Pour lutter contre la propagation du coronavirus, les entreprises mettent en place différents types de mesures pouvant inclure le traitement de renseignements personnels. Toutefois, certaines pratiques envisagées peuvent porter atteinte à la protection des renseignements personnels ou à la vie privée.

Il est donc important de se rappeler que les différentes lois relatives à la protection des renseignements personnels continuent de s'appliquer, malgré le contexte actuel. Les mesures prises doivent donc toujours être proportionnées entre le fait de concilier/protéger la santé publique (et individuelle) tout en assurant la protection des renseignements personnels et la vie privée des individus/employés.

Cette situation n'est pas spécifique au Québec, ni même au Canada. Il en va de même en Europe. La mise en perspective de la situation au sein de l'Union Européenne résultant du RGPD ainsi que celle du Québec donne un bon aperçu de ce qu'il est possible de faire pour protéger les individus tout en respectant leurs renseignements personnels.

Dans un bulletin précédent, nous traitions des trois problématiques auxquelles sont généralement confrontées les entreprises en cette période de pandémie. Un mois et demi plus tard, alors que la pandémie continue de battre son plein et de paralyser la société, les autorités de contrôle au Québec, au Canada et en Europe se sont prononcées sur l'attitude à adopter en matière de gestion de renseignements personnels en cette période exceptionnelle.

Nous évoquerons ainsi dans ce bulletin les précisions apportées par les autorités de contrôle notamment quant à ces trois thèmes :

  • La gestion des risques de cyberattaques;
  • Les informations pouvant être collectées, utilisées et communiquées ou plus précisément, la possibilité de mettre en place les mesures identifiées comme étant « nécessaires » pour tenter d'éradiquer et protéger le milieu de travail;
  • Les enjeux relatifs à la divulgation de l'identité d'un employé atteint de la Covid-19 à ses collègues.

Sur les risques de cyberattaques

La propagation de la Covid-19 a contraint les entreprises à prendre les mesures adéquates pour assurer la continuité de l'activité, tout en protégeant leurs effectifs, notamment à travers le télétravail.

Afin d'encadrer et sécuriser efficacement les accès à distance au système d'information, les procédures encadrant la sécurité informatique doivent être revues pour vérifier leur adaptation à ce contexte inédit. Dans ce cadre, l'ENISA (« European Union Agency for Cybersecurity ») a publié des recommandations sur les mesures de sécurité à respecter en télétravail1, en rappelant notamment aux entreprises qu'elles doivent utiliser des outils informatiques permettant le cryptage des données, évaluer régulièrement les paramètres de sécurité ainsi que lire attentivement les politiques de confidentialité afin de s'assurer que l'outil utilisé n'envoie pas des informations à des tierces parties.

En complément de ces procédures, des formations régulières en sécurité informatique se révèlent être un outil précieux pour les entreprises afin de sensibiliser les employés en la matière. Ainsi, les employés devraient être régulièrement informés qu'ils ne doivent pas partager des informations hautement confidentielles ou sensibles qu'au moyen des outils sécurisés d'échange de données de l'entreprise et non par simple courriel. De même, l'utilisation du réseau VPN de l'entreprise doit être utilisé afin d'assurer la sécurité des données.

Enfin, les entreprises doivent s'assurer qu'elles ont un plan de réponse aux incidents adéquat et facile à mettre en Suvre, afin de pouvoir identifier rapidement le protocole à suivre en cas de cyberattaque, notamment les personnes à contacter.

La possibilité de mettre en place les mesures identifiées comme étant « nécessaires » pour tenter d'éradiquer et protéger le milieu de travail

La gestion de la Covid-19 par les entreprises entraîne des enjeux majeurs relatifs à la vie privée des individus et à la protection de leurs renseignements personnels. Les entreprises peuvent-elles se fonder sur la protection de la santé publique afin de collecter des données sensibles et les communiquer à des tiers sans pour autant avoir obtenu le consentement des employés?

La situation au Québec et au Canada

Au Québec et plus largement au Canada, la collecte de renseignements personnels, notamment par un employeur, repose notamment sur les principes suivants : consentement, nécessité et proportionnalité.

