Covid-19 & Données à caractère personnel

logo hw&h covid-19

Nous recensons dans cette F.A.Q. toutes vos interrogations concernant l’impact du Covid-19 en matière de protection des données à caractère personnel.

F.A.Q.

1. Vos obligations en qualité de responsable de traitement sont-elles suspendues ?

Nonobstant les circonstances exceptionnelles, la réponse est sans ambiguïté négative : le Président du Comité européen de la protection des données (« EDPB ») a, dans un communiqué du 16 mars dernier, précisé : « […] même en ces temps exceptionnels, le responsable du traitement doit assurer la protection des données personnelles des personnes concernées ».

En effet, ni le Règlement 2016/679 sur la protection des données (« RGPD »), ni la Loi Informatiques et Libertés 78/17 pour ce qui est de la législation française (« LIL »), ne contiennent de disposition qui viendrait suspendre les obligations du responsable de traitement en temps exceptionnel. En particulier, la force majeure n’étant pas prévue par le RGPD, la survenance d’un tel évènement, à le supposer caractérisé, ne semble pas pouvoir être invoqué par un responsable de traitement qui manquerait à ses obligations au titre de la protection des données personnelles.

Néanmoins, l’essence du RGPD consiste à trouver un point d’équilibre entre d’un côté, les impératifs de protection de la vie privée, de l’autre, les droits et libertés concurrents. Ce point d’équilibre trouve écho au considérant 4 de ce texte, dont les dispositions, lues dans le contexte de crise sanitaire, prennent toutes leur portée :

« Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité ».

La concrétisation de cet énoncé se matérialise par des principes directeurs et des exceptions qui vont permettre aux responsables de traitement de réaliser des traitements de données personnelles indispensables à la mise en œuvre des consignes sanitaires et la gestion de leurs conséquences, ainsi que d’amoindrir leurs obligations et responsabilité au titre de la protection des données personnelles.

2. Un employeur peut-il mettre en place un traitement relatif aux cas de Covid-19 détectés chez ses salariés ?

Quelques principes :

Les traitements de données personnelles dites sensibles, dont relèvent les informations relatives à l’état de santé des salariés, sont prohibés (art. 9§1. du RGPD). Cependant, divers aménagements sont prévus par le RGPD, en particulier :

  • les considérants 52, qui énonce que des dérogations doivent pouvoir être prévues, notamment à des fins « de surveillance et d’alerte sanitaire, de  prévention ou de contrôle de maladies transmissibles et d’autres menaces graves pour la santé« , et 155, qui permet aux Etats membres de prévoir des règles spécifiques nécessaires à la protection de la santé des salariés ;
  • les articles 9§2.b), qui autorise l’employeur à procéder à des traitements de données sensibles de ses salariés lorsqu’ils sont nécessaires à l’exécution de ses obligations légales, et 9§2.g), qui légitime les traitements réalisés par quiconque « pour des motifs d’intérêt public important ».

Ces textes peuvent ainsi valablement fonder les traitements qu’un employeur est amené à mettre en place pour prévenir et gérer les cas où un employé se trouverait infecté par le Covid-19. Ce d’autant plus que l’article L. 4121-1 du Code du travail requiert que l’employeur prenne les mesures nécessaires pour assurer et protéger la santé des employés, impliquant en particulier la mise en place de mesures préventives.

Ces dérogations doivent, néanmoins, toujours être mises en balance avec les impératifs de protection des données personnelles, dont les principes de minimisation des données personnelles traitées ainsi que de privacy by default, qui impliquent que les données personnelles traitées soient pertinentes, adéquates et limitées à ce qui est nécessaires pour parvenir à la finalité poursuivie, et que leur protection soit en permanence assurée.

Comment mettre en œuvre un tel traitement ? :

Concrètement, l’employeur peut créer un fichier aux fins de répertorier les cas de soupçon ou de contamination avérée de Covid-19, sans requérir le consentement préalable des salariés aux fins de :

  • prévenir la propagation de la maladie parmi ses collaborateurs ;
  • gérer l’absence des salariés placés en isolement et élaborer un plan de continuation de l’activité ;
  • transmettre les cas d’infection aux autorités sanitaires.

