Le commissaire fédéral à la protection des données, Ulrich Kelber, vient de présenter son rapport d'activité pour 2021. Il y a notamment mis en garde contre l'utilisation trop facile des données de santé suite aux développements de la pandémie Corona.
Réglementation légale sur le traitement des données de santé telles que le statut vaccinal
Tout d'abord, le commissaire fédéral à la protection des données constate que, compte tenu de la pandémie Corona, il est nécessaire d'établir des règles légales pour le traitement des données relatives à la santé, telles que le statut vaccinal et le statut de guérison ou le résultat des tests. L'article 9 II du RGPD sert de fil conducteur à cet égard. Les exigences du RGPD doivent également être respectées dans le secteur privé.
En l'absence d'une telle base légale, seul le consentement de la personne concernée entre en ligne de compte comme fait justificatif pour le traitement de ces données. Dans les relations de travail en particulier, des problèmes se posent dans ce cadre en raison du déséquilibre des pouvoirs en matière de consentement volontaire. Des dispositions légales apporteraient ici clarté juridique, sécurité juridique et uniformité.
Le commissaire fédéral à la protection des données, Ulrich Kelber, entend continuer à conseiller les ministères fédéraux concernés dans ce but et à œuvrer en faveur d'une réglementation légale.
Les données de santé ne doivent pas devenir des tickets d'entrée
De nombreuses mesures de lutte contre les pandémies ont eu pour effet que les données relatives à la santé sont devenues quasiment des cartes d'accès. Le contrôle des données de santé, telles que le statut vaccinal et de guérison ou le résultat d'un test, constitue un traitement de données de santé et n'est autorisé, conformément à l'article 9 du RGPD, que dans des conditions particulières et avec des mesures de protection spécifiques pour les personnes concernées.
Le commissaire fédéral à la protection des données critique en particulier le fait qu'il n'ait pas été impliqué dans les décisions relatives aux règlements correspondants. En outre, l'article 9 du RGPD n'a pas été mentionné dans l'exposé des motifs des projets. Il souligne toutefois de manière positive que les solutions numériques de preuve atténuent en partie les risques. Il demande qu'il y ait en outre une "mesure d'accompagnement visant à garantir la confidentialité par les personnes chargées du contrôle".
Même si la situation de pandémie peut constituer en soi une situation exceptionnelle au sens de l'article 9 II du RGPD, il n'y est pas fait référence. En outre, le risque existe que l'utilisation facile des données relatives à la santé devienne de plus en plus fréquente.
Traitement des données de santé dans les centres de test
La progression de la pandémie a également eu pour conséquence que les tests nécessaires en de nombreux endroits ne sont plus effectués uniquement par des médecins ou du moins sous leur surveillance. Si des données de santé sont traitées par des organismes de test tiers, les personnes concernées n'ont tout d'abord plus été protégées par le secret professionnel. Le commissaire fédéral à la protection des données a vu là une lacune qu'il fallait combler. Après tout, les fournisseurs de tests ne traitent pas seulement le nom, l'adresse et les données de santé obtenues par le test, mais il existe également l'obligation de signaler un test positif au service de santé compétent. On ne sait pas dans quelle mesure tous les centres de test travaillent en conformité avec la protection des données, d'autant plus qu'il y a déjà eu quelques pannes.
Ce n'est que suite à une remarque du commissaire fédéral à la protection des données, en novembre 2021, que les centres de test ont également été tenus au secret professionnel.
Examen des données relatives à la santé sur le lieu de travail
Toujours dans le cadre de la lutte contre la pandémie, des réglementations telles que la 3G sur le lieu de travail ont été introduites. Dans ce cas également, les données relatives à la santé ont été traitées à grande échelle. Les employeurs se sont soudain vus confier une tâche importante et lourde de responsabilités. Ils doivent examiner soigneusement quelle collecte de données est nécessaire et à quel moment, et comment le traitement et le stockage doivent être effectués. De nombreux principes fondamentaux de la protection des données doivent être respectés à cet égard. Par exemple, l'enregistrement n'est pas nécessaire en cas de contrôle visuel avant l'accès au poste de travail. Sinon, ces données doivent également être effacées dès que leur finalité a disparu, ce qui n'est pas nécessairement le cas après la période maximale de conservation de six mois (article 28b III 9 IfSG).
On a également été confronté au problème des certificats de vaccination, qui n'ont jamais été conçus comme des documents d'identité infalsifiables, et qui ont soudainement pris cette fonction, ce qui a rapidement donné lieu à des contrefaçons.
Conclusion
Même si le traitement de données à caractère personnel sous forme de données de santé est nettement plus souvent nécessaire en cas de pandémie, le commissaire fédéral à la protection des données appelle à la prudence. Un traitement trop facile des données de santé irait à l'encontre d'une idée fondamentale du RGPD. Il demande notamment que les données de santé ne deviennent pas à long terme un "ticket d'entrée".
Vous avez des questions sur la protection des données dans votre entreprise ? Notre équipe d'experts se fera un plaisir de vous aider !
Français 
Deutsch 
English 
Español 
Polski