La pandémie de COVID-19 a posé des défis sans précédent à tous les États membres de l’UE en termes de démocratie et de droits de l’homme, y compris le droit à la vie privée et à la protection des données.

Pour lutter contre la pandémie, les gouvernements ont dû recourir à des mesures d’urgence, y compris la déclaration de l’état d’urgence dans de nombreux cas. De nombreuses mesures incluent le traitement des données personnelles des personnes (telles que les noms, adresses, numéros de téléphone, données sur l’emploi…) et, dans de nombreux cas, le traitement de catégories spéciales de données personnelles (telles que les données de santé).

Afin de fournir des soins de santé efficaces, il est nécessaire de traiter les données à caractère personnel dans ce contexte, et en particulier les données relatives à la santé, avec une attention particulière.

Les mesures prises pour lutter contre le virus COVID-19 impliquant le traitement de données à caractère personnel (y compris les données de santé) devraient être nécessaires et proportionnées et les décisions devraient être fondées sur les orientations et les instructions des autorités de santé publique et d’autres autorités compétentes.

Voici quelques-unes des obligations fondamentales que les responsables du traitement doivent prendre en compte lors du traitement des données à caractère personnel dans le cadre de leur activité, et guidées par les principes du règlement général sur la protection des données.

Légalité

Il existe de nombreuses bases juridiques pour le traitement des données à caractère personnel au sens de l’article 6 du règlement général et des conditions au sens de l’article 9 permettant le traitement de catégories spécifiques de données à caractère personnel, telles que les données relatives à la santé, qui peuvent être applicables dans le cadre de la lutte contre les COVID-19. Nous en soulignerons ici quelques-uns.

Dans les cas où les responsables du traitement agissent conformément aux orientations ou aux instructions des autorités sanitaires publiques ou d’autres autorités compétentes, il est probable que l’article 9, paragraphe 2, point i), du règlement général permet le traitement des données à caractère personnel, y compris les données relatives à la santé, une fois que les garanties appropriées ont été mises en œuvre. Ces garanties peuvent inclure la limitation de l’accès aux données afin de prévenir toute utilisation abusive, des délais stricts pour le stockage des données et d’autres mesures telles que la formation adéquate des employés au droit à la protection des données à caractère personnel.

Les employeurs ont également l’obligation légale de protéger leurs employés en vertu de la loi sur le travail (OG 93/14, 127/17 et 98/19) et de la loi sur la santé et la sécurité au travail (OG 71/14, 118/14, 154/14, 94/18 et 96/18).

Cette obligation, en liaison avec l’article 9, paragraphe 2, point b), du règlement général, fournit une base juridique pour le traitement des données à caractère personnel, y compris les données de santé, si cela est jugé nécessaire et proportionné. Toutes les données traitées doivent être traitées de manière confidentielle, c’est-à-dire que la communication avec les employés sur la présence possible de COVID-19 sur le lieu de travail ne doit pas conduire à l’identification des employés individuels.

Il est nécessaire de veiller à ce que les données à caractère personnel ne soient pas automatiquement mises à la disposition d’un nombre illimité de personnes sans l’intervention d’une personne physique.

Le traitement de données à caractère personnel en vue de protéger les intérêts vitaux du défendeur ou d’une autre personne physique est également autorisé si nécessaire. Les données médicales d’une personne peuvent être traitées à cet égard si elle n’est pas physiquement ou légalement en mesure de donner son consentement. Cela ne s’appliquera que dans les situations d’urgence, où il n’est pas possible d’établir d’autres bases juridiques.

Transparence

Lors du traitement des données à caractère personnel, il est nécessaire de respecter la transparence des mesures mises en œuvre dans ce contexte, y compris la finalité de la collecte des données à caractère personnel et la durée de conservation. Les informations relatives au traitement des données à caractère personnel doivent être fournies aux répondants sous une forme concise, transparente, compréhensible et facilement accessible, dans un langage clair et simple.

Confidentialité

Tout traitement des données dans le cadre de la prévention de la propagation de COVID-19 doit être effectué de manière à garantir la sécurité des données, notamment lorsqu’il s’agit de données relatives à la santé. Il est recommandé que les documents papier contenant des données à caractère personnel soient conservés, par exemple dans des armoires ou des tiroirs verrouillés, sous la supervision d’un responsable du traitement autorisé et que l’accès aux données à caractère personnel stockées sous forme électronique soit fourni au moyen d’un nom d’utilisateur et d’un mot de passe.

Réduction du volume de données

Étant donné qu’il s’agit d’une catégorie particulière de données à caractère personnel, il est nécessaire de traiter uniquement la quantité minimale de données requise pour atteindre l’objectif de mettre en œuvre des mesures de lutte contre la propagation de COVID-19.

Fiabilité

Il est recommandé de remplir un document indiquant pour quelle raison et quelles données sont traitées, avec qui elles sont partagées, combien de temps les données sont conservées, quels sont les droits des répondants et d’autres informations pertinentes et doivent être mises à la disposition du public afin que les répondants soient informés du traitement éventuel de leurs données à caractère personnel.

Il est certainement nécessaire que le responsable du traitement documente toute prise de décision concernant les mesures prises pour atténuer la propagation du COVID-19, qui inclut le traitement des données à caractère personnel et qui soit communiquée à tous les employés et autres répondants potentiels.

Dernières informations et recommandations
Le ministère de la santé et l’Institut croate de santé publique publient quotidiennement les dernières informations sur COVID-19 sur leurs sites web. Les données actuelles sur le nombre de patients et les conseils en matière de sécurité et de protection de la population peuvent être trouvées sur le site.

Le Comité européen de la protection des données (EDPB) a adopté une déclaration sur le traitement des données à caractère personnel dans le contexte de l’apparition de la pandémie COVID-La Commission a également adopté des lignes directrices sur la licéité du traitement et des règles spécifiques relatives à l’utilisation des données dans le cadre de la lutte contre la propagation de la pandémie COVID-19.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA CROAZIA