D’une part, les méthodes de travail ont évolué, tendant vers le déploiement de services à distance ; d’autre part, le COVID-19 pointe le doigt sur les données de santé, considérées comme sensibles au sens du Règlement européen sur la protection des données (RGPD) et devant faire l’objet d’une attention particulière. L’Association des Délégués à la protection des données (AFCDP) rappelle que la lutte contre la pandémie n’est pas en contradiction avec la protection des données personnelles.
Les recommandations des autorités de contrôle de protection des données, tant au niveau européen que national se sont manifestées sur ce sujet : les principes fondamentaux de la protection des données n’entravent pas la lutte contre la pandémie, et le COVID-19 n’est pas une exception au respect du Règlement européen sur la protection des données.
Quels traitements de données sont concernés ?
La mise en œuvre de traitements spécifiques peut relever du Considérant 46 du RGPD, celui-ci les autorisant pour des « motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation […] ».
Sont ainsi concernés les traitements de recherche médicale et de données de santé. Les autorités de protection européennes s’accordant à mettre en balance ce fondement avec le principe de proportionnalité. Ainsi en France, la CNIL rappelle par exemple, que l’employeur, en tant que responsable de la sécurité et de la santé de ses salariés ne peut « collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un employé/agent et ses proches ». Par ailleurs, seules les autorités sanitaires sont à même « d’évaluer et de collecter les informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques ».
Au niveau mondial, le RGPD n’a pas vocation à s’appliquer en dehors des États membres de l’Union européenne, sauf en cas de traitement à destination de l’Europe. Cela explique pourquoi certains pays sont moins regardants sur le principe de proportionnalité et ont recours à des systèmes de surveillance permanente pour lutter contre l’épidémie. Ces technologies peuvent ainsi viser différentes finalités : le suivi des personnes (Iran, Thaïlande, Hong-Kong), le « contact tracing » (Inde, Bahreïn).
En France et dans les pays de l’Union européenne : vers l’utilisation de données « sensibles » anonymisées et agrégées
L’actualité française démontre de son côté des pistes de réflexion sur la mise en place d’une stratégie numérique d’identification des personnes s’appuyant sur des données de géolocalisation, anonymisées et agrégées pouvant ainsi, en principe, ne pas porter atteinte aux personnes concernées. Ces éléments permettraient de dresser une cartographie de la population et de constater le respect des consignes de confinement afin de mieux surveiller, contenir, et atténuer le virus. En ce sens, les États membres de l’Union européenne doivent donc chercher à utiliser les données anonymisées et agrégées pour ce type de traitement. C’est le chemin pris par l’Allemagne, l’Autriche ainsi que le Royaume-Uni.
L’usage des technologies en vue d’atténuer la pandémie : le déploiement massif du télétravail
Le télétravail, qui était jusqu’à présent l’exception, fait désormais office de règle. Toutefois, cette méthode de travail fait encourir un risque de piratage. En effet, les cyber-attaquants ont surfé également sur cette actualité pour attaquer les réseaux et systèmes informatiques, en particulier du secteur hospitalier.
D’autres pratiques de services à distance se sont développées : téléconsultation, enseignement à distance, visites virtuelles, paiement sans contact, usage du matériel personnel à des fins professionnelles… Chaque geste du quotidien peut avoir un impact significatif sur la protection des données et pose des enjeux de confidentialité, de sécurité des données, et de leurs bonnes utilisations. Les membres de l’AFCDP se sont par ailleurs interrogés sur ces cas d’usage et ont ainsi développé des fiches de bonnes pratiques relatives au télétravail et à la cybersécurité.
5 règles d’or pour télé-travailler en toute sécurité et sérénité
1. Préservez la confidentialité
Que vous soyez en couple, ou en famille, orientez votre écran de PC de façon que seul vous puissiez le voir.
2. Accédez de manière limitée aux données
En cas de télétravail, appliquez le principe de minimisation des données : n’ouvrez et n’utilisez que les informations dont vous aurez vraisemblablement besoin.
3. Redoublez de vigilance sur votre boite aux lettres électronique
Attention aux courriels, SPAM, ou tentatives de phishing !
4. Évitez les échanges de données professionnelles sur les réseaux sociaux
Afin de minimiser les risques de fuite de données et le piratage. Prenez le temps de relire votre charte informatique.