Ce qui est indispensable :

L’établissement d’un tel fichier nécessite :

  • de limiter les informations traitées au strict nécessaire ; sur ce point, la CNIL a précisé, dans un communiqué du 6 mars 2020, que seules l’identité du salarié et la date à laquelle l’information est obtenue doivent être collectées par l’employeur ;
  • de l’utiliser qu’aux fins de prévenir la propagation des contaminations et de mettre en œuvre les mesures qui s’imposent (nettoyage du poste de travail, information des salariés en contact direct, etc.) – outre la notification aux autorités publiques ;
  • de restreindre son accès qu’aux seules personnes en charge de la protection de la santé des salariés ;
  • de le conserver dans un environnement hautement sécurisé.

Ce qu’il ne faut surtout pas faire :

L’employeur ne doit surtout pas :

  • conserver ce fichier une fois la crise sanitaire achevée ; à l’issue, il devra donc être détruit ou rendu définitivement anonyme ;
  • utiliser ce fichier aux fins de mener des traitements automatisés, tels que le profilage à l’égard des salariés qui y figurent.
3. Quelles obligations découlent de la mise en place du télétravail ?

Quelques principes :

En qualité de responsable de traitement, l’employeur est pour l’essentiel tenu à une double obligation :

  • d’une part, d’informer, de manière loyale, transparente et exhaustive, ses salariés des modalités selon lesquels leurs données personnelles sont traitées, y compris de les informer de leurs droits et des modalités selon lesquels ils peuvent être exercés (notamment, art. 5§1., 12§1. et 2., et 13 du RGPD) ;
  • d’autre part, d’adopter des mesures organisationnelles et techniques aptes à assurer un haut niveau de protection des données personnelles traitées par une entreprise dans le cadre de ses activités (notamment, art. 5§2, 12§1 et 24§1 du RGPD) ; cette exigence implique de sensibiliser les salariés auxdites nécessités de protection, et de les informer des mesures adoptées afin qu’elles soient effectivement appliquées.

La mise en place du télétravail, quelles que soient les circonstances, n’échappent pas à ces exigences.

Les bonnes pratiques :

Etre transparent avec ses salariés :

L’employeur doit a minima accompagner la mise en place du télétravail d’une note d’information spécifique aux traitements de données personnelles induits par la mise en place du télétravail, énumérant :

  • les finalités et bases légales associées ;
  • les destinataires ou catégories de destinataires des données personnelles ;
  • la durée de conservation des données personnelles ;
  • les modalités permettant de déterminer la durée ;
  • les droits afférents dont les salariés disposent.

Cette énumération devra, dans certains cas, être complétée. Par exemple, lorsque le traitement repose sur l’intérêt légitime, l’employeur devra préciser lequel. Et si les données personnelles sont transférées en dehors de l’Union européenne, les garanties associées devront être mentionnées.

Concernant les durées de conservation, tout traitement de données personnelles qui excède les données usuellement traitées par l’employeur, par exemple les données de contact personnelles, spécifiques aux contraintes actuelles devra cesser une fois la crise sanitaire achevée.

Etre exigeant avec ses salariés :

L’employeur doit également a minima accompagner la mise en place du télétravail d’une charte de bonnes pratiques de nature à préserver la protection des données personnelles traitées par les salariés depuis leur domicile. En particulier, l’employeur doit alerter ses salariés sur la nécessité de :

  • sécuriser l’accès aux outils : mots de passe d’au moins 12 caractères suffisamment complexes, écran de verrouillage automatique, fermeture systématique des logiciels et de l’ordinateur, ne pas permettre l’accès à des données personnelles à des tiers, dont les enfants, distinguer les fichiers professionnels des fichiers personnels, etc. ;
  • respecter la configuration et protocoles de sécurités des ordinateurs mis à la disposition des salariés ;
  • signaler sans délai toute potentielle faille de sécurité ;
  • lorsque les mesures de confinement prendront fin, supprimer sur les outils personnels (ordinateurs, disques durs externes, tablettes, etc.) tout ficher de nature professionnelle.

La sécurité des données personnelles est non seulement une obligation à laquelle l’employeur, responsable de traitement, est tenue, mais également une nécessité pour la continuité de l’entreprise en période de confinement : il a été constaté un accroissement substantiel des cyberattaques, telles que ransonwares.

