Le déconfinement restant incertain, minimiser les risques de propagation du virus se révèle être un défi pour le Gouvernement. En parallèle du projet de l’application Stop COVID, le Gouvernement veut assurer le traitement automatisé de données personnelles pour identifier les citoyens atteints du Covid-19 et ceux ayant été en contact avec eux. A la suite de la loi de prorogation de l’état d’urgence sanitaire du 11 mai 2020 et de la décision du Conseil Constitutionnel du même jour, le décret du 12 mai 2020 est venu préciser les modalités relatives aux systèmes d’information destinées à permettre l’identification des chaînes de contamination du Coronavirus ainsi que le suivi et l’accompagnement des personnes concernées.
Paris, le 19 mai 2020
Ces systèmes d’information sont-ils conformes au respect de la vie privée ?
Le Gouvernement souhaite mettre en place un plan de surveillance épidémiologique via du contact tracing, à travers deux systèmes d’informations : « Contact Covid » et « SI-DEP », qui soulèvent des questions essentielles relatives à la légalité des traitements et au respect de la vie privée. En effet :
- Des analyses d’impact relatives à la protection des données (AIPD) restent à effectuer pour chacun des deux systèmes « Contact Covid » et « SI-DEP » et des traitements de données personnelles qui y sont liés et ce en application de l’article 35 du RGPD.
- Les sous-traitants, dont les hébergeurs de données de santé, et les responsables de traitements concernés doivent se conformer aux dispositions de l’article 28 du RGPD. Ainsi, avant la mise en œuvre de ces traitements de données, des contrats doivent être établis entre les organismes habilitées en qualité de responsables de traitements et leurs éventuels sous-traitants.
Les avocats du cabinet Deloitte Société d'Avocats proposent de commenter avec vous la conformité au RGPD et à la Loi Informatique & Libertés des systèmes « Contact Covid » et « SI-DEP » qui pourraient être liés au projet d’application de suivi de contacts « StopCovid ». Ils pourront à ce titre répondre aux questions suivantes :
- Qu’est-ce que les exigences des articles 28 et 35 du RGPD signifient pour les organismes concernés ?
- Quels pourraient être les risques liés au partage de données de santé et d’identification ?
- Le refus des médecins, des patients ou des personnes « contacts » de participer aux enquêtes sanitaires n’entrainera-t-elle pas de conséquences (administratives, financières, prises en charge, etc.) ?
- Est-ce les systèmes d’information créés par la Loi et précisés par Décret, resteront indépendants d’autres traitements de données ?
- La fin de leur mise en œuvre sera-t-elle bien effective dans les délais prévus ?
Contact presse Vae Solis Corporate :
Nathan Juillerat – 06 28 02 10 12
Jawad Kathib – 06 12 66 22 49
Coronavirus : nous vous tenons informés de l’actualité juridique et fiscale sur notre blog : cliquez ici