L’année 2021 a également été marquée par la lutte contre le Covid-19.


Une nouvelle année sous le signe du Covid-19

Tout comme en 2020, l’année 2021 a été particulièrement marquée par la lutte contre le Covid-19. En termes de vié privée, la vaccination et les traitements de données y afférant ont constitué le principal défi de l’année. Encore une fois, l’APD a été amenée à se prononcer sur la mise en place de traitements de données qu’on aurait difficilement pu imaginer avant la pandémie, comme la mise en place du Covid Safe Ticket (CST).

Trouver la manière de préserver la santé publique et le système hospitalier tout en garantissant le respect de la protection des données à caractère personnel ne fut pas toujours un exercice facile. L’APD a en ce sens particulièrement insisté sur les exigences de nécessité et de proportionnalité des mesures imposées pour lutter contre le coronavirus. En effet, les données traitées dans le cadre des mesures Covid-19 étant principalement des données de santé, qui sont très sensibles, l’APD a été particulièrement vigilante à ce que les garanties nécessaires pour les protéger soient prévues. Elle a d’ailleurs envoyé en 2021 une lettre à tous les gouvernements et parlements belges afin de demander que les mesures prises dans le cadre de la lutte contre le coronavirus respectent bien les principes fondamentaux de la protection des données.

L’année 2021 est également celle du début des décisions élaborées dans des dossiers de mise en application de la loi liés au Covid-19, la toute première concernant la mise en place d’un système de caméras à la côte pour mesurer l’affluence.

L’APD a également rendu aux parlementaires et gouvernements de nombreux avis relatifs à des textes normatifs mettant en place des traitements de données par l’État dans le cadre de la crise sanitaire (comme par exemple la mise en place du CST, l’instauration d’un petit chômage pour la vaccination, ou encore la création d’une obligation vaccinale pour le personnel soignant). Enfin, elle a redoublé de vigilance, réagissant notamment à de potentielles failles de sécurité dans des systèmes traitant des données de santé comme l’application CovidScan et la plateforme Bruvax.

Plusieurs dossiers de contrôle liés au coronavirus ont été ouverts et sont actuellement en cours d’examen par le Service d’Inspection et/ou la Chambre Contentieuse de l’APD.

Enfin, l’APD a également continué à sensibiliser les citoyens et les responsables du traitement en alimentant son dossier thématique Covid‑19 et en y créant une page dédiée à la vaccination


Avis

Depuis le début de la pandémie du coronavirus, de nombreux textes normatifs ont été rédigés et mis en œuvre pour encadrer différents types de mesures, généralement temporaires, ayant pour objectif notamment de limiter la propagation du virus, de soulager le système hospitalier, ou de venir en aide aux citoyens et  organisations impactées par le coronavirus.

Conformément à l’article 36.4 du RGPD, l’Autorité doit être consultée préalablement à la mise en place de toute norme législative et réglementaire de portée générale qui crée, modifie ou modalise des traitements de données à caractère personnel. L’APD a rappelé cette obligation dans une lettre envoyée à tous les parlements et gouvernement de Belgique le 3 février 2021.

L’APD a émis en 2021 toute une série d’avis concernant de tels projets de textes normatifs. La liste complète de ces avis peut être consultée sur le site web de l’APD (voir la page « Avis relatifs au Covid-19 »).

Elle a notamment rendu 9 avis concernant l’introduction et l’utilisation du Covid Safe Ticket (CST) : les avis 124/2021, 163/2021, 164/2021, 170/2021, 180/2021, 232/2021, 244/2021, 245/2021 et 246/2021. 

Dans ces avis, l’APD a systématiquement rappelé que le fait pour toute personne de devoir prouver, à travers la présentation du CST, soit qu’elle a été vaccinée, soit qu’elle vient de réaliser un test qui s’est révélé négatif, soit qu’elle s’est rétablie du Covid-19 pour pouvoir accéder à des lieux et activités, y compris des lieux et activités relevant de la vie courante, constitue une ingérence particulièrement importante dans le droit au respect de la vie privée et le droit à la protection des données à caractère personnel.

