Guide pratique sur la protection des données et le développement d’applications de santé

Des applications de santé sont développées dans le cadre des mesures envisagées pour la phase de déconfinement. Elles visent à étudier les interactions sociales d’une personne et elles pourraient être utilisées comme passeport de santé pour accéder au bureau, aux transports publics ou aux centres commerciaux. Des dispositifs d’abord conçus à des fins sanitaire et sécuritaire risquent de se transformer en outils de surveillance de la population si les principes relatifs à la protection des données sont négligés. Il existe des normes de base que les autorités publiques, les entreprises privées ou les organisations de la société civile qui développent des applications doivent respecter. Une liste de contrôle en huit points.

1Être préparé

Le Règlement général sur la protection des données (RGPD) comprend une liste de principes qui vous aideront à développer votre application de manière responsable. Vous devez tenir compte de ces règles au tout début du processus et non après la phase de développement.

La protection des données doit être mise en oeuvre dès la conception et par default1, pour reprendre la terminologie du RGPD. Cela signifie que les choix technologiques et leurs implications pour la protection des données doivent être pris en considération dès les premiers stades de développement. Une application reposant sur la technologie Bluetooth, par exemple, est potentiellement plus respectueuse de la vie privée qu’une application basée sur des données de géolocalisation.

2Être licite

Vous devez d’abord déterminer la base juridique appropriée pour traiter les données personnelles collectées par l’application que vous développez (principe de licéité2).

Si l’on prend en compte principalement les données de santé et de localisation, trois bases juridiques vous permettraient de traiter les données nécessaires à la réalisation de votre projet:

  • le consentement3;
  • les intérêts vitaux4; ou
  • la santé publique5.

Nous avons déjà traité des différences entre les trois bases juridiques (cf. Les données de santé au temps du coronavirus), mais vous devez garder à l’esprit que la base juridique et l’exception liées aux intérêts vitaux s’appliquent à un nombre restreint de cas et que l’exception de santé publique nécessite l’adoption d’une nouvelle loi si elle ne fait pas déjà partie de la législation nationale.

Le consentement devrait être la base juridique privilégiée en ce qui a trait aux données de localisation6. Elle représente aussi la base appropriée pour traiter des données de santé dans le cadre de l’exploitation d’une application s’appuyant sur des informations personnelles pour lutter contre le coronavirus.

Le traitement des données à caractère personnel doit toujours être fondé sur un consentement libre et éclairé7. Ceci exclut la possibilité de rendre l’utilisation de l’application obligatoire ou de pénaliser ceux qui refuseraient de l’installer. Vous devez également vous interdire tout discours culpabilisant pour persuader les gens de télécharger l’application et de s’inscrire pour l’utiliser.

3Être loyal

Les données doivent être recueillies dans un but déterminé, explicite et légitime8, qui est en l’espèce d’éradiquer l’épidémie de Covid-19. Le principe de loyauté9 exige que vous utilisiez les données collectées uniquement d’une manière compatible avec cette finalité. Elles ne doivent pas être utilisées à des fins commerciales ou à toute autre fin non prévue initialement.

Plus généralement, les personnes concernées doivent être traitées équitablement, une obligation étroitement liée au respect des droits individuels prévus par le RGPD (voir ci-après).

4Être transparent

La transparence est l’un des principes fondamentaux du RGPD10. Il doit être appliqué rigoureusement, surtout en temps de crise, pour préserver la confiance du public.

Vous devez être clairs et transparents sur la façon dont les informations personnelles seront utilisées. Vous devez déclarer publiquement et d’une manière non équivoque:

  • quelles données sont traitées (identification, santé, géolocalisation, etc.);
  • pourquoi elles sont traitées (description claire du but du traitement);
  • qui les traite (l’entreprise ou l’autorité publique qui a développé l’application, des tiers, etc.);
  • comment elles sont traitées (localement sur le téléphone, par un serveur centralisé, technologie utilisée, etc.);
  • avec qui les données seront partagées (autres autorités publiques, chercheurs, etc.).

5Être minimal

La minimisation des données est l’un des principes les plus importants du régime juridique européen de protection des données11. Elle repose principalement sur deux principes juridiques: la nécessité et la proportionnalité.

