Depuis le début d’année 2020, la pandémie COVID a progressivement forcé les gouvernements et organisations internationales à mettre en place un certain nombre de mesures restrictives destinées à contenir la progression du virus. Parmi les différents aspects de ces mesures, de nombreux fichiers d’information ont fait leur apparition, avec pour objectif d’accélérer et d’accroitre la précision de la prise en charge médicale. Souvent créés ou adaptés dans l’urgence, ces fichiers COVID peuvent présenter des failles en matière de sécurité des données personnelles et de respect des libertés individuelles. En France, la Commission nationale de l’informatique et des libertés (CNIL) a, à plusieurs reprises, pointé du doigt les pratiques de l’État et de l’administration territoriale. ProPR Consulting, société spécialisée dans la gestion de la réputation en ligne et de la vie privée de particuliers, revient sur ce sujet au coeur de l’actualité : quels sont les risques des mesures anti-COVID sur la sécurité des personnelles, et dans quel cadre légal s’inscrivent ces pratiques ?
Quand la CNIL pointe du doigt la gestion des données personnelles dans le cadre de la crise COVID
En matière de données personnelles, la catégories des données dites sensibles (données de santé, obédience religieuse, convictions politiques) bénéficie d’une protection poussée dans le cadre du Règlement général sur la protection des données (RGPD). Dans le cadre de la crise COVID, elle est pourtant plus que jamais exposée à des collectes et traitement massifs destinés à prévenir et contrôler la propagation du virus. En juillet 2020, la CNIL met en demeure le ministère des Solidarités et de la Santé de mettre en conformité d’application StopCovid, devenue TousAntiCovid. La mise en demeure est finalement levée en septembre. Également en cause, le fichier Contact COVID, destiné à retracer les chaînes de contamination, fait encore l’objet de mauvaises pratiques. Dans son avis trimestriel de janvier 2021, la CNIl indique ainsi avoir adressé un courrier à la Caisse nationale d’assurance maladie faisant état des manquements relevés et de ses obligations en matière de protection des données personnelles.
À l’international, de nombreux scandales liés à la protection de la vie privée
En janvier 2021, Facebook annonce la suspension du compte officiel du Premier ministre israélien Benyamin Netanyahou, qui opérait depuis une semaine un chatbot qui contactait les utilisateurs du réseau social pour obtenir l’identité de citoyens de plus de 60 ans n’ayant pas encore été vaccinés. Le réseau social de Marc Zuckerberg a indiqué que cette pratique allait à l’encontre de sa politique de confidentialité : « en accord avec notre politique de confidentialité, nous n’autorisons pas les contenus qui partagent ou demandent les informations médicales de particuliers. » Ce cas de figure n’est pas isolé, en particulier dans des régimes autoritaires qui ont rapidement exploité le prétexte de la pandémie pour renforcer la collecte de données de leurs citoyens. C’est ainsi que Bill Evanina, ancien directeur du Centre national de contre-espionnage et de sécurité des États-Unis, estime dans un reportage CBS que le gouvernement de la République populaire de Chine a mis la main sur les données de santé de 80% des citoyens étasuniens au travers de la société BGI.
Des données protégées par un cadre légal strict en France et en Union européenne
Dans un contexte de pandémie mondiale, le droit des données personnelles est plus que jamais mis à l’épreuve par des mesures, parfois nécessaires, de contrôle des déplacements et contacts. Pourtant, ce cadre légal et règlementaire est d’autant plus indispensable qu’il devient alors le dernier rempart de la protection des libertés individuelles. Alors que le gouvernement français met progressivement en place une campagne de vaccination à grande échelle, les données collectées sont ainsi soumises au RGPD et à transposition en droit français, et régulièrement contrôlées par la CNIL. Les informations collectées doivent ainsi être stockées dans des serveurs sécurisés, et rendues accessibles à des personnels soumis au secret médical. Quand elles sont utilisées à des fins de statistique dans différentes études, elles doivent être anonymisées afin de ne plus être rattachées à des personnes identifiées. À noter également, les résidents français et européens peuvent faire valoir à tout moment un droit d’accès, de rectification ou d’opposition à leurs données personnelles.