L’Autorité Australienne de Protection de Données (OAIC) a participé à l’enquête GPEN Sweep 2020-21, qui a examiné la manière dont les organisations responsables de diverses solutions et initiatives COVID-19 ont pris en compte les questions de protection de la vie privée. Il a également saisi le niveau d’engagement des autorités de protection des données avec ces organisations dans leur juridiction.
Un balayage international de la vie privée a permis de constater que toutes les autorités de protection des données (APD) participantes ont été activement impliquées dans l’évaluation des implications sur la vie privée des solutions et initiatives COVID-19. Des mesures de conformité et d’application ont été prises dans un nombre limité de juridictions.
Vingt APD d’Europe, des Amériques, d’Océanie, d’Asie et du Moyen-Orient ont participé au balayage annuel de 2021, coordonné par le bureau du commissaire à la protection de la vie privée de Nouvelle-Zélande.
Les organisations ont montré une conscience importante des risques pour la vie privée associés à ces solutions et ont établi des règles claires autour du traitement des informations personnelles concernées.
Les réponses au balayage ont indiqué que les APD se concentraient principalement sur les applications mobiles de recherche de contacts COVID-19, bien que d’autres initiatives aient inclus des bracelets électroniques, des registres de vaccins COVID-19 et des registres frontaliers nationaux.
Constatations
Presque toutes les juridictions qui ont répondu ont une application mobile de recherche des contacts COVID-19 utilisant la technologie Bluetooth. Ces applications alertent les utilisateurs s’ils se sont trouvés à proximité d’un autre utilisateur de l’application dont le test de dépistage du coronavirus s’est révélé positif, et s’ils ont visité un lieu à peu près en même temps qu’une autre personne dont le test s’est révélé positif.
La plupart des autorités sanitaires ont réalisé des évaluations des incidences sur la vie privée (EIVP) et ont fait appel à leur autorité locale de protection de la vie privée à un stade précoce du développement du projet afin d’atténuer les risques identifiés en matière de protection de la vie privée. L’une des principales préoccupations était l’identification des personnes à partir des informations personnelles recueillies par les applications de recherche de contacts et la conservation des informations personnelles recueillies.
Les DPA ont recommandé certaines des bonnes pratiques suivantes : les informations personnelles devraient être stockées localement sur les appareils des utilisateurs plutôt que sur des serveurs centralisés ; et les informations personnelles collectées pour lutter contre le COVID-19 devraient être détruites de manière sécurisée dès que raisonnablement possible une fois qu’elles ne sont plus nécessaires.
Plusieurs autorités chargées de la protection des données ont pris des mesures de conformité et d’application en réponse aux plaintes reçues. Toutes les DPA ont produit des documents éducatifs relatifs aux problèmes de protection de la vie privée découlant des mesures sanitaires du COVID-19.
Contexte
L’objectif de l’enquête GPEN Sweep 2020-21 est de comprendre comment les considérations relatives à la vie privée ont été prises en compte par les organisations responsables des diverses solutions et initiatives COVID-19. Il a également permis de saisir le niveau d’engagement des APD avec ces organisations dans leur juridiction (que ce soit via des évaluations d’apps de recherche de contacts ou toute autre initiative du secteur public ou privé).
Le balayage a exploré comment la communauté mondiale des APD s’est engagée avec les gouvernements locaux pour identifier et comprendre les risques associés aux initiatives COVID-19, y compris en faisant des recommandations pour améliorer la conformité avec les lois sur la vie privée et la protection des données, et en prenant des mesures d’application si nécessaire. Le balayage a également cherché à comprendre quelles mesures d’exécution, le cas échéant, les APD pourraient utiliser, et quelles activités d’éducation et de sensibilisation les APD ont menées.
Le Global Privacy Enforcement Network (GPEN) a été créé en 2010 sur recommandation de l’Organisation de coopération et de développement économiques. Son objectif est de favoriser la coopération transfrontalière entre les régulateurs de la protection de la vie privée dans un marché de plus en plus mondialisé où le commerce et l’activité des consommateurs reposent sur la circulation fluide des informations personnelles à travers les frontières. Ses membres cherchent à travailler ensemble pour renforcer les protections de la vie privée dans ce contexte mondial. Le réseau informel est composé de plus de 70 autorités chargées de la protection de la vie privée dans 40 juridictions à travers le monde.
Rapport du GPEN Sweep 2020-21:
SOURCE: AUTORITÉ AUSTRALIENNE DE PROTECTION DE DONNÉES – OIAC