En effet, le confinement ordonné en quelques jours n’a pas toujours permis aux entreprises d’adopter les mesures de sécurité qui s’imposent dans le cadre du télétravail. Or, un certain nombre de salariés sont contraints d’utiliser leurs ordinateurs, tablettes, téléphones et connexion internet personnels, dont la configuration en matière de sécurité est souvent moins optimale que celle adoptée par l’entreprise. Ainsi, les cybercriminels multiplient ces derniers jours les attaques, notamment pour accéder aux réseaux des entreprises par l’intermédiaire de la connexion internet personnelle des salariés.

Dans la mesure du possible, il est donc vivement recommandé de mettre en place un VPN pour chiffrer le flux de données entre l’entreprise et les salariés à leur domicile, aussi bien pour la protection des données personnelles traitées que pour la pérennité du télétravail.

4. Comment gérer les demandes d’exercice de droits dans le contexte des mesures de confinement ?

Quelques principes :

Les articles 15 à 22 du RGPD attribuent aux personnes dont les données personnelles font l’objet de traitement un certain nombre de droits, tels que le droit d’accès et le droit à l’effacement.

Le responsable de traitement est tenu, en principe, de traiter ces demandes dans un délai d’un mois à compter de leur réception (art. 12§3 du RGPD). Faute d’y déférer, il s’expose à ce que la personne concernée saisisse une autorité de contrôle d’une plainte ou engage une action devant les juridictions compétentes, étant souligné que les manquements aux dispositions susvisées appartiennent à la tranche haute des sanctions (art. 83§5.b).

Comment déférer autant que possible aux demandes d’exercice de droits :

En l’absence de disposition exonérant le responsable de traitement de ses obligations, ce dernier peut s’appuyer sur des dispositions éparses qui vont permettre d’alléger ses obligations ou de différer leur mise en œuvre.

Le report du délai dans lequel la réponse doit être fournie :

L’article 12§3 du RGPD accorde un délai de deux mois supplémentaires au délai initial d’un mois pour traiter les demandes d’exercice de droits en raison de leur « complexité ». Si cette exception n’a pas été élaborée pour le cas d’une impossibilité matérielle de répondre à ces demandes en raison d’une crise sanitaire, il pourrait être soutenu que les mesures de confinement imposées ont rendu le traitement des demandes trop complexe pour être mené dans le délai d’un mois, en raison de la désorganisation générée. Dans ce cas, le responsable de traitement pourrait ainsi bénéficier de trois mois au total pour traiter les demandes, à compter de leur réception.

⚠️ Attention, pour bénéficier de la prorogation du délai, le responsable de traitement doit informer par écrit les personnes concernées du report et de son motif, au plus tard à l’expiration du délai initial.

Lorsque ces demandes sont formées par voie électronique, il est conseillé de mettre en place en message automatique informant dès à présent l’expéditeur de la possibilité d’un tel report le temps des mesures de confinement.

La dispense de notifier certaines demandes aux destinataires des données personnelles :

L’article 19 du RGPD dispense le responsable de traitement de notifier aux destinatairesauxquels les données personnelles ont été transférées, les demandes d’effacement, de rectification ou de limitation, notamment lorsqu’une telle communication imposerait des efforts disproportionnés au responsable de traitement.

Une nouvelle fois, cette exception n’a pas été élaborée dans la perspective de difficultés matérielles à répondre aux demandes d’exercice de droits causées par les mesures de confinement. Néanmoins, le responsable de traitement pourrait tenter de s’appuyer sur le caractère disproportionné des efforts à mettre en œuvre, à l’aune de la désorganisation résultant des directives de confinement.

⚠️ Attention, nonobstant cette exception, les personnes concernées peuvent toujours exiger du responsable de traitement qu’il lui transmettre des informations sur les destinataires des données personnelles en cause.

5. Comment gérer les obligations de notification des failles de sécurité dans le contexte des mesures de confinement ?

Quelques principes :

Lorsqu’une violation de données personnelles est susceptible d’engendrer des risques pour les droits et libertés des personnes, le responsable de traitement doit :

  • notifier la violation à l’autorité de contrôle dont il relève « dans les meilleurs délais et, si possible, 72 heures au plus tard » après en avoir pris connaissance (art. 33 §1. du RGPD), étant précisé que si le responsable de traitement peut justifier ne pas être en mesure de « fournir toutes les informations en même temps », il peut les notifier « de manière échelonnée sans autre retard indu » (art. 33§4 du RGPD) ;
  • informer les personnes concernées de la violation « dans les meilleurs délais » (art. 34 du RGPD).

