Alors que le monde est témoin d’une crise sanitaire inédite et que des vies humaines sont en jeu, la protection des données personnelles n’est pas la principale préoccupation de la plupart des gens, et c’est compréhensible. Néanmoins, les valeurs démocratiques, et en particulier les droits et libertés de chaque citoyen, ne peuvent être ignorées, même en ces temps difficiles. Les lois sur la protection des données ne constituent pas des obstacles à la lutte contre le coronavirus, car elles comportent des dispositions visant à traiter les informations nécessaires pour faire face à la pandémie tout en respectant les droits fondamentaux.
Les données de santé sont des données sensibles
Une crise telle que celle à laquelle la communauté internationale est confrontée en ce moment entraîne le traitement d’un grand nombre de données relatives à la santé par des chercheurs, des employeurs, des professionnels de la santé ou des organismes publics. Au sein de l’Union européenne, elles doivent être traitées en se conformant aux dispositions du Règlement général sur la protection des données (RGPD).
Les données de santé sont définies comme des «données à caractère personnel relatives à la santé […] d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne
»1. Essentiellement, le RGPD enseigne que les données de santé sont des données relatives à la santé, une définition qui se révèle en quelque sorte tautologique. Quelles données personnelles devraient concrètement être considérées comme des données de santé, à l’aune de cette définition, dans le contexte de la crise sanitaire actuelle?
Les informations relatives à un test positif à la Covid-19, la réalisation elle-même de tests de dépistage, la prise de la température corporelle d’une personne ou le relevé des symptômes de la maladie (fièvre, toux, problèmes respiratoires, etc.) doivent certainement être considérées comme des données de santé. Toutes ces informations sont directement liées à la santé d’une personne physique.
Les informations sur les lieux de séjour et les endroits visités par une personne lors d’un voyage constituent des données personnelles, mais doivent-elles être considérées comme des données sensibles? Les autorités de contrôle de certains États Membres ne les classent pas comme telles parce qu’elles ne révèlent pas directement des informations sur l’état de santé d’une personne.
Le simple fait qu’une personne soit en quarantaine est plus difficile à qualifier. Ce fait peut être considéré comme une donnée de santé en fonction des informations supplémentaires existantes sur le régime de confinement (cause, objectif, lieu, etc.), selon les autorités de contrôle de certains États Membres.
Le régime juridique applicable aux données de santé
La qualification des données de santé ne relève pas d’un exercice théorique. Elle a un impact direct et pratique sur le régime juridique applicable à ces données et, par conséquent, sur la manière dont elles doivent être traitées.
Les données relatives à l’état de santé d’une personne appartiennent à des catégories particulières de données à caractère personnel2 en vertu du RGPD. Elles sont traitées différemment des autres données personnelles en raison de leur nature sensible. Le traitement de ces données présente en effet «des risques importants
»3 pour les droits et libertés d’une personne.
La nature sensible de ces données a incité le législateur européen à adopter un régime juridique spécial pour traiter toute information liée à la santé. La règle générale prévoit que le traitement de ce type de données est interdit4, sauf dérogations expresses mentionnées au RGPD5.
Il apparaît maintenant clair que certaines informations relèvent du régime juridique général de la protection des données, tandis que d’autres suivent des règles spéciales. La suite de l’article s’intéresse exclusivement à ces règles applicables aux catégories particulières de données à caractère personnel et à leur traitement par des chercheurs, des employeurs, des organismes publics ou des professionnels de la santé dans un contexte exigeant des actions et des décisions rapides.
Les données de santé et la protection d’intérêts vitaux
Le traitement portant sur des catégories particulières de données à caractère personnel, y compris donc sur des données de santé, est autorisé s’il est nécessaire afin de protéger les intérêts vitaux d’une personne ou de tiers6. L’exception relative aux intérêts vitaux est similaire à la base légale relative à la sauvegarde d’intérêts vitaux7, sauf qu’elle ne s’applique que si le consentement d’une personne ne peut être obtenu (cf. Coronavirus, traçage des données et vie privée pour le traitement des données de santé basé sur le consentement).
La portée de l’exception est limitée, car elle ne concerne que la protection de «l’intérêt vital
» d’une personne, c’est-à-dire «un intérêt essentiel à [s]a vie
»8. Il comprend les menaces à l’intégrité physique ou à la vie d’une personne ou d’un tiers. En d’autres termes, il doit être question de vie ou de mort, même si le considérant 46 RGPD élargit la portée de l’exception. Elle s’applique également à des fins humanitaires, telles que la surveillance des épidémies, ce qui présente un intérêt tout particulier ici.
