ; 
  • Conformément au principe de limitation, les finalités doivent être spécifiques et exclure tout traitement ultérieur pour des finalités non liées à la gestion de la crise ; 
  • Les principes de minimisation des données et de protection par design et par défaut doivent être respectés : seules des données de proximité (et non de suivi de localisation) doivent être utilisées, des mesures doivent être mises en place pour empêcher toute ré-identification des individus, seules les informations pertinentes et absolument nécessaires doivent être collectées ;  
  • La base légale du traitement doit être identifiée : bien que l’utilisation de l’application doive se faire sur une base volontaire, cela n’implique pas que le consentement en soit nécessairement la base légale. En effet, l’EDPB note que la base légale la plus pertinente réside dans la nécessité à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; 
  • Les catégories de données et les entités destinataires doivent être identifiées ; 
  • Les critères de démantèlement de l’application et l’entité en étant responsable doivent être déterminés dès que possible ; 
  • Les durées de conservation des traitements liés à la recherche scientifique et aux données statistiques doivent être déterminées en tenant compte de leur stricte nécessité et de leur intérêt médical ; 
  • La mise en œuvre d’une analyse d’impact (DPIA) est indispensable avant de mettre en œuvre une telle application, le traitement présentant un risque élevé pour les droits et libertés des personnes concernées. 

L’EDPB souligne en conclusion qu’« il ne faudrait jamais avoir à choisir entre une réponse efficace à la crise du Covid-19 et la protection de nos droits fondamentaux : nous pouvons réaliser les deux, et les principes de protection des données peuvent jouer un rôle très important dans la lutte contre le virus ».  

Recommended Posts