Comment déférer autant que possible aux obligations de notification de faille de sécurité :

Les contraintes organisationnelles résultant des mesures de confinement semblent pouvoir être invoquées pour justifier un retard ou à tout le moins un délai plus long qu’à l’accoutumée pour satisfaire aux obligations de notification des failles de sécurité, dans la mesure où concernant l’obligation de notification :

  • à l’autorité de contrôle, le délai préfix de 72 heures est indicatif, la lettre de l’article 33§1 permettant de différer cette échéance, voire de fournir les informations requises en différé ;
  • aux personnes concernées, la rédaction de l’article 34§1 exigeant en somme du responsable de traitement de faire au mieux.

⚠️ Attention, si la notification à l’autorité de contrôle peut être réalisée en plusieurs fois, tel n’est pas le cas de la notification aux personnes concernées.

6. Quid si malgré la meilleure volonté, un responsable de traitement n’est pas en mesure de satisfaire pleinement à ses obligations en raison de la crise sanitaire actuelle ?

Quelques principes :

L’article 82§1 du RGPD permet à toute personne ayant subi un préjudice causé par un manquement aux obligations de protection des données personnelles d’en obtenir réparation devant les juridictions compétentes. Et l’article 83§1 du même texte permet aux autorités de contrôle de sanctionner les manquements à ces obligations par des amendes administratives.

Incidemment, le considérant 146 spécifie que le responsable de traitement « devrait être exonéréde sa responsabilité s’il prouve que le dommage ne lui est nullement imputable ».

Comment la responsabilité, les dommages et intérêts et les sanctions administrations sont évalués ? :

La responsabilité :

En cas de manquement avéré imputable au responsable de traitement, sa responsabilité devrait être caractérisée et il ne devrait pas pouvoir s’en exonérer, nonobstant les circonstances exceptionnelles actuelles. En effet, aucune disposition du RGPD ne permet de suspendre les obligations du responsable de traitement au titre de la protection des données personnelles, en particulier à l’aune de la force majeure.

Néanmoins, le responsable de traitement qui aurait fait les meilleurs efforts pour se conformer à ses obligations à ce titre, sans y parvenir en totalité en raison des mesures de confinement imposées et de la crise sanitaire, pourrait jouer sur l’imputabilité du manquement, au regard de la formulation susvisée du considérant 146.

Le fait du prince pourrait, en effet, être opposé par le responsable de traitement, à savoir que les mesures exceptionnelles ordonnées par le pouvoir exécutif l’ont matériellement empêché de se conformer à ses obligations.

Les sanctions pécuniaires :

Le RGPD prévoit les critères devant pris en compte pour évaluer le quantum du préjudice subi ou de l’amende administrative. Parmi ces critères, il est exigé que soient pris en compte :le caractère délibéré ou non de la violation ;

  • le caractère délibéré ou non de la violation ;
  • « toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce » (art. 83§2.b & k et considérant 148).
7. Recommandations finales ?

L’outil contractuel :

Vous avez souscrit des engagements relatifs aux modalités de traitements de données personnelles avec des partenaires, mais n’êtes matériellement pas en mesure de vous y conformer ?

Pensez à l’outil contractuel :

  • les stipulations du contrat peuvent permettre de modifier, suspendre, aménager ou renégocier ses termes ;
  • à défaut, le droit des obligations peut venir à votre secours, en particulier la force majeure ou l’imprévision.

Documenter ! :

En ces temps exceptionnels voire inédits dans l’histoire contemporaine, les entreprises font face à des défis considérables. Il ne sera guère aisé, un temps, de pleinement satisfaire aux obligations de protection de données personnelles, malgré toute bonne volonté.

Dans ce contexte, à chaque fois qu’une problématique de données personnelles se pose, nous vous rappelons qu’il est essentiel de documenter, à savoir consigner par écrit, le raisonnement et le choix effectué.

Ce choix ne sera pas nécessairement le bon. En revanche, le responsable de traitement pourra justifier avoir pris en compte la problématique de donnée personnelle, conformément aux principes de privacy by design et by default, qui innervent le régime européen de protection des données personnelles.