5. Économisez votre utilisation de l'internet
Les impacts du COVID-19 sur le DPO ?
La mise en œuvre de « l’activité partielle » soulève d’autres interrogations pour les Délégués à la protection des données : qu’ils soient internes ou externes, beaucoup s’interrogent sur les conséquences juridiques de cette situation exceptionnelle : Comment assurer le traitement des droits des personnes en cas de sollicitation ? Une entreprise serait-elle en infraction avec le RGPD en cas de mise en chômage partiel de son DPO ?
Comme elle en a l’habitude, et à plus forte raison dans le contexte actuel, l’AFCDP apporte tout son soutien à ses membres, professionnels de la protection des données, avec en particulier, un réseau social privé où s’échangent entraide et conseils.
A propos de l’AFCDP - http://www.afcdp.net/
L’AFCDP, créée dès 2004, regroupe plus de 6.000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés – dont les Délégués à la Protection des Données (ou DPO, pour Data Protection Officer).
Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.
Les recommandations des autorités de contrôle de protection des données, tant au niveau européen que national se sont manifestées sur ce sujet : les principes fondamentaux de la protection des données n’entravent pas la lutte contre la pandémie, et le COVID-19 n’est pas une exception au respect du Règlement européen sur la protection des données.
Quels traitements de données sont concernés ?
La mise en œuvre de traitements spécifiques peut relever du Considérant 46 du RGPD, celui-ci les autorisant pour des « motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation […] ».
Sont ainsi concernés les traitements de recherche médicale et de données de santé. Les autorités de protection européennes s’accordant à mettre en balance ce fondement avec le principe de proportionnalité. Ainsi en France, la CNIL rappelle par exemple, que l’employeur, en tant que responsable de la sécurité et de la santé de ses salariés ne peut « collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un employé/agent et ses proches ». Par ailleurs, seules les autorités sanitaires sont à même « d’évaluer et de collecter les informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques ».
Au niveau mondial, le RGPD n’a pas vocation à s’appliquer en dehors des États membres de l’Union européenne, sauf en cas de traitement à destination de l’Europe. Cela explique pourquoi certains pays sont moins regardants sur le principe de proportionnalité et ont recours à des systèmes de surveillance permanente pour lutter contre l’épidémie. Ces technologies peuvent ainsi viser différentes finalités : le suivi des personnes (Iran, Thaïlande, Hong-Kong), le « contact tracing » (Inde, Bahreïn).
En France et dans les pays de l’Union européenne : vers l’utilisation de données « sensibles » anonymisées et agrégées
L’actualité française démontre de son côté des pistes de réflexion sur la mise en place d’une stratégie numérique d’identification des personnes s’appuyant sur des données de géolocalisation, anonymisées et agrégées pouvant ainsi, en principe, ne pas porter atteinte aux personnes concernées. Ces éléments permettraient de dresser une cartographie de la population et de constater le respect des consignes de confinement afin de mieux surveiller, contenir, et atténuer le virus. En ce sens, les États membres de l’Union européenne doivent donc chercher à utiliser les données anonymisées et agrégées pour ce type de traitement. C’est le chemin pris par l’Allemagne, l’Autriche ainsi que le Royaume-Uni.
L’usage des technologies en vue d’atténuer la pandémie : le déploiement massif du télétravail
Le télétravail, qui était jusqu’à présent l’exception, fait désormais office de règle. Toutefois, cette méthode de travail fait encourir un risque de piratage. En effet, les cyber-attaquants ont surfé également sur cette actualité pour attaquer les réseaux et systèmes informatiques, en particulier du secteur hospitalier.
D’autres pratiques de services à distance se sont développées : téléconsultation, enseignement à distance, visites virtuelles, paiement sans contact, usage du matériel personnel à des fins professionnelles… Chaque geste du quotidien peut avoir un impact significatif sur la protection des données et pose des enjeux de confidentialité, de sécurité des données, et de leurs bonnes utilisations. Les membres de l’AFCDP se sont par ailleurs interrogés sur ces cas d’usage et ont ainsi développé des fiches de bonnes pratiques relatives au télétravail et à la cybersécurité.
5 règles d’or pour télé-travailler en toute sécurité et sérénité
1. Préservez la confidentialité
Que vous soyez en couple, ou en famille, orientez votre écran de PC de façon que seul vous puissiez le voir.
