Vie privée et COVID-19 : tout est dans la proportionnalité !

Vanessa Deschênes [1]
ROBIC, S.E.N.C.R.L.
Avocats, agents de brevets et de marques de commerce

En cette période de pandémie, les questions sur la collecte de données et le respect de la vie privée sont plus présentes que jamais. Bien que plusieurs entreprises connaissent normalement assez bien les règles à respecter en la matière, cette situation sans précédent peut amener son lot de défis et de questionnements.

À travers le monde, nous voyons maintenant l’apparition de nouvelles formes de partage de données : les entreprises et les autorités faisant de leur mieux pour endiguer la transmission de la COVID-19, des mesures telles que la vérification des antécédents de voyage récents, la prise de la température corporelle et la localisation de la population grâce aux données cellulaires semblent maintenant devenues acceptables.

Mais jusqu’où les organisations peuvent-elles ou devraient-elles aller? Est-il vraiment essentiel ou obligatoire de partager le nom ou d’autres informations personnelles d’une personne infectée? Quelle responsabilité avez-vous comme organisation en vertu des lois sur la protection des données et le respect de la vie privée?

Le mot d’ordre? Proportionnalité!

Vous n’êtes pas seuls

Si vous avez, actuellement, ces préoccupations, sachez que vous n’êtes pas seuls et les autorités responsables de l’application de ces lois sont là pour vous apporter un certain éclairage. En effet, de nombreuses orientations juridiques ont été émises dans les derniers jours à cet égard. Prenons, par exemple, le Québec.

Le 25 mars dernier, la Commission d’accès à l’information du Québec a publié un communiqué [2] dans lequel elle rappelle les règles applicables en temps de crise, et donc, en temps de pandémie. Elle mentionne notamment que le Gouvernement du Québec a déclaré, le 13 mars dernier, l’état d’urgence sanitaire, ce qui permet notamment au Gouvernement d’effectuer la collecte et la communication des renseignements personnels requises pour protéger la santé de la population.

À ce sujet, l’article 123 (3) de la Loi sur la santé publique prévoit ceci :

123. Au cours de l’état d’urgence sanitaire, malgré toute disposition contraire, le gouvernement ou le ministre, s’il a été habilité, peut, sans délai et sans formalité, pour protéger la santé de la population:
[…]
3°  ordonner à toute personne, ministère ou organisme de lui communiquer ou de lui donner accès immédiatement à tout document ou à tout renseignement en sa possession, même s’il s’agit d’un renseignement personnel, d’un document ou d’un renseignement confidentiel;
[…]

En outre, le directeur national de la santé publique peut communiquer des renseignements s’il a des motifs sérieux de croire que leur divulgation peut protéger la santé de la population. Mais qu’en est-il des entreprises?

Comme le rappelle la CAI, les dispositions habituelles relatives à la protection des renseignements personnels demeurent applicables. Par exemple, la Loi sur la protection des renseignements personnels dans le secteur privé prévoit déjà des exceptions à l’obtention du consentement dans certaines situations, comme si la communication des renseignements personnels est faite à une personne à qui cette communication doit être faite en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée (art. 18 al. 1 (7) de la LPRPSP). Même son de cloche au niveau fédéral[3].

Ailleurs sur la planète

Mais qu’en est-il ailleurs dans le monde ?

En Europe, le RGPD contient spécifiquement une mention sur les épidémies. En outre, il est indiqué, au considérant 46, que :

Le traitement des données à caractère personnel doit également être considéré comme licite lorsqu’il est nécessaire de protéger un intérêt essentiel à la vie de la personne concernée ou celle d’une autre personne physique. Le traitement de données à caractère personnel fondé sur l’intérêt vital d’une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine. 

Tout comme c’est le cas ici au Québec et au Canada, la réglementation européenne exige que le traitement des données soit fait de façon licite. Que ce soit en France, en Italie ou ailleurs en Europe, le critère de proportionnalité demeure. Toutefois, afin d’éviter l’ambiguïté, certains pays durement touchés par la COVID-19, comme l’Italie, ont adopté des lois d’urgence confirmant la possibilité de communiquer certaines informations comme les données personnelles de toute personne soupçonnée d’être infectée, y compris les données de santé, de localisation et de connexions par courriel et par téléphone.

