22.01.2021 - Exigences de protection des données pour la collecte de données sur la santé par des acteurs privés dans le cadre de la lutte contre la pandémie

22.01.2021 - La lutte contre la pandémie implique de plus en plus l'utilisation d'applications à installer sur les smartphones, lesquels contiennent généralement des informations importantes sur la vie numérique de leurs propriétaires. On pense notamment à SwissCovid, lancée par la Confédération, et aux « Tracing App » d'entreprises privées destinées à faciliter le traçage des contacts dans les cantons.

Maintenant que les tests rapides et les vaccins sont disponibles pour lutter contre la pandémie actuelle, plusieurs acteurs privés ont annoncé qu'ils envisageaient, le moment venu, de rendre certains biens et services accessibles uniquement aux personnes qui présenteraient des résultats de tests négatifs ou une preuve qu'elles ont été vaccinées.

Si des acteurs privés se procurent des données sur la santé de particuliers dans le contexte de la pandémie, ils doivent respecter non seulement les dispositions de droit public sur les plans de protection contre la pandémie, mais aussi celles de la loi fédérale sur la protection des données (LPD), notamment les principes de proportionnalité et de finalité. Conditionner l'accès à des biens ou services privés à la présentation de données sur la santé peut porter atteinte à la personnalité des personnes concernées. Or, conformément aux articles 28 alinéa 2 CC et 13 LPD, les atteintes à la personnalité ne peuvent être justifiées que par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.

La question de savoir si la demande et l'éventuel traitement ultérieur de données relatives à des tests ou des vaccins constituent une violation de la personnalité et, le cas échéant, si elle est justifiée dépend du cas d'espèce, ce d'autant plus que ni le droit public ni le droit privé ne contiennent des règles exhaustives à ce sujet. Le PFPDT se félicite donc que les offices fédéraux compétents en la matière élaborent actuellement à l'intention du Conseil fédéral une étude sur différentes règlementations possibles et leurs conséquences.

Indépendamment de l'adoption ou non d'une règlementation, le PFPDT doit s'attendre à ce que des acteurs privés décident à tout moment d'exiger systématiquement des données personnelles, notamment en lien avec les tests et les vaccins. Il attire donc l'attention sur les exigences en matière de protection des données à respecter pour conditionner l'accès à des biens ou des services à la présentation de données personnelles :

• Adéquation du traitement : conformément au principe de la proportionnalité prévu dans la LPD, l'acquisition et le traitement des données personnelles doivent être en adéquation avec la finalité poursuivie. Pour évaluer si la collecte privée et l'éventuel traitement des résultats des tests et de la vaccination sont susceptibles de contribuer de manière significative à la protection contre la transmission et la maladie, il convient de tenir compte des avis des autorités sanitaires compétentes, notamment l'Office fédéral de la santé publique, sur pertinence des tests et sur les effets de la vaccination. Les avis et les publications de ces autorités spécialisées doivent servir de bases à l'évaluation  sous l’angle de la protection des données.
  
• Caractère acceptable du traitement : Il doit être renoncé à la collecte des données à caractère personnel susmentionnées si l'accès aux biens ou aux services en dépend, si la renonciation à ceux-ci n’est pas acceptable et si leur accès peut être garanti d'une autre manière.
  
• Ampleur du traitement et sécurité des données : une fois la question de l'accès clarifiée, les données personnelles ne doivent être ni gardées ni transmises, sauf si un traitement ultérieur de ces données est absolument nécessaire, objectivement justifié ou exigé expressément par les personnes concernées. Si un traitement ultérieur est nécessaire, il doit être limité dans son ampleur et sa durée au minimum nécessaire pour lutter contre la pandémie. En outre, la sécurité des données doit être assurée par des mesures techniques et organisationnelles appropriées. 
• Méthode du traitement : certaines personnes ne veulent pas montrer un smartphone équipé d’une certaine application créée dans le but de lutter contre la pandémie de peur que des informations sur leur vie numérique ne soient transmises. D'autres personnes ne peuvent simplement pas le faire en raison de leur âge, de leur santé ou d'un handicap. Pour celles-ci, il convient de proposer d'autres solutions appropriées utilisables dans des conditions comparables.
  
• Transparence du traitement : les personnes concernées doivent être informées de manière complète et compréhensible de la finalité et des modalités de la collecte et de tout traitement ultérieur de leurs données personnelles.
  

Le PFPDT suit l'évolution de la situation et se réserve le droit de prendre des mesures de surveillance à l'encontre des acteurs privés s'il estime que ceux-ci ne respectent pas les exigences de la LPD. Il se réserve aussi le droit de réévaluer ou compléter les exigences susmentionnées si des développements ou découvertes scientifiques l'exigent.