Certes, les droits et les libertés ne sont pas absolus et peuvent être limités si cela s’avère nécessaire dans une société démocratique pour atteindre un objectif d’intérêt général, comme la préservation du système hospitalier. Il faut toutefois démontrer (1) que le CST permet effectivement de créer des lieux plus sûrs et à moindre risque de transmission du virus, afin d’éviter une saturation du système hospitalier, tout en évitant de nouvelles fermetures de secteurs déterminés, (2) qu’il n’y a pas de moyens moins intrusifs permettant d’atteindre cet objectif et (3) que les avantages apportés par le CST dépassent les inconvénients et les risques (y compris le risque d’accoutumance et de normalisation sociale des comportements qui portent atteinte aux droits fondamentaux ainsi que le risque de « glisser » vers une société de surveillance) qu’il introduit. L’APD a également rappelé qu’il ne suffit pas de supposer l’efficacité, la nécessité et la proportionnalité du CST, mais qu’il faut pouvoir montrer, à l’aide d’éléments factuels et concrets suffisamment établis, que la mesure s’avère très vraisemblablement efficace, nécessaire et proportionnée. L’efficacité, la nécessité et la proportionnalité doivent, en outre, être réévaluées de manière régulière en prenant en compte l’évolution de la situation sanitaire et des connaissances scientifiques y relatives. Dans ses avis, l’APD a invité, à plusieurs reprises, les autorités publiques à justifier, à l’aide d’éléments factuels et concrets suffisamment établis, l’efficacité, la nécessité et la proportionnalité du recours au CST.

Par ailleurs, au-delà de la remarque  de fond concernant le principe même du recours au CST, l’APD a également formulé des remarques plus ponctuelles concernant l’encadrement normatif du recours au CST. Elle a, par exemple, souligné, à plusieurs reprises, le fait qu’une norme de rang législatif avait déterminé les circonstances et les conditions précises dans lesquelles le recours au CST était imposé (pas de délégation au pouvoir exécutif concernant la détermination des éléments essentiels du traitement, comme la notion d’ « évènement de masse » ou de « réunion privée »). L’APD a aussi insisté sur le fait que la décision d’imposer le CST doit être prise par les autorités politiques et qu’elle ne peut donc pas être laissée à la discrétion de personnes privées (organisateurs et exploitants de certains lieux et évènements).


Le contrôle du respect de la réglementation

Outre l'approche ex ante des nouvelles mesures, l'APD a bien entendu aussi une tâche de contrôle à l'égard des traitements concrets qui ont lieu dans le cadre de la lutte contre le Covid-19.

Début 2021, l’APD a publié sa toute première décision dans le cadre d’un dossier lié au COVID-19. Celui-ci portait sur l’installation à la côte belge d’un système de caméras permettant de mesurer l’affluence. Il avait été initié en 2020, moment où la mesure avait été annoncée par l’entreprise de province autonome "Westtoer". En février 2021, l’APD imposa donc une réprimande à Westtoer, et conclut que des caméras mesurant l’affluence dans le cadre de la lutte contre le Covid-19 peuvent être installées, mais uniquement sous des conditions très strictes et sous réserve que le strict minimum de données à caractère personnel soit traité. 

Dans le courant de l’année, elle a également été amenée à se prononcer dans le cadre d’une série de plaintes concernant des demandes envoyées à l’Agence pour une Vie de Qualité (AVIQ), exigeant l’effacement de données d’identification et de contact utilisées pour l’envoi d’invitations à se faire vacciner contre le Covid-19. Dans sa décision, l’APD a rappelé que le droit à l’effacement des données n’est pas absolu et qu’il ne s’applique que dans certains cas, par exemple si les données ont fait l’objet d’un traitement illicite. Elle a constaté que dans le cas d’espèce, le traitement par l’AVIQ était fondé sur l’accord de coopération du 12 mars 2021 dans le cadre de l’organisation de la campagne de vaccination et que l’AVIQ était donc en droit de ne pas répondre favorablement aux demandes d’effacement des plaignants.

2021 fut également l’année pendant laquelle la Chambre Contentieuse s’est prononcée pour la toute première fois sur un recours contre une mesure provisoire imposée par le Service d’Inspection, et ce dans le cadre d’un dossier lié à la vaccination contre le Covid-19. La Chambre Contentieuse a en effet confirmé une mesure visant à suspendre temporairement la vérification du statut vaccinal de candidats en vue de leur recrutement dans un réseau hospitalier. Dans ce dossier, l’APD a indiqué que, bien qu’elle comprenne la motivation du réseau hospitalier, les données de santé de par leur caractère sensible sont soumises à un cadre juridique strict, et qu’il était de son devoir de le faire appliquer.

En 2021, le Service d’inspection et la Chambre Contentieuse de l’APD ont examiné les contrôles de  température mis en place dans les aéroports de Zaventem et Charleroi afin de lutter contre le coronavirus.

Ces dossiers avaient été initiés de propre initiative par l’APD, après des comptes-rendus dans la presse. Elle avait d’ailleurs communiqué son inquiétude quant à l’utilisation de ce type de technologie.

