Technologies de l’information et données personnelles

1. La règlementation sur les données personnelles ne s’applique pas aux drones utilisés depuis le début du confinement

Depuis le 18 mars 2020, la préfecture de police a mis en œuvre un dispositif de surveillance aérien par l’intermédiaire de drones visant à capturer des images et à les exploiter afin de faire respecter les mesures de confinement.

Les associations « La Quadrature du Net » et « La Ligue des droits de l’homme » ont saisi le juge de référés au motif qu’un tel dispositif permettait à la préfecture de police de procéder à des traitements de données personnelles susceptibles de porter une atteinte grave et manifestement illicite aux droits et libertés fondamentales des personnes. Les associations demandaient la suspension de la décision du préfet de police ayant institué le dispositif précité d’une part, et une cessation immédiate de la captation d’image par drones, leur enregistrement, leur transmission, leur exploitation et la destruction de ces images d’autre part.

Il est ressorti des pièces du dossier et des informations communiquées que les images captées étaient prises selon un angle suffisamment large pour filmer des flux de circulation, des rassemblements, des zones urbaines ou rurales, la progression de cortège, de sorte que l’identification d’un individu n’était pas possible, à l’exception des images utilisées dans un cadre judiciaire dans le cadre d’une instruction notamment. Les images captées étaient, par ailleurs, supprimées de la carte mémoire dès la fin de la mission, de même qu’elles ne faisaient l’objet d’aucun recoupement avec des fichiers de police et n’était donc pas utilisées à d’autre fin que celle pour laquelle le dispositif a été mis en œuvre.

Le tribunal administratif de Paris a ainsi jugé que, si la préfecture de police avait procédé à la collecte, l’enregistrement provisoire et la transmission des images captées dans le cadre de ce dispositif, elle n’avait pas, pour autant,  ni procédé à un traitement de données personnelles au sens de la règlementation applicable à la protection de ce type de données, ni porté atteinte de manière illégale aux libertés fondamentales que sont le droit à la vie privée et le droit à la protection des données personnelles des personnes concernées par la captation d’images.

Source : Tribunal administratif de Paris, RG n°2006861/9, Ordonnance du 5 mai 2020

2. La CNIL affine ses recommandations concernant le traitement des données personnelles des salariés par leur employeur dans le cadre de la lutte contre le Covid-19 et le déconfinement

La CNIL rappelle tout d’abord la responsabilité de l’employeur en matière de sécurité et de santé de ses employés. Elle confirme son droit de traiter des données personnelles lorsqu’elles sont strictement nécessaires au respect de ses obligations légales. En ce sens, l’employeur est légitime à :

  • Rappeler à ses employés leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination, directement auprès de lui ou des autorités sanitaires compétentes ;
  • Faciliter la transmission de ces remontées individuelles, par la mise en place de canaux dédiés et sécurisés ;
  • Favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

La CNIL rappelle ensuite l’importance pour chaque employé de veiller à préserver sa propre santé/sécurité mais aussi celle des personnes avec qui il pourrait être en contact. Ainsi, il devra, à chaque fois qu’il a pu exposer ses collègues au virus, informer son employeur en cas de contamination ou de suspicion de contamination.

La CNIL précise, par ailleurs, que l’employeur est amené à traiter les données personnelles strictement nécessaires (liées à la date, l’identité de la personne, son état de contamination ou la suspicion de contamination, mesures prises à cet effet) à la mise en place et/ou l’adaptation de mesures organisationnelles, de formation et d’information, de certaines actions de prévention des risques professionnels auprès de ses employés, sans que ces données ne soient transmises aux autres employés. Il est également en mesure de communiquer ces données aux autorités sanitaires compétentes en vue d’une prise en charge sanitaire ou médicale de la personne exposée.

