Données personnelles, cybersécurité et Coronavirus

Sur les données personnelles

La Corée du Sud exploite les données de santé et de géolocalisation des personnes porteuses du virus de manière publique. Contrairement à cette position, la CNIL, autorité française de régulation de l'utilisation des données personnelles, est venue définir et rappeler les traitements autorisés et ceux interdits, à ce stade.

Par conséquent, une entreprise peut informer et sensibiliser ses employés pour que ceux-ci lui transmette une possible exposition au Covid-19 ou leur proposer de le faire directement auprès des autorités compétentes. L'entreprise peut également favoriser le travail à distance et encourager le recours à la médecine du travail. En cas de signalement, l'entreprise peut même consigner la date et l'identité de la personne suspectée d'avoir été exposée et les mesures organisationnelles prises (confinement, télétravail, contact avec le médecin du travail, etc.).

Toutes les autres données de santé, définies comme sensibles par le RGPD, objet des contrôles réalisés par la CNIL sur l'année 2020, sont soumises à une réglementation stricte (consentement, information, dispositions sécuritaires fortes, base légale de collecte) et ne peuvent pas être collectées à la seule volonté de l'employeur. Les entreprises ne doivent pas porter atteinte à la vie privée de leurs salariés, et ne peuvent donc pas procéder au traitement de données de santé, dont la finalité n'est pas la seule gestion des suspicions d'exposition au coronavirus.

Les entreprises doivent éviter de réaliser des traitements systématiques et généralisés portant notamment sur des données de santé ou relevant de la sphère privée, telles que des enquêtes et demandes individuelles relatives à la recherche d'éventuels symptômes présentés par un employé/agent et ses proches.

La CNIL interdit au regard du RGPD la mise en place de relevés obligatoires des températures corporelles de chaque salarié ou la collecte de questionnaires médicaux auprès de l'ensemble du personnel.

Une collecte nécessairement autorisée

Les autorités sanitaires sont les seuls et uniques organes habilitées à collecter des données de santé dans ce contexte. Ces autorités, personnes publiques, sont soumises au respect des dispositions du RGPD. Pour permettre une information claire et précise obligatoire, Santé Publique France a délivrée une information sur la réalisation des traitements de données à caractère personnel réalisé, sur l'unique finalité de suivi des cas envisagés et confirmés d'infection par le Covid-19 et le suivi des personnes en contact avec un cas confirmé. L'ensemble des droits des personnes concernées (droit d'opposition, d'accès, de rectification, d'effacement, et de limitation du traitement des données) est conservé et celles-ci peuvent contacter directement les autorités compétentes pour les exercer.

Dans le cadre de l'état d'urgence sanitaire encadré par la Loi n° 2020-290 du 23 mars 2020, les pratiques peuvent évoluer rapidement. Le gouvernement a en effet évoqué étudier de prêt les mesures de collecte importante de données personnelles, même celles de santé, permettant de contrer la pandémie. L'article 9 du RGPD permet le traitement de ces données lorsque celui-ci est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé.

Le Comité européen de la protection des données (CEPD) a également accepté un traçage des données de géolocalisation des citoyens européens en réquisitionnant les opérateurs de télécommunication (Orange en France). Ce traçage est pour l'instant limité à des données anonymisées. A suivre donc !

Le respect de la protection des données personnelles est par conséquent une priorité majeure française dans un contexte de pandémie, dont les modalités organisationnelles et juridiques doivent être appréhendées par les entreprises.

Sur la cybersécurité

Depuis l'avènement du confinement lié au coronavirus, des cyberattaques importantes ont été réalisées touchant tous les secteurs d'activité, et même les hôpitaux. Par exemple le 22 mars 2020, une partie des serveurs de l'Assistance publique-Hôpitaux de Paris (AP-HP) ont été bloqués suite à une attaque par déni de services qui consiste à adresser des requêtes inutiles rendant inaccessibles les serveurs.

Pour lutter contre ces attaques, plusieurs initiatives ont été lancées, dont la création d?un groupe de 360 experts mondiaux (40 pays) en cybersécurité sous le nom de Cyber Threat Intelligence (CTI Covid-19) visant à accompagner notament le secteur médical pendant l'épidemie de Covid-19.

Le site https://www.cybermalveillance.gouv.fr/ liste les bonnes pratiques à adopter pour limiter la propagation de ces cyberattaques, et demandent à chacun des individus de veiller à sa propre cybersécurité par une identification sur le poste de travail par identifiant et mots de passe forts. Cela passe également par la vérification de l'origine des messages reçus pour lutter contre le phishing visant à voler des données personnelles, professionnelles ou bancaires sur un prétendu site officiel.

Il convient aussi d'éviter les téléchargements des applications non officielles ou des pièces jointes suspectes, pour limiter les risques liés aux ransomwares, logiciel qui bloque l'accès à l'ensemble des données contre la remise d'une rançon d'argent la plupart du temps.

La vigilance concerne également les sites d'achat de masques, de gel hydroalcoolique, de téléconsultation médicale, créés seulement pour collecter frauduleusement des données personnelles ou réclamer le paiement d'un produit inexistant ou non conforme aux réglementations.

L'utilisation du site du ministère de l'intérieur (https://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Attestation-de-deplacement-derogatoire-et-justificatif-de-deplacement-professionnel) doit être privilégié pour télécharger gratuitement les attestations obligatoires de déplacement, et non les sites frauduleux permettant la captation non autorisée ou payante de données personnelles.

Enfin, le site internet www.solidarite-numerique.fr et le numéro de téléphone complémentaire ont été lancés le 29 mars 2020 pour permettre aux personnes ayant des difficultés à appréhender les outils numériques de les aider notamment dans leurs démarches administratives à distance.

Et concernant le télétravail ?

Il convient d'être prudent sur les garanties en matière de sécurité informatique des postes de travail professionnels et/ou personnels qui peuvent être utilisés à titre professionnel par les salariés. Une charte informatique est primordiale au sein de l'entreprise pour encadrer les modalités du BYOD (Bring Your Own Device). Dans le cas contraire, cette période est propice pour mettre en place une information claire et spécifique pour utiliser ces outils, dont la teneur juridique est primordiale en matière de responsabilité des utilisateurs.