Compte tenu de toutes ces mesures spéciales, il n’est pas surprenant que la Global Privacy Assembly ait déclaré :

Nous sommes convaincus que les exigences en matière de protection des données n’arrêteront pas le partage critique d’informations pour soutenir les efforts de lutte contre cette pandémie mondiale. Les principes universels de protection des données dans toutes nos lois permettront l’utilisation des données dans l’intérêt public et fourniront toujours les protections que le public attend. Les autorités de protection des données sont prêtes à aider à faciliter le partage rapide et sûr des données pour lutter contre la COVID-19.

Comme nous le voyons par cette déclaration, et comme c’est le cas un peu partout à travers le monde, les autorités responsables des questions en matière de protection des renseignements personnels et du respect de la vie privée s’entendent, somme toute, pour dire que ces lois ne sont, en aucun cas, un obstacle à la santé publique. Les autorités déconseillent toutefois fortement aux organisations de vouloir contrôler et collecter de façon systématique et générale les données relatives à la santé de leurs employés en dehors des demandes et mesures officielles des autorités de santé publique.

Dans le but d’aider ses membres à s’y retrouver, l’International Association of Privacy Professionals a répertorié les différentes orientations des autorités de chaque pays. Nous vous en présentons ici un extrait. 

Pays	Orientations COVID-19
Canada
Canada (féd)	https://priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2020/an_200320/
Québec	https://www.cai.gouv.qc.ca/pandemie-de-covid-19-protection-des-renseignements-personnels-et-securite-de-linformation/
Alberta	https://www.oipc.ab.ca/resources/privacy-in-a-pandemic-advisory.aspx
Colombie-Britannique	https://www.oipc.bc.ca/news-releases/2396
Terre-Neuve-et-Labrador	https://www.oipc.nl.ca/guidance/documents/emergencies/
États-Unis
EEOC	https://www.eeoc.gov/eeoc/newsroom/wysk/wysk_ada_rehabilitaion_act_coronavirus.cfm
HHS	https://www.hhs.gov/hipaa/for-professionals/special-topics/emergency-preparedness/notification-enforcement-discretion-telehealth/index.html
Union européenne
France	https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles
Belgique	https://www.autoriteprotectiondonnees.be/covid-19-et-traitement-de-données-à-caractère-personnel-sur-le-lieu-de-travail
Espagne	https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/preguntasFrecuentes.jsf
Italie	https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117#1
Comité européen de la protection des données	https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_fr
Autres
Australie	https://www.oaic.gov.au/privacy/guidance-and-advice/coronavirus-covid-19-understanding-your-privacy-obligations-to-your-staff/
Chine	https://www.newamerica.org/cybersecurity-initiative/digichina/blog/translation-chinese-authorities-emphasize-data-privacy-and-big-data-analysis-coronavirus-response/
Hong-Kong	https://www.pcpd.org.hk/english/news_events/media_statements/press_20200226.html
Mexique	http://inicio.ifai.org.mx/Comunicados/Comunicado%20INAI-085-20.pdf
Royaume-Uni	https://ico.org.uk/for-organisations/data-protection-and-coronavirus/

Gare aux fraudes!

Comme le rappelle la CAI ainsi que les grands titres de certains médias dans les dernières semaines, certaines personnes malintentionnées profitent malheureusement de la situation actuelle pour tenter de soutirer des renseignements personnels ou pour commettre d’autres types de fraudes exploitant les craintes des citoyens.

Il est important de sensibiliser vos employés à ces risques et de leur rappeler d’être vigilants, et ce, particulièrement des tentatives d’hameçonnage par téléphone, par courriel ou par message texte.

Pour plus d’informations à cet égard, vous pouvez notamment consulter le site web de la CAI  ou le Centre antifraude du Canada qui recense les principales fraudes liées à la COVID-19.

Pour toute question concernant les données personnelles ou vos obligations comme entreprises dans le contexte unique actuel, n’hésitez pas à communiquer avec les membres de notre équipe de Protection des données, vie privée et cybersécurité.

---