Les applications mobiles pour lutter contre le Coronavirus soutenues au niveau européen

C’est une acceptation de l’usage des données personnelles de santé dans la lutte contre l’épidémie de Coronavirus que signe le Contrôleur européen de la protection des données (CEPD) dans une longue déclaration chantournée.  

Le RGPD n’empêche pas le traitement des données personnelles de santé

Certes le RGPD protège le droit à la vie privée, mais il n’empêche pas le traitement de données personnelles de santé s’il s’agit de lutter contre une épidémie. Des applications mobiles peuvent être développées afin de lutter contre le Coronavirus, à condition toutefois de respecter certaines précautions, annonce le CEDP. Dans le monde, certains pays ont déjà mis en place des applications mobiles qui servent à localiser les personnes, à suivre leur état de santé – si elles sont infectées ou non par le Coronavirus – ainsi qu’à retrouver les personnes qu’elles ont pu rencontrer. Dans la liste on trouve la Pologne, pays dont est originaire Wojciech Wiewiórowski, actuel dirigeant du CEPD et qui a effectué ses études de droit à l’université de Gdansk.

Le CEPD soutient le développement d’applications digitales pour lutter contre l’épidémie de Covid-19. Il suit ces développements de près en coopération avec les autres autorités européennes de contrôle de la protection des données, c’est-à-dire les équivalents des Cnil (Commission nationale de l’informatique et des libertés) des différents pays membres de l’Union Européenne.

Dans le même temps, le CEPD appelle à la création d’un modèle d’application mobile baptisé « COVID-19 mobile application » coordonné au niveau européen. La crise ne pourra pas être résolue avec des outils nationaux uniquement, estime le CEPD.

Des mesures qui doivent être temporaires

Lors des traitements des données de santé, le CEPD va travailler avec la Commission Européenne afin de s’assurer que les mesures prises à des niveaux nationaux ou au niveau européen sont temporaires jusqu’à la fin de la crise, que l’on sache qui accède à quelles données, que les objectifs poursuivis sont limités – c’est-à-dire que l’on sait ce que l’on cherche à faire – et que l’on sait comment on va revenir à une situation normale après la fin de l’épidémie.

Le CEPD défend également l’exigence qu’un traitement soit basé sur des règles claires, précises et accessibles; la démonstration de la nécessité et de la proportionnalité du traitement par rapport aux objectifs légitimes poursuivis ; l’existence d’un mécanisme de surveillance indépendant ainsi que la disponibilité de recours efficaces pour l’individu.

Le CEPD souhaiterait mettre l’OMS (Organisation mondiale de la santé) dans la boucle idéalement afin qu’il y ait une protection des données dès la conception de l’application. Il demande à tous les développeurs d’applications et de technologies d’agir dans ce sens, en intégrant dès le départ la protection des données personnelles.

Conviction que le RGPD n’est pas un obstacle

Dans cette démarche, le règlement général sur la protection des données, le RGPD, n’est pas un obstacle lorsqu’il s’agit de traiter des données personnelles de santé afin de lutter contre l’épidémie, assure Wojciech Wiewiórowski, en charge du Contrôleur européen de la protection des données. Le CEPD se déclare fermement convaincu que le RGPD n’est pas un obstacle pour traiter les données personnelles qui sont nécessaires selon les autorités de santé pour lutter contre l’épidémie.

Le CEPD en veut pour preuve que le RGPD établit nettement que le traitement de données personnelles doit servir l’humanité et que le RGPD déclare également que le droit à la protection des données personnelles n’est pas un droit absolu. Ce droit doit être mis en balance d’autres droits fondamentaux. « Je ne suis pas en train d’inventer ou d’interpréter de manière innovante, je cite le texte du RGPD. Cela comprend la protection contre des menaces transfrontières sérieuses sur la santé » déclare Wojciech Wiewiórowski. Le traitement des données de santé personnelles est légal quand le traitement est nécessaire pour un intérêt public substantiel, insiste le CEPD.

« Même lorsque nous reconnaissons qu’un mode de traitement inhabituel entraverait le droit à la vie privée et à la protection des données, ce mode de traitement peut encore être nécessaire dans les circonstances que nous vivons » déclare le CEDP.

Une autorité de contrôle indépendante

Le Contrôleur européen de la protection des données (CEPD ou EDPS en anglais), est une autorité de contrôle indépendante. Elle doit s’assurer que les institutions et les organes européens respectent le droit à la vie privée et à la protection des données lorsqu’ils traitent des données à caractère personnel. Le CEPD conseille les institutions et les organes de l’Union Européenne en ce qui concerne tous les aspects du traitement de données à caractère personnel, ainsi que les politiques et textes législatifs pertinents. Il collabore avec les autorités nationales des pays de l’UE pour assurer la cohérence dans le domaine de la protection des données.