Vous devez collecter uniquement les données nécessaires pour atteindre l’objectif poursuivi par l’application et vous devez démontrer un lien substantiel entre les données personnelles utilisées et le but déclaré.

Le traitement ne doit pas aller au-delà de ce qui est nécessaire pour atteindre cet objectif et vous devez privilégier les mesures qui s’avèrent les moins intrusives tout en étant appropriées pour atteindre l’objectif.

6Être éphémère

Les données ne doivent pas être traitées pendant une période plus longue que ce qui est nécessaire pour mettre fin à la crise du Covid-19, selon le principe de la limitation de la conservation12. Une fois l’urgence terminée, toutes les données liées à la lutte contre l’épidémie devront être supprimées ou détruites en toute sécurité.

7Être sécurisé

Votre responsabilité ne s’arrête pas à déterminer la base juridique pour collecter des données personnelles, elle s’étend à toute la durée de vie des données. Vous devez prendre des mesures de sécurité à toutes les étapes du traitement13, qu’il s’agisse de la collecte, de la conservation, de l’étude, de la transmission ou du partage des données.

Vous devez garder en tête la nature des données collectées et prendre conscience du risque qu’elles puissent être utilisées à d’autres fins en cas de piratage, par exemple. Des personnes peuvent être stigmatisées parce qu’elles sont ou ont été contaminées par le coronavirus. Les données peuvent également être utilisées par un assureur pour évaluer le risque, par un employeur pour décider d’embaucher une personne ou par un évaluateur pour déterminer la valeur des propriétés d’un quartier particulièrement touché par l’épidémie.

Vous devez vous assurer que les données collectées sont conservées en toute sécurité, que ce soit sur le téléphone d’une personne ou sur un serveur, en fonction de la technologie utilisée. Cela implique que vous preniez toutes les mesures nécessaires pour assurer la sécurité de l’application et du serveur sur lequel les données sont stockées. L’agrégation, le chiffrement ou la pseudonymisation des données peuvent fournir le niveau de sécurité requis14.

Vous devez également maintenir la confidentialité des données traitées en tout temps. Elle comprend l’obligation d’empêcher l’accès non autorisé ou illicite aux données. Vous devez limiter l’accès aux données à un nombre restreint de personnes.

8Être respectueux

La protection des données est un régime juridique complet dans l’Union européenne couvrant la plupart des aspects des questions liées à la vie privée. Vous devez vous conformer pleinement à toutes les exigences du RGPD. Vous devez, entre autres, garantir les droits individuels, comme le droit d’accès15, le droit de rectification16, le droit à l’effacement17 ou le droit à la limitation du traitement18. Vous devez également prévoir des recours appropriés en cas de litige.

Votre application fera une différence si elle est adoptée par une partie importante de la population. Les citoyens accepteront de la télécharger et de l’utiliser s’ils croient que leur droit à la protection des données est respecté. Le développement d’un système de suivi des contacts ou de traçage numérique constitue un défi technologique; il nécessite un investissement tout aussi conséquent dans le respect des dispositions relatives à la protection des données.

* An English version of this article has been published under the title A Practical Guide to Data Protection and Developing Health Applications.

1 Art. 25 RGPD.

2 Art. 5 (1) (a) RGPD.

3 Art. 6 (1) (a) et 9 (2) (a) RGPD.

4 Art. 6 (1) (d) et 9 (2) (c) RGPD.

5 Art. 9 (2) (i) RGPD.

6 Groupe de travail «Article 29», Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents (2011), p. 14.

7 Art. 4 (11) RGPD.

8 Art. 5 (1) (b) RGPD.

9 Art. 5 (1) (a) RGPD.

10 Art. 5 (1) (a) RGPD.

11 Art. 5 (1) (c) RGPD.

12 Art. 5 (1) (e) RGPD.

13 Art. 5 (1) (f) RGPD.

14 Cf. Luk Arbuckle et Khaled El Emam, Anonymizing Health Data – Case studies and methods to get you started, Sebastopol, O’Reilly Media, 2013; et Organisation internationale de normalisation, Informatique de santé – Pseudonymisation, doc. ISO 25237 (2017).

15 Art. 15 RGPD.

16 Art. 16 RGPD.

17 Art. 17 RGPD.

18 Art. 18 RGPD.