Les données de santé au temps du coronavirus

Alors que le monde est témoin d’une crise sanitaire inédite et que des vies humaines sont en jeu, la protection des données personnelles n’est pas la principale préoccupation de la plupart des gens, et c’est compréhensible. Néanmoins, les valeurs démocratiques, et en particulier les droits et libertés de chaque citoyen, ne peuvent être ignorées, même en ces temps difficiles. Les lois sur la protection des données ne constituent pas des obstacles à la lutte contre le coronavirus, car elles comportent des dispositions visant à traiter les informations nécessaires pour faire face à la pandémie tout en respectant les droits fondamentaux.

Les données de santé sont des données sensibles

Une crise telle que celle à laquelle la communauté internationale est confrontée en ce moment entraîne le traitement d’un grand nombre de données relatives à la santé par des organismes publics, des professionnels de la santé et même des employeurs.

Ces données relatives à l’état de santé d’une personne appartiennent à des catégories particulières de données à caractère personnel en vertu du Règlement général sur la protection des données [article 9 (1) RGPD] et sont traitées différemment des autres données personnelles en raison de leur nature sensible. Le traitement de ces données présente en effet «des risques importants» pour les droits et libertés d’une personne (considérant 51 RGPD).

Les données de santé sont définies comme des «données à caractère personnel relatives à la santé […] d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne» [article 4 (15) RGPD]. Quelles données personnelles devraient être considérées comme des données de santé, selon cette définition, dans le contexte de la crise sanitaire actuelle?

Données de santé

Les informations relatives à un test positif au Covid-19, la réalisation elle-même de tests de dépistage, la prise de la température corporelle d’une personne ou le relevé des symptômes de la maladie (fièvre, toux, problèmes respiratoires, etc.) doivent certainement être considérées comme des données de santé.

Les informations sur les lieux de séjour et les endroits visités par une personne lors d’un voyage constituent des données personnelles, mais doivent-elles être considérées comme des données sensibles? Les autorités de contrôle de certains États Membres ne les classent pas comme telles parce qu’elles ne révèlent pas directement des informations sur l’état de santé d’une personne.

Le simple fait qu’une personne soit en quarantaine est plus difficile à qualifier. Ce fait peut être considéré comme une donnée de santé en fonction des informations supplémentaires existantes sur la quarantaine (cause, objectif, lieu, etc.), selon les autorités de contrôle de certains États Membres.

Il apparaît maintenant clair que certaines informations relèvent du régime juridique général de la protection des données, tandis que d’autres suivent des règles spéciales. La suite de l’article s’intéresse exclusivement à ces règles applicables aux catégories particulières de données à caractère personnel et à leur traitement par des employeurs, des organismes publics et des professionnels de la santé dans un contexte exigeant des actions et des décisions rapides.

Le traitement des données de santé d’un employé

Les employeurs font face à une situation sans précédent, car ils doivent protéger la santé de leurs employés contre un ennemi invisible. Les porteurs asymptomatiques du coronavirus compliquent la tâche des gestionnaires et des patrons qui doivent prendre les mesures appropriées pour assurer un environnement de travail sain et sécuritaire à leurs employés.

Le traitement de catégories particulières de données à caractère personnel dans le domaine de l’emploi n’est possible que si cela est nécessaire, s’il est autorisé par la loi d’un État Membre ou une convention collective et s’il existe des garanties appropriées pour protéger les droits fondamentaux et les intérêts des travailleurs [article 9 (2) (b) RGPD].

Cela implique qu’il n’y a pas de règles générales applicables à l’ensemble de l’Union européenne et que l’exception au traitement des données personnelles sensibles ne peut être comprise que sur une base nationale. Les États Membres peuvent autoriser les employeurs, par des dispositions expresses, à collecter des données personnelles sensibles pour différentes raisons, y compris pour assurer la santé et la sécurité au travail des employés.

De façon générale, les employeurs ne peuvent prendre de mesures qui porteraient atteinte à la vie privée de leurs employés. Ils doivent respecter les principes de base énoncés dans les lois relatives à la protection des données. Ils ne peuvent recueillir des données sur la santé allant au-delà de la gestion des cas suspects de contamination au coronavirus. Le traitement des données de santé doit être proportionné à l’objectif de protection de la santé des employés.

Traitement de données

En tant qu’employeur, vous ne pouvez pas collecter systématiquement des données de santé au moyen de questionnaires médicaux, à la recherche de symptômes d’infection au coronavirus, d’enquêtes sur les voyages récents de vos employés ou d’une prise quotidienne de leur température corporelle. Ces gestes ne seraient pas considérés comme proportionnés à l’objectif de fournir un lieu de travail sûr, sauf si une loi nationale vous autorise à le faire.

Vous pouvez compter sur le consentement explicite de vos employés [article 9 (2) (a) RGPD] pour leur demander de partager volontairement des informations sur leur état de santé s’ils soupçonnent qu’ils ont été exposés au virus ou qu’ils présentent des symptômes de contamination.

Vous pourrez ensuite traiter les informations relatives à l’identité de l’employé concerné et les mesures prises, comme un arrêt maladie, le travail à distance ou la consultation d’un médecin du travail. Les données personnelles collectées ne doivent être traitées que dans le but spécifique de faire face à la pandémie et devront être supprimées dès qu’elles ne seront plus nécessaires pour atteindre cet objectif.

Les employeurs ne peuvent divulguer l’identité des employés infectés, car ils doivent respecter la confidentialité des données collectées [article 5 (1) (f) RGPD]. Ils peuvent informer les travailleurs de la situation générale sans révéler le nom des personnes concernées, sauf si cela est nécessaire et si la législation nationale le permet. Sinon, cela pourrait conduire à la discrimination ou à la stigmatisation de ces employés par leurs collègues.