En outre, la CNIL soutient qu’en raison de leur caractère sensible, l’utilisation des données de santé doit nécessairement s’inscrire dans l’une des exceptions prévues par le RGPD afin de garantir un équilibre entre la volonté d’assurer la sécurité des personnes et le respect de leurs droits et libertés fondamentales. Elles pourront ainsi être traitées en raison des obligations légales de l’employeur en matière de droit du travail, de la sécurité et la protection sociale (le cas des signalements par les employés) d’une part, mais encore aux fins de la médecine préventive ou du travail, de la capacité de travail de l’employée notamment. Tout employeur qui souhaiterait mettre en place des démarches visant à s’assurer de l’état de santé de ses employés devra s’appuyer sur les services de santé au travail.

A noter toutefois que ces mesures s’appliquent aux seuls traitements automatisés de données, ou non-automatisés qui permettraient cependant de constituer des fichiers. Sont ainsi interdits, en l’état du droit actuel :

  • les relevés de températures des employés ou visiteurs dès lors qu’ils seraient enregistrés dans un traitement automatisé ou dans un registre papier  et les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques (à l’exception de la seule vérification de la température au moyen d’un thermomètre manuel à l’entrée d’un site, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée) ;
  • les campagnes de dépistage organisées par les entreprises pour leurs salariés, seuls les personnels de santé compétents pouvant y procéder ;
  • les tests médicaux, sérologiques ou de dépistage du COVID-19, dont les résultats sont soumis au secret médical ;

En revanche, l’employeur pourra créer un fichier nominatif aux fins d’élaborer un tenir un plan de continuité de l’activité, qui ne doit contenir que les données nécessaires à la réalisation de cet objectif.

Source : CNIL, Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs, 7 mai 2020

3. Le Conseil national du numérique se dit favorable au principe de l’application “StopCOVID”

Le 17 avril 2020, le secrétaire d’État chargé du Numérique a saisi le Conseil national du numérique afin que celui-ci rende un avis sur l’application StopCOVID de suivi de contacts dont le téléchargement et l’utilisation reposeraient sur une démarche volontaire. L’avis du Conseil prend en compte les problématiques technique, sociétale, d’acceptabilité, de confiance et de communication qui sont soulevées par cette application.

Le Conseil se fonde sur trois éléments :

  • Une application spécifique, faite sur mesure par l’État afin de garantir sa souveraineté numérique ;
  • Un contrôle transparent et indépendant de l’application, une utilisation à durée limitée dans le temps et la reconnaissance de son caractère exceptionnel afin de garantir l’intérêt général et l’État de droit ;
  • Une information loyale et accessible délivrée grâce à un accompagnement des publics éloignés du numérique et à la mobilisation des acteurs de la médiation numérique.

Cet avis, rendu en date du 23 avril 2020, comprend également 15 recommandations, parmi lesquelles :

  • La création d’un comité de pilotage, avec des parlementaires, des chercheurs et des citoyens-experts, disposant d’un pouvoir d’arrêt de l’application ;
  • Le changement du nom de l’application “StopCOVID” en « AlerteCOVID » ;
  • La promotion du déploiement d’une seule application pour la France sous l’autorité du Ministère de la Santé.
  • L’encadrement de l’application par un décret fixant les conditions de sa mise en œuvre, sa durée dans le temps et les garanties sur la protection des données.
  • La clarification des procédures à suivre en cas de réception d’une notification ou de test positif.
  • L’organisation de séances de questions-réponses entre les citoyens et les responsables politiques et de séances à destination de la communauté technique et de la médiation.
  • La mobilisation d’acteurs de terrain (collectivités, structures de médiations, associations) afin d’évaluer les besoins et accompagner les plus éloignés du numérique, voire participer à leur équipement.

Le Conseil rappelle enfin que le développement de l’application et sa mise en pratique ne constituent que des éléments d’une stratégie globale d’une lutte efficace contre la pandémie.

Source: https://cnnumerique.fr/files/uploads/2020/2020.04.23_COVID19_CNNUM.pdf

4. La CNIL publie son avis sur le projet d’application “StopCOVID”

La CNIL a également été saisie par le secrétaire d’Etat chargé du numérique d’une demande d’avis quant au projet de développement de l’application “StopCOVID” et sa conformité au RGPD.

