Paris, le 24 mars 2020 – Dans un communiqué disponible sur le site de la CNIL (lien disponible sur l’image), la Commission rappelle les fondements légaux qui ont permis d’adresser un texto « Alerte Covid-19 » aux Français le 17 mars dernier.
Respect du Règlement Général sur la Protection des Données (RGPD)
Selon les articles 6 et 9 du Règlement1, les fondements juridiques « de sauvegarde des intérêts vitaux » ou de « mission d’intérêt public » permettent de justifier l’utilisation des numéros de téléphone des personnes concernées pour des besoins d’alertes.
Ces notions sont ainsi précisées2 : « Certains types de traitement peuvent être justifiés à la fois par des motifs importants d'intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine ».
Ainsi les traitements de données qui ont pour objet d’alerter ou d’informer les Français dans le cadre de la crise sanitaire actuelle sont autorisés et respectent les dispositions européennes.
Opérations de télécommunication et opération d’alerte
Selon l’article L. 33-1 du Code des Postes et des Communications Electroniques, les services de communications électroniques ont l’obligation d’acheminer des communications des pouvoirs publics destinées à alerter la population d’un danger imminent ou d’atténuer les effets de catastrophes majeures.
Les opérateurs ont reçu l’ordre du Gouvernement de diffuser le texto « Alerte Covid-19 » aux Français.
Par conséquent, aucun numéro de téléphone n’a été transmis aux pouvoirs publics.
Et à l’étranger ?
Dans certains pays, l’utilisation des données personnelles est tout autre.
En Corée du Sud, selon LCI3, les données personnelles des citoyens recueillies par images de vidéo-surveillance ou directement via leur téléphone, sont mises en ligne sur le site internet « Coronamap ».
Elles sont ainsi consultables par l’ensemble de la population qui peut donc connaître la géolocalisation des personnes porteuses du virus, les données sur la durée de la contamination (moins de 24h, plus de 24h, au-delà de 10 jours, …). En cas de refus du patient de partager ses données, il risquerait jusqu’à 2 ans de prison.
En Israël, pour lutter contre la propagation du virus, le Gouvernement a pris une mesure d’urgence autorisant le service de sécurité intérieure à collecter immédiatement des données sur les citoyens.
Selon le Journal 20 Minutes4, la police pourra « obtenir, sans autorisation de justice, la localisation des porteurs du coronavirus et des personnes en quarantaine via les opérateurs téléphoniques ».
Si vous avez des interrogations sur les conditions dans lesquelles les données à caractère personnel et notamment les données de santé peuvent être utilisées dans ce contexte de crise sanitaire, n’hésitez pas à nous contacter.