Dans un document2 tout récent publié en lien avec les événements, la Commission d'accès à l'information prévoit d'ailleurs que toute réflexion portant sur l'impact des solutions technologiques doit impliquer une évaluation à deux niveaux soit : 1) la pondération de l'objectif poursuivi (test de nécessité) et 2) l'impact sur la vie privée de l'individu (test de proportionnalité). Si et seulement si ce premier test permet effectivement de conclure que l'objectif poursuivi justifie de mettre en place la solution envisagée et que celle-ci est proportionnelle à l'objectif poursuivi, il convient alors de mettre en place la seconde partie de l'évaluation3. Cette seconde partie consiste à s'assurer que les modalités de la solution envisagée respectent les principes et les meilleures pratiques en matière de protection des renseignements personnels4. (étude du type de consentement à recevoir, étude d'impact de la solution technologique envisagée, limitation de la collecte et de l'utilisation de renseignements personnels, notification aux individus concernés, respect des principes législatifs applicables propres à l'utilisation de renseignements biométriques et de géolocalisation5, durée de conservation des renseignements, mise en place de mesures de sécurité, prévoir les droits d'accès).

En d'autres termes, la mise en place de mesures visant à prévenir la contamination des employés par la Covid-19 ne doit pas empêcher le respect des lois applicables en matière de protection des renseignements personnels.

Malgré la situation exceptionnelle que nous vivons actuellement, les lois en matière de protection de renseignements personnels et vie privée continuent de s'appliquer sans pour autant faire obstacle à une collecte, utilisation et communication appropriée.

C'est en effet ce qu'a également affirmé tout récemment le Commissariat à la vie privée du Canada en publiant un document comprenant un cadre d'évaluation visant à aider les institutions fédérales qui doivent répondre à la crise sanitaire6. Ce cadre d'évaluation comprend le cadre suivant :

  • Conformité à la Loi applicable;
  • Nécessité et proportionnalité;
  • Principe de finalité (les renseignements collectés ne doivent pas être utilisés à d'autres fins que l'objectif initial, soit atténuer les effets du COVID-19 sur la santé publique);
  • Dépersonnalisation et autres mesures de sécurité des renseignements personnels (dans la mesure du possible les données doivent être désidentifiées ou agrégées);
  • Tenir compte des répercussions propres aux groupes vulnérables (les organisations doivent porter une attention toute particulière aux renseignements sensibles, aux conséquences disproportionnées que peuvent avoir des ensembles de données sur certains sous-groupes ou communautés et aux répercussions disproportionnées pouvant être provoquées par la prise de décisions à l'aide d'algorithmes ou des logiciels d'intelligence artificielle);
  • Transparence (les organisations doivent informer les individus des nouvelles mesures et ce, de manière continue);
  • Évaluation quant aux données ouvertes (les avantages et risques découlant de la diffusion d'ensembles de données publiques doivent être évalués soigneusement);
  • Surveillance et responsabilité ( les mesures adoptées expressément en lien avec la crise devraient toujours prévoir des dispositions sur la surveillance et la responsabilité);
  • Limitation de la durée des mesures (les mesures doivent être limitées dans le temps et prendre obligatoirement fin lorsqu'elles ne sont plus nécessaires).

Dans ce contexte, les mesures prises en lien pour tenter de contrôler et éradiquer le virus, notamment sur les lieux de travail doivent faire l'objet d'une analyse rigoureuse. Le test de nécessité est rigoureusement appliqué tant par la Commission d'accès à l'information que par le Commissariat à la vie privée du Canada. Autrement dit, le critère de nécessité présuppose que le renseignement personnel recueilli est absolument indispensable de telle sorte qu'un renseignement personnel qui est simplement utile (ou commode) aux fins de l'objectif poursuivi ne répond pas au critère de nécessité7. Dans ce contexte, nous recommandons de recueillir un avis légal avant de décider d'implanter une mesure impliquant la collecte de renseignements personnels, notamment en milieu de travail. En effet, il est primordial de s'assurer que la mesure envisagée réponde aux critères de nécessité et proportionnalité en vertu de la loi.

Par ailleurs, advenant que le test de nécessité et proportionnalité soit rempli, une collecte de renseignements sensibles (par exemples données recueillies via des caméras thermiques, prises de température, tests sérologiques) doit davantage faire l'objet de mesures encadrées. Enfin, l'analyse quant à l'exception au principe de consentement devrait également faire l'objet d'un avis juridique pour s'en prévaloir.