Elle rappelle que l’application ne peut pas être imposée aux citoyens puisqu’elle se fonde sur un usage volontaire. Elle a pour objectif la recherche de contacts (« contact tracing »), grâce à l’utilisation de la technologie « Bluetooth » et sans qu’aucune donnée de géolocalisation des individus ne soit collectées, afin d’alerter les utilisateurs qui auront été exposés à un risque de contamination. Le refus d’utiliser l’application ne doit pas entrainer de conséquence négative pour l’individu, en particulier concernant l’accès aux tests et aux soins ou l’accès à certains services à la levée du confinement.

La Haute Autorité souligne toutefois que son efficacité dépendra de sa disponibilité dans les magasins d’application, d’une large adoption par le public et de sa confiance dans le dispositif, ainsi que d’un paramétrage adéquat.

En outre, la CNIL reconnaît que l’application respecte le concept de protection des données dès la conception (“privacy by design“), puisqu’elle utilise des pseudonymes et ne permettra pas de remontée de listes de personnes contaminées. L’application traitera cependant certaines données personnelles et sera ainsi soumise au RGPD. L’application peut ainsi être déployée, conformément au RGPD, si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées et notamment une utilisation et une conservation des données pendant une durée qui doit être limitée.

D’autre part, la CNIL recommande au gouvernement d’effectuer et de lui adresser des études d’impact du dispositif sur la situation sanitaire de manière régulière afin d’aider les pouvoirs publics à décider ou non de son maintien.

Enfin, la CNIL estime que le recours à un dispositif doit disposer d’un fondement juridique explicite dans le droit national (soit donc encadré par un décret ou une loi) et souhaite que le gouvernement la saisisse à nouveau afin qu’elle puisse se prononcer à sur le dispositif retenu.

Source : Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » https://www.cnil.fr/sites/default/files/atoms/files/deliberation_du_24_avril_2020_portant_avis_sur_un_projet_dapplication_mobile_stopcovid.pdf )

5. Le Conseil constitutionnel a validé, lundi 11 mai, l’essentiel de la loi prorogeant l’état d’urgence sanitaire adoptée par le Parlement samedi 9 mai.

Le système d’information aux fins de lutter contre l’épidémie de Covid-19, poursuit l’objectif de valeur constitutionnelle de protection de la santé ». Le Conseil  assortit toutefois sa décision d’une réserve d’interprétation et d’une restriction concernant le champ des personnes susceptibles d’avoir accès à ces données sans le consentement de l’intéressé. Les organismes qui assurent l’accompagnement social de ces personnes ne pourront y accéder. Le Conseil s’est assuré que les données extraites de ces futurs fichiers et utilisés pour le suivi épidémiologique et la recherche sur le Covid-19 seraient expurgées des informations de contact (e-mail, numéro de téléphone) des personnes inscrites dans ce fichier.

Source : Décision n°2020- 800 DC du Conseil Constitutionnel du 11 mai 2020

https://www.conseil-constitutionnel.fr/decision/2020/2020800DC.htm

6. Le Réseau eHealth de l’Union européenne fournit aux Etats membres une boite à outils relatives aux technologies de tracking

La boîte à outils, adoptée le 15 avril 2020 par le Réseau européen eHealth, définit les différents paramètres permettant un développement et une utilisation coordonnés des applications de recherche de contacts officiellement reconnues et le suivi de leurs performances par les Etats membres de ce réseau.  

À cette fin, elle fournit une liste détaillée des exigences de base et des fonctionnalités qui ont été identifiées collectivement par les autorités des États membres envisageant le lancement d’une application de recherche des contacts. Parmi ces Etats l’on trouve l’Autriche, la République Tchèque, l’Allemagne, l’Italie, les Pays-Bas, le Portugal ou encore la France.

Il s’agit d’une approche paneuropéenne qui tend à encadrer les applications qui seront uniquement installées de manière volontaire par les utilisateurs de téléphone mobile et dont le but est d’alerter les personnes qui auront été à proximité, pendant une durée déterminée, d’une personne infectée afin d’être testée ou de s’isoler.

