D'innombrables personnes sont actuellement régulièrement testées pour une infection par le virus Corona Covid-19. Les tests rapides Corona bien connus sont utilisés à cet effet. Pour les évaluer, un prélèvement est effectué sur la muqueuse de la gorge ou du nez. Une fois le résultat du test rapide établi, le matériel contenant les données génétiques des personnes testées se retrouve principalement dans les déchets ordinaires. Mais cette forme d'élimination du matériel génétique est-elle conforme au RGPD ? Le RGPD est l'abréviation de "Règlement général sur la protection des données".
Vous apprendrez ici tout ce qu'il faut savoir en bref.
Tests rapides Corona en tant que données au sens du RGPD
Lors de la réalisation d'un test rapide Corona, un prélèvement de la muqueuse doit être effectué. Il s'agit incontestablement de données génétiques (considérant 34 du RGPD) sous la forme d'un échantillon. Selon l'article 9 du RGPD, ces données relèvent de la catégorie particulière des données à caractère personnel et doivent faire l'objet d'une protection spéciale.
Niveau de protection du RGPD pour le traitement de matériel génétique
Pour que le traitement soit conforme au RGPD, le niveau de protection requis par le RGPD doit être respecté. Pour ce faire, le RGPD établit des règles relatives à la sécurité du traitement (article 32 du RGPD).
Élimination des tests rapides Corona utilisant du matériel génétique comme traitement
Le RGPD comprend le traitement de manière très large. Selon l'article 4 n° 2 du RGPD, ce terme recouvre des opérations telles que la collecte, la saisie, l'organisation, le classement, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
L'élimination d'un échantillon contenant des données génétiques (test rapide Corona) relève donc du traitement au sens du RGPD.
Sécurité de l'élimination du matériel génétique en tant que traitement
Conformément à l'article 32 I du RGPD, les exigences en matière de sécurité de ce traitement doivent avant tout être mesurées à l'aune de l'état de la technique. En conséquence, des mesures techniques et organisationnelles (TOM) appropriées doivent être prises pour protéger les données. Entre autres, des mesures telles que la pseudonymisation, le cryptage ainsi que la garantie de la confidentialité, de l'intégrité, de la disponibilité et de la résilience des systèmes et services de traitement peuvent être nécessaires.
La plupart du temps, les tests rapides Corona sont jetés à la poubelle après l'évaluation. C'est actuellement la procédure habituelle dans de nombreuses entreprises et autres institutions où les employés doivent régulièrement passer des tests. Sur le site les données génétiques ne sont pas protégées. En l'état actuel de la technique, il existe des possibilités de se débarrasser de ces données génétiques de manière à ce qu'elles soient rendues méconnaissables, par exemple par les entreprises chargées de l'élimination des déchets de laboratoire, ce qui est également requis par le RGPD.
Consentement de la personne concernée à l'élimination dans les déchets ordinaires ?
L'idée pourrait surgir de savoir si la personne concernée ne peut pas consentir à un traitement présentant un niveau de sécurité inférieur (article 6 I 1, lettre a du RGPD).
Indépendamment du fait que cela ait été possible à un moment donné, cette procédure est, selon le Décision de la Conférence des autorités indépendantes de contrôle de la protection des données de l'État fédéral et des Länder du 24 novembre 2021 n'est plus possible en Allemagne. La décision stipule au point 2 qu'il n'est pas permis de "renoncer aux mesures techniques et organisationnelles devant être mises en place par le responsable du traitement ou d'abaisser le niveau légalement prescrit sur la base d'un consentement". En outre, le point 1 de la décision stipule de manière très générale que les mesures techniques et organisationnelles visées à l'article 32 du RGPD ne sont pas à la disposition des parties concernées, car elles reposent sur des obligations juridiques objectives.
La personne concernée ne peut donc pas, en vertu du RGPD, consentir à l'élimination des tests rapides Corona avec les déchets ordinaires.
Élimination par une entreprise de collecte spécialisée conforme au RGPD
Pour une Élimination conforme au RGPD de ces échantillons, les déchets ordinaires ne suffisent donc jamais. Il est nécessaire de faire appel à une entreprise de collecte spécialisée pour une élimination conforme au RGPD.
Il convient de noter qu'il s'agit alors d'une Traitement des commandes (art.28 RGPD). Un contrat de traitement des données doit être conclu avec l'entreprise de collecte spécialisée. En outre, l'entreprise de collecte spécialisée doit pouvoir prouver qu'elle est en mesure de respecter les niveaux de protection et de destruction appropriés pour les données à éliminer.
Conclusion
La pratique actuellement pratiquée en masse consistant à jeter les tests rapides Corona dans les poubelles ordinaires n'est pas compatible avec le RGPD. Des millions d'infractions à la protection des données ont lieu. Pour une élimination conforme au RGPD, il faudrait procéder à une élimination spéciale. La solution la plus pragmatique serait ici de faire appel à une entreprise d'élimination spécialisée en tant que sous-traitant.
Evitez de coûteuses violations de la protection des données en nous confiant un conseil ou un audit dans le domaine de la protection des données.