Le COVID-19 et l'utilisation d'applications de santé

Actuellement, l'APD reçoit énormément de questions sur l'utilisation de toutes sortes de données dans la lutte contre l'épidémie de COVID-19. Il va de soi que pour nous aussi, la santé publique et la lutte contre la propagation sont d'une importance capitale. Nous voyons toutefois apparaître des applications qui ne respectent pas les règles et souhaitons dès lors rappeler quelques principes.

1. Anonymat

Si la bonne utilisation de l'application par le patient ne nécessite pas de traiter des données à caractère personnel, ce traitement n'a pas lieu. Dans ce cas, aucune donnée d'identification directe (nom et prénom, adresse e-mail, numéro d'identification du Registre national, numéro de GSM, …) ne peut être demandée à l’utilisateur. Il n'est pas non plus permis de réclamer ou d'utiliser des données (une identification de l'appareil ou de la connexion, par exemple) dont la combinaison permet d'identifier indirectement le patient. Attention : les données ne sont (suffisamment) anonymes que si elles ne permettent plus une réidentification, même si elles sont combinées avec d'autres données (de tiers également) (par exemple, des adresses IP sont toujours des données à caractère personnel car, avec l'aide d'un opérateur télécom, on peut procéder à une réidentification).

2. Relation thérapeutique

Si l'utilisation de l'application s'inscrit dans le cadre d'une relation thérapeutique existante entre un patient et un prestataire de soins ou un établissement de soins, ce sera expressément mentionné. On veillera également à ce que les données à caractère personnel ne soient traitées qu'en vue de la qualité et de la continuité des soins par ce prestataire de soins ou par d'autres prestataires de soins qui ont une relation de soins avec le patient. Le patient sera alors de préférence invité par le prestataire de soins à utiliser l'application.

3. Autres cas

Dans les situations où les points 1. ou 2. ne s'appliquent pas, une application qui traite des données à caractère personnel doit indiquer sur le tout premier écran les informations requises par le RGPD (responsable du traitement, finalité précise du traitement, utilisation de cookies, …), et ce avant même que l'utilisateur introduise une quelconque donnée à caractère personnel ou que ses données soient utilisées. Aucune donnée d'identification directe (nom et prénom, adresse e-mail, numéro de Registre national, numéro de GSM, …) ne sera réclamée pour commencer à utiliser l'application. Lors de l'utilisation de l'application, des données à caractère personnel ne seront utilisées que pour le bon fonctionnement de l'application en vue de la finalité annoncée et sous la responsabilité du responsable du traitement qui a été mentionné. À la fin de l'utilisation de l'application, on peut demander au patient s'il souhaite que ses données à caractère personnel soient transmises dans le cadre d'une relation de soins existante (par exemple transmettre le résultat de son auto-évaluation au médecin généraliste) ou pour établir une nouvelle relation de soins. Si le patient y consent, les données à caractère personnel complémentaires utiles peuvent être réclamées et transmises. À défaut, toutes les données à caractère personnel seront effacées et ne pourront plus être utilisées.