Un calendrier des étapes à venir est dressé.

Concernant les propriétaires des systèmes d’exploitation des téléphones mobiles, les Etats membres et la Commission devront, d’ici la fin du mois d’avril clarifier les solutions de traçage des contacts proposées par Google et Apple afin de s’assurer que leur projet soit compatible avec la présente boite à outil.

En outre, concernant le développement d’un cadre d’interopérabilité, d’évaluation et de développement de la boite à outil, les Etats membres du réseau devront, d’ici le 31 mai 2020, rapporter les mesures qu’ils ont prises et en tiendront informée la Commission lors de la tenue de réunions bimensuelles. La Commission publiera le 30 juin 2020 un rapport évaluant les progrès effectués.

S’agissant d’autre part de l’utilisation des données de localisation des utilisateurs, une approche commune devra être adoptée pour la fin du mois de juin 2020. Cette utilisation ne pourra être faite que pour deux finalités : la modélisation de carte afin de prédire la propagation du virus et son impact sur le système de santé et l’optimisation de l’efficacité des mesures de confinement et de déconfinement.

Enfin, le Réseau eHealth prévoit, courant mai 2020, que le groupe de coopération NIS facilité l’échange de bonnes pratiques entre autorités nationales chargées de la cybersécurité des applications de traçage des contacts.

Source : https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf

7. Le CEPD publie ses lignes directrices relatives à l’utilisation des données de localisation et des outils de recherche des contacts dans le contexte de la crise liée au Covid-19

Le Comité européen pour la protection des données s’est lui aussi saisi de la question de la collecte des données personnelles aux fins de modéliser la propagation du virus et de tracer les contacts par une application mobile.

Selon lui, une telle collecte n’est possible que pour deux finalités bien spécifiques :

  • La modélisation de la propagation du virus à l’aide de données anonymisées dans le but d’évaluer l’efficacité globale des mesures de confinement ;
  • La recherche de contacts et l’information des personnes exposées afin de briser les chaînes de contamination.

Le Comité rappelle que toutes mesures adoptées par les États membres doivent respecter les principes généraux d’efficacité, de nécessité et de proportionnalité et que l’utilisation d’applications permettant de tracer les contacts doit se faire sur la base du volontariat. En aucun cas les dispositifs mis en place ne doivent conduire à suivre des mouvements individuels.

Ensuite, le Comité détaille les modalités de mise en œuvre de tels traitements soumis au RGPD.

S’agissant de la base légale du traitement, il précise que l’utilisation volontaire d’une application de traçage ne signifie pas que le traitement des données personnelles sera nécessairement basé sur le consentement. Lorsque les autorités publiques fournissent un service par les autorités publiques sur la base de dispositions législatives ou réglementaires, la base légale la plus pertinente pour ce traitement est la nécessité d’exécuter une mission d’intérêt public (Art. 6§1, e) RGPD). Ce traitement doit ainsi être préalablement prévu par le droit de l’Union européenne ou par le droit de l’Etat membre (Art. 6§3 RGPD). Des garanties suffisantes doivent accompagner ces dispositions, notamment une référence au caractère volontaire de l’application.

Concernant l’utilisation de ces applications, le Comité rappelle qu’elles ne remplacent pas la recherche manuelle des contacts, effectuée par les autorités et personnels de santé qualifiés, mais vient en soutien de cette recherche. De plus, la mission consistant à fournir des conseils sur les étapes suivants un dépistage ne devrait pas uniquement être basée sur un traitement automatisé mais sous la supervision d’un personnel qualifié. Les algorithmes doivent quant à eux être vérifiables et régulièrement examinés par des experts indépendants et leur code source doit être mis à la disposition du public. En outre,

Au sujet de la survenance de faux positifs, le CEPD exige que la correction des données et/ou des résultats d’analyse soit techniquement possible puisque l’identification d’une infection peut avoir un impact important sur les individus.

