Les crises conduisent souvent à relativiser de nombreux impératifs qui, en temps normal, s’imposent sans grande difficulté. Elles poussent aussi, systématiquement, à raisonner en termes de circonstances exceptionnelles, de suspension des règles, et de procédures accélérées – parfois expéditives. Or, c’est précisément en temps de crise que les organisations doivent savoir distinguer l’essentiel de l’accessoire, et faire en sorte de protéger les règles fondamentales plutôt que les abolir plus ou moins durablement.

La pandémie du coronavirus 2019 (dite « covid-19 »), et l’actuelle crise sanitaire, amènent fort logiquement les entreprises et les états, à s’interroger sur la permanence des règles de droit commun. Et en l’espèce, à s’interroger sur la pertinence, voire la compatibilité, du RGPD avec les circonstances exceptionnelles actuelles. Les autorités peuvent avoir une tendance inquiétante à s’affranchir de certaines règles établies pour donner force à la protection des droits et libertés fondamentales ; les entreprises peuvent logiquement trouver fastidieuses et inappropriées les exigences procédurales et organisationnelles que le RGPD les amène à déployer depuis bientôt deux ans.

Coronavirus Disease 2019 Rotator Graphic for af.mil. (U.S. Air Force Graphic by Rosario « Charo » Gutierrez)

Or, c’est sans doute en temps de crise qu’il est encore plus crucial de protéger et respecter les libertés fondamentales. Et la protection des données personnelles en relève assurément : le RGPD est lié à la charte européenne des droits fondamentaux, et depuis 1978, la loi française rappelle que les données sont une émanation de la personne, et que leur protection constitue donc une question de libertés publiques.

La question se pose donc de savoir comment s’applique la protection des données à caractère personnel, et en particulier les règles du RGPD que beaucoup d’entreprise étaient encore en train de concevoir et de déployer, dans le contexte exceptionnel actuel. En France, le Parlement a adopté la loi n°2020-290 du 23 mars 2020 « d’urgence pour faire face à l’épidémie de covid-19 », qui aménage un certain nombre de règles de droit commun en fonction des impératifs sanitaires, et du confinement en place depuis fin mars. Mais cette loi n’a pas spécifiquement évoqué la protection des données personnelles, et en particulier des données personnelles de santé, de sorte que la plupart des entreprises et administrations s’interrogent sur son application actuelle – ou ne s’interrogent pas, ce qui est pire.

Rappelons à titre liminaire que contrairement à ce que certains ont cru pouvoir dire, le RGPD n’est nullement incompatible avec la situation actuelle. Son considérant 52 mérite à cet égard d’être intégralement cité : « Des dérogations à l’interdiction de traiter des catégories particulières de données à caractère personnel devraient également être autorisées lorsque le droit de l’Union ou le droit d’un État membre le prévoit, et sous réserve de garanties appropriées, de manière à protéger les données à caractère personnel et d’autres droits fondamentaux, lorsque l’intérêt public le commande, notamment le traitement des données à caractère personnel dans le domaine du droit du travail et du droit de la protection sociale, y compris les retraites, et à des fins de sécurité, de surveillance et d’alerte sanitaire, de prévention ou de contrôle de maladies transmissibles et d’autres menaces graves pour la santé. Ces dérogations sont possibles à des fins de santé, en ce compris la santé publique et la gestion des services de soins de santé, en particulier pour assurer la qualité et l’efficience des procédures de règlement des demandes de prestations et de services dans le régime d’assurance-maladie, ou à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Une dérogation devrait, en outre, permettre le traitement de ces données à caractère personnel, si cela est nécessaire aux fins de la constatation, de l’exercice ou de la défense d’un droit en justice, que ce soit dans le cadre d’une procédure judiciaire, administrative ou extrajudiciaire ».

De manière classique, il suffit de s’interroger sur la ou les base(s) légale(s) qui, en ces temps exceptionnels, permettraient de traiter des données personnelles de santé. Les concepts du RGPD sont donc parfaitement opérationnels, et il convient de déterminer qui (quels responsables de traitement) peuvent collecter quelles données (données de santé, données de géolocalisation…), pour quelle finalité (prévention / suivi de la pandémie) pendant combien de temps et avec quels moyens. Les réponses diffèrent bien entendu selon les responsables de traitement (entreprises, associations, collectivités territoriales, Etat, autorités sanitaires…) et les catégories de personnes concernées (salariés, clients, patients…).

 

Qu’en est-il à ce jour, 13 avril 2020, pour les entreprises (I), et plus généralement pour la population (II) ?

La question se pose d’une part au niveau des entreprises, dont les activités sont très fortement impactées par la pandémie comme le confinement, et qui doivent se réorganiser et mettre en œuvre des traitements complémentaires, d’une part, et au niveau des autorités, qui sont amenées à procéder à des collectes massives dans le cadre de la réponse sanitaire à apporter.

(…)