Lors de son analyse, l’APD va constater que les aéroports manquaient d’une base légale valable pour traiter des données liées à la température des voyageurs, et ce en particulier vu qu’il s’agit de données de santé. De surcroit, elle observera des manquements en termes d’information fournie aux voyageurs, et de qualité des analyses d’impact.  Outre les traitements de données liés aux caméras thermiques, les traitements de catégories particulières de données (données de santé) récoltées notamment via des questionnaires remplis par les passagers soumis à un second contrôle sont également visés par la décision dans le dossier lié à l’aéroport de Zaventem.  De légers manquements ont également été constatés au sujet du registre des activités de traitement de l’aéroport de Charleroi.

Ces dossiers seront finalisés en 2022, avec l’annonce d’une réprimande et d’une amende de 200.000 euros pour l’aéroport de Zaventem responsable d’un premier contrôle des passagers, ainsi qu’une amende de 20.000 pour l’entreprise Ambuce Rescue Team, responsable du second contrôle des personnes ayant été identifiées par une caméra thermique comme souffrant de température supérieure à 38°. Quant au Brussels South Charleroi Airport, il se verra imposer 100.000 euros d’amende ainsi qu’une réprimande.

Dans sa décision, l’APD a souligné qu’elle prenait naturellement en compte le contexte de crise sanitaire, durant lequel les responsables de traitement ont dû parfois agir dans l’urgence pour mettre en place des mesures encore jamais vues auparavant. Elle rappelle cependant que les exigences du RGPD et des législations en matière de vie privée sont une protection essentielle pour les droits et libertés des personnes, et doivent être respectées. Le contrôle par l’APD des mesures liées au coronavirus est dans ce cadre très important afin de décourager d’éventuels futurs traitements de données similaires.

Le Service d’inspection a également lancé des enquêtes dans des dossiers liés au Covid-19 pendant l’année 2021, comme par exemple à propos d’une potentielle fuite de données dans  l’application CovidScan.

D’autres dossiers de ce type ont été traités en 2021 par l’Inspection et/ou la Chambre Contentieuse et seront communiqués au public dès qu’ils seront finalisés.


Fourniture d’informations sur les traitements liés Covid-19

En 2021, l’APD a continué à alimenter son dossier web thématique sur le Covid‑19, plus particulièrement en créant une page dédiée à la vaccination, l’un des principaux défi de l’année en termes de protection des données personnelles.

Elle y a publié plusieurs questions fréquemment posées, ou FAQ, dans lesquelles elle rappelle que le statut vaccinal d’une personne est une donnée de santé, dont le traitement est en principe interdit par l’article 9 du RGPD, à moins qu’une exception soit prévue par une loi ou que la personne concernée y consente explicitement et librement. Elle y répond également à différentes questions comme : est-ce que mon employeur peut me demander une preuve de vaccination, ou encore : une école peut-elle interdire les salles de cours aux élèves non vaccinés ?

L’APD a également répondu aux questions individuelles que les citoyens ou responsables du traitement lui ont envoyées par email, afin de les informer aux mieux quant aux règles applicables en matière de traitement de données liés à la crise du coronavirus.


Surveillance proactive

Avec la crise du Covid-19, et son lot de nouvelles technologies et pratiques impliquant des traitements de données personnelles, l'action proactive de l'APD est plus que jamais nécessaire.

En 2021, l’APD a lancé plusieurs actions de monitoring afin de mieux cerner des projets mis en place pour répondre à la pandémie. Les traitements visés étaient principalement de deux types :

  •  l’accès potentiellement non autorisé à des informations sur l’état de vaccination des personnes ;
  • des demandes adressées par des organismes privés d’informations de santé à des personnes physiques, potentiellement sans disposer d’une base légale les y autorisant.

Une lettre de monitoring de l'APD vise à demander des informations précises sur un traitement de données. Au cas où les réponses du responsable du traitement constituaient des indices sérieux de l’existence d’une pratique pouvant donner lieu à une infraction aux principes fondamentaux de la protection des données à caractère personnel, le Comité de direction de l’APD pouvait décider de lancer une enquête formelle à l’encontre du responsable du traitement. Une telle enquête peut aboutir à une sanction au cas où la Chambre Contentieuse constate l’existence d’infractions au RGPD.[1]

[1] La manière dont le Comité de direction constate et traite l’existence d’indices d’atteintes au sens de l’article 63 § 1, 1° LCA, a été revue par le Comité de direction renouvelé et fera le cas échéant l’objet d’un commentaire dans le rapport annuel 2022