La collecte des données par un tel dispositif doit respecter le principe de minimisation des données traitées qui doivent être réduites au strict minimum :

  • L’application ne doit en aucun cas collecter de données non liées ou non nécessaires (ex. l’état civil, les identifiants de communication, les messages, les journaux d’appels, les données de localisation, les identifiants des appareils, etc.).
  • Les données susceptibles d’être diffusées par les applications ne doivent comprendre que des identifiants uniques et pseudonymes, générés par l’application, et spécifiques à celle-ci. Aucune identification ne doit être effectuée.
  • Seuls l’historique des contacts et/ou les identifiants anonymes d’un utilisateur diagnostiqué comme infecté ne peuvent être collectés par les serveurs participant au traçage des contacts.

S’agissant de la durée de conservation des données, les serveurs doivent conserver la liste des pseudonymes des utilisateurs infectés ou de leur historique de contacts uniquement pendant le temps nécessaire pour informer les utilisateurs potentiellement infectés de leur exposition.

Le CEPD insiste également sur la nécessité pour les Etats membres de réaliser une analyse d’impact préalablement à la mise en œuvre du traitement.

Enfin, ces lignes directrices sont accompagnées en annexe d’un guide, non contraignant et non exhaustif, ayant pour objectif de fournir des conseils généraux aux concepteurs et aux responsables de la mise en œuvre des applications de traçage des contacts.

Source : https://edpb.europa.eu/sites/edpb/files/files/file/edpb_guidelines_20200420_contact_tracing_covid_with_annex_en.pdf

8. Les traitements de données autorisées lors des opérations de distribution des masques

Des distributions massives de masques pour les particuliers vont avoir lieu et seront prises en charge par les collectivités territoriales. Des fichiers préexistants contenant des données personnelles d’administrés vont alors devoir être mobilisés afin d’organiser ces distributions.

Ces fichiers sont les suivants :

  • Le fichier de communication municipale destiné à informer les administrés des événements de la vie municipale et des services offerts, à les consulter sur des projets, à réaliser des enquêtes, etc. Les données pouvant être collectée sont l’identité, à la date ou l’année de naissance et à l’adresse, ainsi que, le cas échéant, le nombre de personnes, les centres d’intérêt.

Ce fichier peut être mobilisé pour informer la population de la procédure à suivre afin d’obtenir un masque de protection et plus largement fournir toute indication utile sur la gestion de la crise sanitaire par la collectivité.

  • Les registres communaux d’information et d’alerte des populations destinés à alerter la population en cas de situation d’urgence (inondation, canicule, incident nucléaire, épidémie, etc.). Ils ne concernant que les personnes âgées de 65 ans ou plus, les personnes âgées de plus de 60 ans et reconnues inaptes au travail et les personnes adultes handicapées bénéficiant de l’AAH. Les données collectées, à partir d’une démarche volontaire, sont les nom, prénoms et la date de naissance, la situation au titre de laquelle elle est inscrite sur le registre nominatif, l’adresse, numéro de téléphone et les coordonnées du service intervenant à domicile et la personne à prévenir en cas d’urgence.

 Leur finalité exclusive est de permettre l’intervention ciblée des services sanitaires et sociaux en cas de mise en œuvre, sous l’autorité du préfet, du plan départemental d’alerte et d’urgence.

  • La liste électorale. Les données collectées sont les nom, prénoms, date et lieu de naissance, domicile ou lieu de résidence de chaque électeur.

La commune peut traiter les données contenues dans ce fichier pour adresser à ses administrés des courriers d’information sur les modalités de mise en œuvre des opérations de distribution de masques.

  • Les fichiers de partenaires institutionnels peuvent aider à relayer auprès de leurs usagers les informations quant à la distribution de masques.

Cependant, sauf si les personnes concernées y ont consenti ou si un texte particulier le prévoit expressément, aucune donnée d’administrés ou d’usagers (identité, adresse, composition du foyer) ne peut être transmise directement aux communes par ces partenaires pour enrichir ou établir une quelconque liste de diffusion.

