Le règlement général sur la protection des données personnelles (RGPD) en vigueur depuis le 25 mai 2018, vise un renforcement important concernant les droits des citoyens sur Internet, concernant notamment la collecte et l’utilisation de leur données. En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui est chargée de faire appliquer cette nouvelle réglementation.

Le RGPD : Pour qui ? Pour quoi ?

Ce règlement comporte deux aspects importants : en premier lieu, responsabiliser les acteurs concernés sur la collecte, le traitement et l’utilisation des données personnelles, que ce soit celles de leur clientèle ou de leurs employés.

Quel que soit le secteur, la nature ou la taille de la structure, chaque entité manipulant des données doit se conformer aux nouvelles directives de l’UE.

Depuis la mise en action du RGPD, c’est tout le parcours de traitement qui a dû être revu, de la collecte au “droit à l’oubli”.

Les mesures nécessaires pour garantir au mieux la sûreté des données sont également devenues une obligation légale. Selon la sensibilité et les risques encourus par ces données, Jaguar Network peut fournir des espaces de sauvegarde chiffrée dans ses datacenters souverains, des protections anti-DDoS et des parcours maîtrisés grâce aux services de sécurité managée.

La CNIL a également une mission de sensibilisation auprès des citoyens, en s’assurant que ceux-ci soient suffisamment informés sur ce sujet.

Ce contexte inédit de la pandémie COVID-19 soulève de nombreuses questions relatives à la protection des données personnelles et à la vie privée. Comment concilier la surveillance et respect des libertés ?

La CNIL demande à l’État français de limiter l’exploitation des données de géolocalisation. Cette demande a pour but de ne pas divulguer les données personnelles des utilisateurs sans leur consentement. En effet, il souhaite privilégier la diffusion des données « anonymisées » pour protéger la vie privée des citoyens.

Parallèlement à cela, le Comité européen à la protection des données n’est pas du même avis que le CNIL. Le 19 mars dernier, le CEPD autorise les pays européens, dont la France, à utiliser, exploiter et traiter les données personnelles pour lutter contre le Covid-19.

Le Comité européen à la protection des données a rappelé que les principes fondamentaux du RGPD s’appliquent aux traitements des données mis en œuvre dans ce contexte d’épidémie ; et que le RGPD permettait aux autorités sanitaires compétentes d’utiliser les données personnelles des internautes dans le contexte d’une épidémie.

Sur ces fondements, les employeurs peuvent se dispenser du consentement du salarié pour collecter une donnée de santé, donnée dite sensible, telle qu’une infection au Covid-19.

La Commission européenne a également demandé aux opérateurs téléphoniques de plusieurs pays de fournir des données agrégées sur leurs abonnés mobiles pour mieux surveiller et lutter contre la propagation de cette crise sanitaire.

Suite à ces déclarations, certains pays utilisent les nouvelles technologies, notamment de géolocalisation le « backtraking » pour lutter contre le Covid-19 :

  • En France, Orange avec 34 millions d’abonnés mobile, a été choisi pour partager les données de localisation recueillies, de façon anonyme. La France a fait savoir qu’elle réfléchissait à son tour à « l’opportunité de la mise en place d’une stratégie numérique d’identification des personnes ayant été au contact de personnes infectées ». Le Comité analyse, recherche et expertise (Care), formé de 12 chercheurs et médecins, est en charge de la réflexion.
  • En Pologne, les personnes en quarantaine doivent se prendre en photo via une application, afin de prouver que les malades sont bien confinés à leur domicile.
  • En Italie, le gouvernement a demandé aux opérateurs de leur fournir le déplacement des habitants de la Lombardie, placés en quarantaine pour s’assurer que les citoyens respectaient bien le confinement.
  • En Angleterre, une nouvelle application a vu le jour pour prévenir les personnes qui ont été en contact récemment avec des individus déclarés positifs.
  • Les autorités de la Corée du Sud retracent à la minute près le parcours de chaque personne infectée par le virus. Ces informations sont ensuite envoyées sur le smartphone de tous les résidents des zones visitées par le patient.

Les rappels de la CNIL

La CNIL rappelle, dans un article du 6 mars 2020, Les grands principes liés à la collecte de données personnelles ; ce qui est permis et interdit de faire aux employeurs dans le cadre du traitement des données personnelles de leurs employés/agents ou visiteurs.

Il convient aux responsables de traitements d’être extrêmement vigilants aux dispositions nationales et à ses évolutions possibles, en se référant à la la CNIL. 

Chez Jaguar Network, nous respectons les demandes du gouvernement afin de respecter à la fois le RGPD mais aussi être mobilisés pour tous lutter face au Covid-19.

Contactez nous pour tout conseil sur : rgpd@jaguar-network.com