2. Accédez de manière limitée aux données
En cas de télétravail, appliquez le principe de minimisation des données : n’ouvrez et n’utilisez que les informations dont vous aurez vraisemblablement besoin.
3. Redoublez de vigilance sur votre boite aux lettres électronique
Attention aux courriels, SPAM, ou tentatives de phishing !
4. Évitez les échanges de données professionnelles sur les réseaux sociaux
Afin de minimiser les risques de fuite de données et le piratage. Prenez le temps de relire votre charte informatique.
5. Économisez votre utilisation de l'internet
Les impacts du COVID-19 sur le DPO ?
La mise en œuvre de « l’activité partielle » soulève d’autres interrogations pour les Délégués à la protection des données : qu’ils soient internes ou externes, beaucoup s’interrogent sur les conséquences juridiques de cette situation exceptionnelle : Comment assurer le traitement des droits des personnes en cas de sollicitation ? Une entreprise serait-elle en infraction avec le RGPD en cas de mise en chômage partiel de son DPO ?
Comme elle en a l’habitude, et à plus forte raison dans le contexte actuel, l’AFCDP apporte tout son soutien à ses membres, professionnels de la protection des données, avec en particulier, un réseau social privé où s’échangent entraide et conseils.
A propos de l’AFCDP - http://www.afcdp.net/
L’AFCDP, créée dès 2004, regroupe plus de 6.000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés – dont les Délégués à la Protection des Données (ou DPO, pour Data Protection Officer).
Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.
Chaineum : Neo Investment Bank
Laurent Leloup : Conférencier blockchain
HealthTech.Finance : HealthTech Investment Bank
Laurent Leloup : Conférencier blockchain
HealthTech.Finance : HealthTech Investment Bank
No Offer, Solicitation, Investment Advice, or Recommendations
This website is for informational purposes only and does not constitute an offer to sell, a solicitation to buy, or a recommendation for any security, nor does it constitute an offer to provide investment advisory or other services by FINYEAR.
No reference to any specific security constitutes a recommendation to buy, sell or hold that security or any other security.
Nothing on this website shall be considered a solicitation or offer to buy or sell any security, future, option or other financial instrument or to offer or provide any investment advice or service to any person in any jurisdiction.
Nothing contained on the website constitutes investment advice or offers any opinion with respect to the suitability of any security, and the views expressed on this website should not be taken as advice to buy, sell or hold any security. In preparing the information contained in this website, we have not taken into account the investment needs, objectives and financial circumstances of any particular investor.
This information has no regard to the specific investment objectives, financial situation and particular needs of any specific recipient of this information and investments discussed may not be suitable for all investors.
Any views expressed on this website by us were prepared based upon the information available to us at the time such views were written. Changed or additional information could cause such views to change.
All information is subject to possible correction. Information may quickly become unreliable for various reasons, including changes in market conditions or economic circumstances.
No reference to any specific security constitutes a recommendation to buy, sell or hold that security or any other security.
Nothing on this website shall be considered a solicitation or offer to buy or sell any security, future, option or other financial instrument or to offer or provide any investment advice or service to any person in any jurisdiction.
Nothing contained on the website constitutes investment advice or offers any opinion with respect to the suitability of any security, and the views expressed on this website should not be taken as advice to buy, sell or hold any security. In preparing the information contained in this website, we have not taken into account the investment needs, objectives and financial circumstances of any particular investor.
This information has no regard to the specific investment objectives, financial situation and particular needs of any specific recipient of this information and investments discussed may not be suitable for all investors.
Any views expressed on this website by us were prepared based upon the information available to us at the time such views were written. Changed or additional information could cause such views to change.
All information is subject to possible correction. Information may quickly become unreliable for various reasons, including changes in market conditions or economic circumstances.
Autres articles
-
ZBD, première entreprise en lice pour la licence MiCA de l'UE
-
Tether investit dans StablR pour promouvoir l'adoption du stablecoin en Europe
-
Chainalysis acquiert Hexagate, fournisseur de solutions de sécurité WEB3
-
Sia Partners ouvre "un peu" son capital à Blackstone.
-
IPEM 2025 - "New Promises for Private Markets" - du 28 au 30 janvier 2025 à Cannes