Enfin, les seules finalités pouvant légitimer l’utilisation des données contenues dans ces fichiers sont l’information les administrés sur la procédure à suivre, l’organisation d’une prise de rendez-vous, ou l’envoi postal de masques et le contrôle et le suivi des opérations de distribution des masques.

Les fichiers constitués lors des distributions ou envois postaux et leur suivi devront respecter les droits des personnes concernées tels que définis par le RGPD.

Source : https://www.cnil.fr/fr/covid-19-les-traitements-de-donnees-associes-aux-operations-de-distribution-de-masques

9. La CNIL rappelle les règles de vigilance à mettre en œuvre en matière de visioconférence

Dans le contexte actuel de confinement et de télétravail, de nombreux professionnels ont recours à des logiciels de visioconférence notamment pour la tenue à distance de cours ou de réunions.

Avant tout téléchargement d’un logiciel ou d’une application de visioconférence, la CNIL conseille de privilégier une solution soucieuse de la vie privée. Plusieurs critiques se sont élevées contre certaines applications, massivement utilisées depuis le début du confinement, au sujet de la gestion des données personnelles des utilisateurs et de la sécurité de ces données.

La Commission recommande ainsi aux internautes d’utiliser la solution Tixeo, conçue et développée en France, et seul logiciel de visioconférence certifiée en 2017 par l’ANSSI.

Elle recommande également de prendre certaines mesures de sécurité telles que :

  • Vérifier que l’éditeur a mis en place des mesures de sécurité essentielles, comme le chiffrement des communications de bout en bout ;
  • Sécuriser le réseau Wi-Fi avec un mot de passe robuste, en activant le chiffrement WPA2 ou WPA3 ;
  • S’assurer que l’antivirus et le pare-feu de l’ordinateur sont à jour ;
  • Utiliser un mot de passe de connexion à la solution de visioconférence différent de ceux utilisés sur les autres services en ligne.

Certains comportements sont recommandés d’adopter tels que :

  • Lire les conditions générales d’utilisation (CGU), notamment en matière de protection des données personnelles ;
  • Limiter le nombre de données personnelles fournies lors de l’inscription (pseudonyme, adresse mail dédiée, etc.) ;
  • Désactiver le microphone ou la webcam lorsqu’ils ne sont pas utilisés ;
  • Fermer l’application lorsqu’elle n’est plus utilisée.

Source : https://www.cnil.fr/fr/covid-19-les-conseils-de-la-cnil-pour-utiliser-les-outils-de-visioconference

Propriété Industrielle

1.  Noms de domaine lié au coronavirus : entre spéculation et sites web frauduleux, la vigilance est de mise

Dans un entretien accordé à l’AFP le 8 avril 2020, le directeur de l’ICANN (Internet Corporation for Assigned Names and Numbers) a appelé à redoubler de vigilance quant aux noms de domaines frauduleux et a demandé aux bureaux d’enregistrements de sévir face à ces actes malveillants et de contrôler les nouveaux enregistrements.

En effet, au moins 100 000 noms de domaine contenant des termes tels que “covid”, “corona” ou encore “virus” ont été enregistrés en mars 2020, selon le rapport de l’ICG (Interisle Consulting Group) pour l’ICANN, pour des sites servant à vendre des articles tels que des masques médicaux, ou diffusant des publicités pour des escroqueries.

L’ICANN n’a pas les prérogatives lui permettant de contrôler le contenu des sites web mais plusieurs plaintes ont déjà été déposées outre Atlantique. Selon une enquête de la FTC (Federal Trade Comission) les consommateurs américains auraient d’ores et déjà déboursé 5 millions de dollars dans des achats liés à ces fraudes.

En outre, certains noms de domaines contenant des termes liés à l’épidémie font l’objet de spéculations et peuvent être mis en vente à plusieurs milliers d’euros sur des plateformes spécialisées dans la vente aux enchères de noms de domaines.

Source : Rapport de l’ICG, 31 mars 2020, http://www.interisle.net/sub/DomainRegistrationData.pdf