La situation au sein de l'Union européenne

En Europe, s'il est possible de se fonder sur le consentement pour collecter des données personnelles, le RGPD permet de se fonder sur d'autres bases légales. C'est ainsi que dans le contexte de la relation de travail, le traitement des données personnelles peut être nécessaire pour respecter une obligation légale à laquelle l'employeur est soumis, comme celles relatives à la santé et à la sécurité sur le lieu de travail, ou être fondé sur l'intérêt public, comme le contrôle des maladies et autres menaces pour la santé.

De même, le RGPD prévoit également des dérogations à l'interdiction de traiter certaines catégories spéciales de données, à l'instar des données relatives à la santé, lorsqu'elles sont nécessaires pour des raisons d'intérêt public important dans le domaine de la santé publique, sur la base du droit de l'Union ou du droit national (RGPD, art. 9, 2 (i)), ou lorsque le besoin s'en fait sentir pour protéger les intérêts vitaux de la personne concernée (RGPD, art. 9, 2, (c)). Notons que le considérant 46 fait explicitement référence au contrôle d'une épidémie8.

En tout état de cause, il convient de garder à l'esprit que le RGPD continue de s'appliquer intégralement durant la pandémie, notamment les principes de proportionnalité et de minimisation.

Ainsi, par exemple, un employeur peut-il exiger des visiteurs ou des employés qu'ils fournissent des informations spécifiques sur la santé dans le contexte de la Covid-19 ?

Dans cette hypothèse, le Comité européen à la protection des données considère que l'employeur ne devrait exiger des informations sur la santé que dans la mesure où la législation nationale le permet et si cela est nécessaire pour remplir ses obligations.

C'est ainsi, par exemple, qu'en France, selon l'autorité de protection des données, la CNIL, les employeurs doivent s'abstenir de collecter de manière systématique et généralisée, ou au travers d'enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un employé/agent et ses proches9. La CNIL précise même que sont interdits les relevés de températures des employés ou visiteurs dès lors qu'ils seraient enregistrés dans un traitement automatisé ou dans un registre papier ainsi que les opérations automatisées de captation de température ou au moyen d'outils tels que des caméras thermiques10.

Information aux employés d'un cas relié à la Covid-19

Comme nous l'expliquions dans un précédent bulletin, si un employé est atteint du virus, ses collègues doivent être informés qu'un individu au sein du milieu de travail a été testé positif. Toutefois, l'information donnée ne devra pas permettre d'identifier la personne malade.

Sur cette question, le Comité européen sur la protection des données considère d'ailleurs que les employeurs doivent informer leur personnel sur les cas Covid-19 et prendre des mesures de protection, mais ne doivent pas communiquer plus d'informations que nécessaire. Dans les cas où il serait nécessaire de révéler le nom de l'employé concerné, et si la législation nationale le permet, les employés concernés doivent être informés au préalable et leur dignité et leur intégrité doivent être protégées11.

En France, selon la CNIL, en cas de signalement, un employeur peut consigner (mais non divulguer) la date et l'identité de la personne suspectée d'avoir été exposée.

Footnotes

1. https://www.enisa.europa.eu/news/enisa-news/tips-for-selecting-and-using-online-communication-tools

2. Pandémie, vie privée et protection des renseignements personnels, Commission d'accès à l'information, avril 2020

3. Id.

4. Id.

5. La Loi concernant le cadre juridique des technologies de l'information, chapitre C-1.1 prévoit en effet des restrictions particulières en ce qui à trait aux technologies utilisées pour géolocaliser des individus.

6. Le commissaire publie un cadre d'évaluation des initiatives en réponse à la COVID-19 ayant une incidence importante sur la vie privée, avril 2020. Voir également le document suivant du Commissariat à la protection de la vie privée du Canada: La protection de la vie privée et l'éclosion de la COVID-19, mars 2020.

7. Voir notamment Laval (Ville de) c. X, 2003 C.A.I. 280.

8.       EDPB, Statement on the processing of personal data in the context of the COVID-19 outbreak. 19 March 2020. Voir également EDPB, Letter to Ms Duria Nicholsonová, Dear Mr Jurzyc, 23 April 2020; EDPB, Letter to Olivier Micol, 14 April 2020

9. Coronavirus (covid-19) : les rappels de la CNIL sur la collecte de données personnelles

10. Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs 07 mai 2020

11. EDPB, Statement on the processing of personal data in the context of the COVID-19 outbreak. 19 March 2020

Originally published 11 May 2020

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.