Automatiser. Cela semble si évident avec la technologie. Et nous nous en portons tous mieux, n’est-ce pas? Et pourtant…
Lorsque la technologie joue avec nos données à caractère personnel, nous ne semblons pas encore avoir développé les réflexes nécessaires pour les protéger. Et cela va souvent à l’encontre de la commodité, de la valeur ajoutée et de l’utilité, voire de la lutte contre une pandémie.
Des scanners digitaux de la fièvre? Ils ont peut-être disparu de la scène pendant un certain temps, mais que les amendes infligées aux aéroports de Zaventem et de Charleroi soient un rappel au respect des principes de RGPD.
La mesure de la température en tant que traitement de données à caractère personnel
La reprise progressive de la vie sociale et économique pendant la pandémie a été un réel défi. Par exemple, il n’est pas illogique que les personnes développant une fièvre se voient refuser l’accès aux bâtiments pour éviter d’autres infections.
Il faut également s’attendre à ce que des solutions technologiques soient recherchées pour rendre cette démarche aussi efficace que possibles.
Les aéroports de Zaventem et de Charleroi ont choisi de mettre en œuvre ce système pour une certaine période de temps grâce à un système avancé de caméras thermiques.
Lecture de la température uniquement
La simple lecture de la température d’une personne, via un thermomètre conventionnel ou numérique, ne constitue pas en soi un traitement de données à caractère personnel. Du moins, dans la mesure où ces résultats ne sont pas ensuite enregistrés sur une base individuelle.
Un premier risque nous attend: si, également dans le cadre d’un contrôle d’accès, ce « scan » est filmé, ou s’accompagne de la lecture simultanée d’un badge d’accès (et du refus d’accès), alors l’individu pourra être individualisé. Et le RGPD s’appliquera donc sans préjudice.
Enregistrement de la température avec registration
Cela devient plus concret lorsqu’un relevé manuel de la température est explicitement lié à un enregistrement supplémentaire – la température elle-même ne doit donc pas être enregistrée. Il se peut que le refus d’accès soit documenté (par exemple dans le cadre d’une relation contractuelle).
Le RGPD s’applique alors sans aucun doute. Le point de départ est que le traitement de ces données concernant la santé est fondamentalement interdit.
Mesures électroniques avancées
Cependant, lorsque nous utilisons un appareil digital de détection avancée de la fièvre (il s’agit d’une sorte de caméra thermique), cela relève de toute façon de RGPD. Même s’il n’y a pas de stockage ou d’enregistrement ultérieur.
En effet, le terme « traitement » ne désigne pas seulement le simple stockagede données, mais a une signification beaucoup plus large. En d’autres termes, le traitement automatisé implique la collecte sans stockage ou enregistrement ultérieur, mais les données sont bien sûr traitées au préalable (électroniquement).
Il s’agit d’un erreur courante dans les traitements automatisés ou les traitements dont la finalité ne réside pas dans le stockage lui-même: « mais elles ne sont pas stockées », ou « mais ces données ne m’intéressent pas », ou encore mieux « mais elles sont supprimées après 15 minutes ». Malheureusement. Il ne s’agit pas de cela…
Principe d’interdiction du traitement des données à caractère personnel relatives à la santé
Au moment où la pandémie battait son plein, lesJuristes devait régulièrement donner des conseils sur l’admissibilité de ces systèmes dans les entreprises. La difficulté résidait à chaque fois dans la prohibition fondamentale du traitement des données personnelles médicales, sauf si l’on pouvait invoquer une situation exceptionnelle spécifique. Mais ceux-ci sont très limités et ne sont applicables qu’en cas de besoin.
Les contrôles de température à Bruxelles et Charleroi
Le chaos et l’improvisation étaient certainement bien présents. Tout comme l’urgence. Des circonstances difficiles et de bonnes intentions aussi. Pourtant, l’Autorité de protection des données a jugé que les aéroports de Bruxelles et de Charleroi avaient commis une grave erreur et leur a immédiatement infligé une amende de 200.000 et 100.000 euros respectivement.
Où est-ce que ça a mal tourné?
