Sabine Marcellin, avocate au barreau de Paris, associée du cabinet Aurore Legal.
et Laurent Marcoz, responsable de la practice RGPD chez OAKLand Group
Pendant la crise sanitaire, la CNIL reste vigilante sur la protection des données personnelles. Les contrôles sur place de l’autorité de protection des données ont été différés. Mais l’engagement de la CNIL est visible, notamment quant à l’utilisation des données de santé dans les applications de lutte contre la pandémie.
La Commission est restée active malgré la crise, notamment dès le 19 mars 2020 lorsque la CNIL a rassuré les Français sur la légalité des SMS qu’ils avaient reçus au nom du gouvernement pour annoncer le confinement.
Le télétravail
Le recours massif au télétravail a également suscité beaucoup de questions quant à la protection des informations. En réponse la Commission a partagé, le 12 mai dernier, des conseils afin d’aider à la sécurisation des données pour ce mode de travail (mise en place d’un VPN, adaptation de la charte de sécurité, etc.).
Les drones
Depuis plusieurs semaines, la CNIL a diligenté des contrôles concernant l’usage de drones dans différentes villes, visant à la surveillance des règles de sécurité sanitaire. A Paris, le Conseil d’Etat a interdit l’usage des drones, par une ordonnance de référé rendue le 18 mai, en en jugeant qu’ils étaient utilisés en dehors du cadre prévu par la loi Informatique et Libertés. La CNIL prendra position sur cette question à l’issue des procédures de contrôle en cours.
Les applications mobiles
Par ailleurs, les projets de développement d’applications de suivi de la pandémie ont suscité des débats sur l’équilibre à trouver entre sécurité sanitaire et protection des données. La CNIL a d’ailleurs publié son avis, le 8 mai 2020, sur le projet de décret encadrant les systèmes d’information SI-DEP et Contact Covid (systèmes de suivi des contacts pendant la pandémie), et estime le dispositif conforme au RGPD dès lors que certaines garanties sont respectées.
Selon elle, si ces traitements sont nécessaires à la mise en place de la politique sanitaire, ils nécessitent des garanties supplémentaires (minimisation des données, limitation des accès aux traitements, etc.) compte-tenu de la sensibilité du dispositif du point de vue de la protection de la vie privée.
Le Comité Européen de Protection des Données (CEPD), organe rassemblant les régulateurs des pays membres, a partagé des conseils allant dans le même sens que la CNIL pour le traitement des données durant la pandémie.