La deuxième condition limite considérablement la portée de l’exception relative aux intérêts vitaux: elle ne peut être invoquée que si l’individu est physiquement ou légalement incapable de donner son consentement. Cela peut être le cas si la personne est inconsciente, par exemple, ou si elle est incapable de consentir en raison de son statut juridique, comme les mineurs ou les adultes sous curatelle ou sous tutelle. Un consentement explicite doit être recherché chaque fois que cela est possible9. Il n’est pas possible de s’appuyer sur l’exception relative aux intérêts vitaux comme solution de rechange si une personne est en mesure de consentir et elle a refusé de le faire.
Essentiellement, l’exception relative aux intérêts vitaux est utile dans les situations d’urgence médicale. Si une personne souffre du syndrome de détresse respiratoire aiguë, par exemple, le personnel médical a besoin de ses antécédents médicaux récents pour décider du traitement approprié. Comme la personne n’est pas en mesure de donner son consentement, l’hôpital doit s’appuyer sur une base légale pour traiter ses données de santé et l’exception relative aux intérêts vitaux pourrait s’avérer utile. Elle peut également être invoquée dans les cas d’épidémies comme celle à laquelle le monde est confronté en ce moment. Il est évidemment impossible pour toutes les personnes infectées de consentir individuellement en temps opportun au traitement de leurs données de santé par le personnel médical afin de prévenir la propagation du virus et, ce faisant, de protéger les intérêts vitaux de tiers.
Les données sensibles et la protection de la santé publique
Le législateur européen n’aurait pu prévoir l’ampleur de l’épidémie de coronavirus, mais il a adopté une exception à l’interdiction de traiter des données sensibles pour faire face à une telle situation. Il y a eu des épidémies par le passé et il y en aura à l’avenir, c’est pourquoi le RGPD habilite les autorités publiques à collecter des données de santé lors de la survenance d’un tel phénomène.
L’article 9 (2) (i) RGPD prévoit une exception à l’interdiction du traitement des données sensibles – sans l’obtention préalable du consentement explicite d’une personne10 – qui sont nécessaires pour des raisons d’intérêt public dans le domaine de la santé publique.
La santé publique est généralement définie comme «tous les éléments relatifs à la santé
»11. Les termes sont exemplifiés dans l’article 9 (2) (i) RGPD. Ils comprennent explicitement la protection contre les «menaces transfrontalières graves sur la santé
», ces dernières incluant à leur tour les «maladies transmissibles
»12. L’exception englobe donc les données nécessaires à l’étude ou à la lutte contre les épidémies telle que celle qui oblige actuellement des centaines de milliers de personnes à travers le monde à se confiner.
L’intérêt public renvoie au bien public et à ce qui est dans l’intérêt supérieur d’un groupe d’individus ou de la société dans son ensemble13. Un intérêt personnel, corporatif ou financier ne suffit pas à justifier l’application de cette exception. Par ailleurs, les données traitées en vertu de l’exception de santé publique ne peuvent être partagées avec des tiers14.
«L’urgence est une condition légale qui peut légitimer des restrictions de libertés à condition que ces restrictions soient proportionnées et limitées à la période d’urgence
»15 (notre traduction), rappelle le Comité européen de la protection des données. Il est dans l’intérêt de tous de ralentir l’épidémie et de recourir à la technologie dans la lutte contre le coronavirus (cf. Coronavirus, traçage des données et vie privée). Cela doit néanmoins être fait d’une manière qui préserve les droits et les libertés de chacun. Le traitement des données personnelles sensibles dans le contexte d’une crise sanitaire devrait être nécessaire, proportionné et temporaire. L’intérêt public impérieux d’éradiquer les pandémies nécessite une approche raisonnable et pragmatique engagée dans le respect de la primauté du droit.
* An English version of this article has been published under the title Health Data in the Time of Coronavirus.
1 Art. 4 (15) RGPD.
2 Art. 9 (1) RGPD.
3 Consid. 51 RGPD.
4 Art. 9 (1) RGPD.
5 Art. 9 (2) RGPD.
6 Art. 9 (2) (c) RGPD.
7 Art. 6 (1) (d) RGPD.
8 Consid. 46 RGPD.
9 Art. 9 (2) (a) RGPD.
10 Consid. 54 RGPD.
11 Règlement (CE) no 1338/2008 du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail, JOUE L 354, 31 décembre 2008, p. 70, art. 3 c).
12 Décision no 1082/2013/UE 22 octobre 2013 relative aux menaces transfrontières graves sur la santé, JOUE L 293, 5 novembre 2013, p. 1, art. 1 (a) (i).
13 Consid. 53 RGPD.
14 Consid. 54 RGPD.
15 Comité européen de la protection des données, Statement on the Processing of Personal Data in the Context of the Covid-19 Outbreak (19 mars 2020).