Personne n’a contesté que les malheureux contrôles de température impliquaient un traitement de données à caractère personnelet étaient donc soumis à la RGPD. Des caméras thermiques ont été utilisées lors des contrôles de première ligne. Ces systèmes automatisés sont en tout cas soumis au RGPD. Cependant, les passagers ont également été filmés et ces images ont été mises à la disposition de l’opérateur pendant un court laps de temps afin qu’il puisse retirer de la file d’attente les personnes ayant une température élevée et les faire défiler une seconde fois.
Les images ont été encadrées: rouge pour >= 38° Celsius et vert pour < 38° Celsius. Il s’agissait immédiatement de données médicales, qui bénéficient d’une protection spéciale.
L’APD a profité de cette occasion pour clarifier un certain nombre de choses. L’affaire Covid-19 n’est peut-être plus d’actualité pour le moment, mais les principes élaborés dans la décision guident de nombreuses autres discussions sur l’application de RGPD.
Pas de base juridique valable
Le traitement ne peut avoir lieu que s’il est fondé sur la loi. Ce n’est pas la même chose que de décider que vous êtes d’accord avec le traitement – la légitimité doit être prouvée par l’un des motifs du RGPD.
En outre, lorsqu’il s’agit de données médicales, le traitement est en principe interdit, sauf si l’on peut invoquer l’un des motifs spécifiques de dérogation qui sont également énumérés dans le RGPD.
Les aéroports défendent ici leur mission d’intérêt général (légitimité), ainsi que le Protocole de l’aviation commerciale et l’arrêté ministériel qui s’y rattache (base légale comme motif d’exception).
Les deux arguments sont rejetés: le protocole n’est pas une norme juridique précise dont l’application est prévisible pour les personnes concernées. Il n’est pas non plus démontré que le traitement est nécessaire dans l’intérêt général.
Manquement à l’obligation de fournir des informations
L’absence d’une base juridique valable peut être une discussion très technique, mais la décision de l’ APD selon laquelle les aéroports ont manqué à leur obligation d’information est significative.
Nous entrons ici dans le domaine des déclarations de confidentialité. Nous avons nous aussi constaté que ces documents sont souvent vagues et imprécis, et ne répondent donc pas aux exigences de transparence de RGPD. C’est pourtant l’une des pierres angulaires de ce règlement.
Il semble très probable que les aéroports, comme de nombreuses entreprises, aient agrémenté une « déclaration type » de quelques généralités, sans fournir de clarifications compréhensibles par les personnes concernées. Cela conduit d’une part à des discours marketing (« votre santé et votre sécurité sont importantes pour nous« ), et d’autre part à des imprécisions telles qu’une période de conservation « pas plus longue que nécessaire« .
L’APD met une fois de plus les points sur les i en soulignant l’importance d’une réelle transparence.
Une analyse d’impact relative à la protection des données déficiente
Tout aussi importante est l’évaluation selon laquelle l’analyse d’impact relative à la protection des données (AIPD) n’a pas été effectuée correctement.
Même si le RGPD est vague quant à la forme que doit prendre ce(tte ?) AIPD, il est préférable de s’assurer qu’il est réalisé de manière sérieuse et complète.
Que faire si votre AIPD montre que le traitement prévu des données à caractère personnel comporte un risque élevé pour la vie privée des personnes concernées, et que vous ne pouvez pas trouver de mesures pour limiter suffisamment ce risque? Vous devrez alors consulter l’ADP avant de commencer le traitement. Cela s’appelle une consultation préalable.
Conclusion
Le traitement automatisé des données à caractère personnel, en particulier lorsqu’il s’agit de données médicales, ne doit pas être considéré à la légère. Après tout, une base juridique valide ne peut pas être simplement manipulée. La nécessité peut enfreindre la loi, mais pas le RGPD.
Elle montre également une fois de plus que la transparence est essentielle: dites ce que vous faites, et faites ce que vous dites. Une bonne déclaration de confidentialité n’est donc certainement pas une « taille unique »!
De plus, si vous vous trouvez dans une situation où une AIPD pourrait être nécessaire, il vaut mieux être sûr de faire un travail sérieux à ce sujet avant de commencer le traitement. Et tenez compte des résultats!
Ressentez-vous également le besoin d’être conforme, mais vous ne savez plus où donner de la tête? Parlez-en à nos experts à l’adresse hallo@dejuristen.be. Nous recensons les besoins de votre entreprise et élaborons avec vous des solutions toutes prêtes!
Écrit par Kris Seyen, associé lesJuristes