Tout comme les employeurs, les organismes publics et les professionnels de la santé ont un intérêt à traiter des données de santé dans le contexte de la crise du Covid-19. La grave menace que représente le coronavirus pour la santé publique peut justifier la collecte et le traitement de données sensibles pour surveiller l’épidémie et sa propagation (considérant 46 RGPD). Les organismes publics et les professionnels de la santé peuvent invoquer deux bases juridiques pour le faire, l’exception relative aux intérêts vitaux et l’exception relative à la santé publique.

Les données de santé et la protection d’intérêts vitaux

Conformément à l’article 9 (2) (c) RGPD, le traitement portant sur des catégories particulières de données à caractère personnel est autorisé s’il est nécessaire afin de protéger les intérêts vitaux d’une personne ou de tiers. L’exception relative aux intérêts vitaux est similaire à la base légale de l’article 6 (1) (d) RGPD, sauf qu’elle ne s’applique que si le consentement d’une personne ne peut être obtenu.

La portée de l’exception est limitée, car elle ne concerne que la protection de «l’intérêt vital» d’une personne, c’est-à-dire «un intérêt essentiel à [s]a vie» (considérant 46 RGPD). Il comprend les menaces à l’intégrité physique ou à la vie d’une personne ou d’un tiers. En d’autres termes, il doit être question de vie ou de mort, même si le considérant 46 élargit la portée de l’exception. Elle s’applique également à des fins humanitaires, telles que la surveillance des épidémies, ce qui présente un intérêt tout particulier ici.

Intérêts vitaux

La deuxième condition limite considérablement la portée de l’exception relative aux intérêts vitaux: elle ne peut être invoquée que si l’individu est physiquement ou légalement incapable de donner son consentement. Cela peut être le cas si la personne est inconsciente, par exemple, ou si elle est incapable de consentir en raison de son statut juridique, comme les mineurs ou les adultes sous curatelle ou sous tutelle. Vous devez demander un consentement explicite, conformément à l’alinéa 2 (a) de l’article 9 RGPD, chaque fois que cela est possible. Vous ne pouvez pas vous appuyer sur l’exception relative aux intérêts vitaux comme solution de rechange si une personne est en mesure de consentir et elle a refusé de le faire.

Essentiellement, l’exception relative aux intérêts vitaux est utile dans les situations d’urgence médicale. Si une personne souffre du syndrome de détresse respiratoire aiguë, par exemple, le personnel médical a besoin de ses antécédents médicaux récents pour décider du traitement approprié. Comme la personne n’est pas en mesure de donner son consentement, l’hôpital doit s’appuyer sur une base légale pour traiter ses données de santé et l’exception relative aux intérêts vitaux pourrait s’avérer utile. Elle peut également être invoquée dans les cas d’épidémies comme celle à laquelle le monde est confronté en ce moment. Il est évidemment impossible pour toutes les personnes infectées de consentir individuellement en temps opportun au traitement de leurs données de santé par le personnel médical afin de prévenir la propagation du virus et, ce faisant, de protéger les intérêts vitaux de tiers.

Les données sensibles et la protection de la santé publique

Le législateur européen n’aurait pu prévoir l’ampleur de l’épidémie de coronavirus, mais il a adopté une exception à l’interdiction de traiter des données sensibles pour faire face à de telles situations. Il y a eu des épidémies par le passé et il y en aura dans l’avenir, c’est pourquoi le Règlement général sur la protection des données habilite les autorités publiques à collecter des données de santé lors de la survenance d’un tel phénomène.

L’article 9 (2) (i) RGPD prévoit une exception au traitement des données sensibles – sans l’obtention préalable du consentement explicite d’une personne (considérant 54 RGPD) – qui sont nécessaires pour des raisons d’intérêt public dans le domaine de la santé publique.

La santé publique est généralement définie comme «tous les éléments relatifs à la santé»1. Les termes sont exemplifiés dans l’article 9 (2) (i) RGPD. Ils comprennent explicitement la protection contre les «menaces transfrontalières graves sur la santé», ces dernières incluant à leur tour les «maladies transmissibles»2. L’exception englobe donc les données nécessaires à l’étude ou à la lutte contre les épidémies telle que celle qui oblige actuellement des centaines de milliers de personnes à travers le monde à se confiner.

Santé publique

L’intérêt public renvoie au bien public et à ce qui est dans l’intérêt supérieur d’un groupe d’individus ou de la société dans son ensemble (considérant 53 RGPD). Un intérêt personnel, corporatif ou financier ne suffit pas à justifier l’application de cette exception et les données traitées en vertu de cet alinéa de l’article 9 RGPD ne peuvent être partagées avec des tiers (considérant 54 RGPD).

«L’urgence est une condition légale qui peut légitimer des restrictions de libertés à condition que ces restrictions soient proportionnées et limitées à la période d’urgence» (notre traduction), rappelle le Comité européen de la protection des données. Il est dans l’intérêt de tous de ralentir l’épidémie et de recourir à la technologie dans la lutte contre le coronavirus (cf. Coronavirus, traçage des données et vie privée). Cela doit néanmoins être fait d’une manière qui préserve les droits et les libertés de chacun. Le traitement des données personnelles sensibles dans le contexte d’une crise sanitaire devrait être nécessaire, proportionné et temporaire. L’intérêt public impérieux d’éradiquer les pandémies nécessite une approche raisonnable et pragmatique engagée dans le respect de la primauté du droit.

1 Règlement (CE) no 1338/2008 du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail, JOUE L 354, 31 décembre 2008, p. 70, art. 3 c).

2 Décision no 1082/2013/UE 22 octobre 2013 relative aux menaces transfrontières graves sur la santé, JOUE L 293, 5 novembre 2013, p. 1, art. 1 (a) (i).