Recommandations COVID-19/Données personnelles

Données de santé

Les principes suivants de protection et de confidentialité des données devraient être appliqués:

Limitation des finalités et minimisation des données: la collecte, le partage, le stockage et les autres traitements de données de santé doivent être limités à ce qui est strictement nécessaire pour lutter contre le virus. Une pandémie n’est pas une excuse pour collecter des données étendues et inutiles. Les informations doivent être stockées en toute sécurité, dans une base de données distincte.

Conservation des données et recherches futures: les données traitées en réponse à la crise ne doivent être conservées que pendant la durée de la crise. Par la suite, la plupart des données sur la santé seront effacées, bien que certaines informations non identifiables puissent être conservées à des fins historiques et de recherche. Ces informations ne doivent être accessibles et utilisées qu’à des fins d’intérêt public.

Le traitement  de  données  à  caractère  personnel   relatives   à   des   données   génétiques   à   des   fins   scientifiques   requiert  l’autorisation  de  la  CDP,  en  vertu  de  l’article  20-1  de  la  loi  2008-12  du  25  janvier  2008  portant  sur  la protection  des  données  à  caractère  personnel.            

La demande d’autorisation s’effectue à travers le formulaire de demande d’autorisation pour la recherche dans le domaine médical : https://www.cdp.sn/liste-des-formulaires  

Préalablement à la demande d’autorisation adressée à la CDP, doit être obtenu l’avis éthique du Comité national d’Éthique pour la Recherche en Santé du Ministère de la Santé et de l’Action sociale.

Traçage numérique

Peu de pays ont décidé de ne pas utiliser la géolocalisation et le traçage numérique, ils ont plutôt opté pour une recherche détaillée des contacts par enquête. Cette méthode, en plus des tests à grande échelle pour identifier les personnes infectées, présente moins de possibilités de manquements au droit à la vie privée et à la protection des données personnelles tout en permettant une cartographie précise du virus.

Malgré les limites importantes des données de localisation pour déterminer si des personnes ont été en contact avec une personne infectée par le virus cette solution est utilisée au Sénégal par les autorités.

Le suivi de l’emplacement des tours cellulaires manque de granularité. Il peut suivre les emplacements généraux des téléphones, ce qui signifie qu’il peut placer des téléphones dans leur voisinage général, mais il ne peut pas détecter si deux téléphones se trouvaient à moins de deux mètres, ce qui serait nécessaire pour les données pertinentes dans le cas du COVID-19.

Les signaux GPS peuvent offrir une précision plus fine, mais ne fonctionnent pas à l’intérieur des bâtiments ou des transports, et il peut y avoir des interférences provenant de grands immeubles, ce qui signifie que de grandes parties d’une ville peuvent ne pas être couvertes.

Encore une fois, connaître l’emplacement géographique d’une personne ne donne pas l’information pertinente, et porte atteinte la vie privée, aussi le gouvernement ne devrait pas compter sur le suivi de l’emplacement géographique.

Pour éviter les risques, nous exhortons le gouvernement du Sénégal à limiter l’accès à ces données à ceux qui en ont besoin pour lutter contre le virus.

Les informations nécessaires pour lutter contre le virus doivent être à jour et, par conséquent, ne doivent pas être conservées pendant de nombreuses années.

La crise sanitaire actuelle ne doit pas être utilisée comme une opportunité pour période de conservation disproportionnée des données. Les données doivent être stockées dans une base de données distincte pour la réponse à la crise, de manière à pouvoir être facilement supprimées une fois la crise déclarée terminée.

Cette pandémie ne doit pas servir de prétexte au déploiement de nouveaux systèmes de surveillance individuelle de la population.

Lire les recommandations de la Commission de protection des données personnelles du Sénégal

Applications mobiles et web

La collaboration entre les autorités et les entreprises ou autres organisations doivent être transparentes. Ils devraient respecter les exigences relatives aux données ouvertes, au gouvernement ouvert, aux normes de passation des marchés ouverts et aux rapports de transparence, et faciliter l’accès du public à l’information.

Les acteurs du secteur privé qui développent des applications web et mobiles pour lutter contre le COVID-19 devraient le faire dans le respect des droits humains à l’ère numérique notamment le respect du droit à la protection des données personnelles.

Le gouvernements devrait tenir compte des risques supplémentaires liés à l’externalisation des activités publiques dans leur réponse au COVID-19 au secteur privé avant de s’engager dans des partenariats public-privé.

Le gouvernement doit s’assurer que les solutions des prestataires privés sont prouvées et fournissent des avantages démontrables avant de collaborer.

Les entreprises développant des applications et des services utilisés pour faire face à l’épidémie de COVID-19 ou y répondre doivent fournir aux utilisateurs des droits de protection des données et respecter les principes de minimisation des données, de limitation de la finalité et de l’utilisation, ainsi que de l’accès limité et de la conservation des données.

Lors de la création d’applications pour répondre à une crise de santé publique, les entreprises privées ne devraient pas être en mesure de monétiser les données issues de l’utilisation de leurs produits. En outre, il devrait y avoir des limites claires sur les utilisations secondaires ou le traitement ultérieur des données personnelles.

Toute application ou solution technologique du secteur privé pour aider à lutter contre le COVID-19 devrait être ouverte à un examen et à des audits complets par les autorités de régulation indépendantes et des groupes de la société civile.

Il faut rester vigilant face aux solutions technologiques proposées dans un scénario à haut risque comme les crises sanitaires.

Les mesures éprouvées et testées devraient être préférées aux nouvelles solutions technologiques à la va vite, en particulier lorsque ces dernières impliquent la transgression de protections juridiques et la collecte de données personnelles.

Alors que les ressources pour la santé publique sont rares, le gouvernement ne devrait pas voir cette crise sanitaire comme une opportunité d’investir dans des systèmes de surveillance controversés qui serait un danger pour les libertés publiques et individuelles.

Télétravail

Le télétravail est une alternative en cette période de crise sanitaire qui permet d’assurer la distanciation des personnes et éviter la propagation du virus.

Les moyens utilisés comme le mailing, la téléconférence ou la téléphonie IP sont des solutions idoines mais qui peuvent être intrusives pour les données personnelles et non adéquates pour traiter des données sensibles, comme celles relatives à la santé.

L’utilisation des plateformes et services mis à disposition parfois gracieusement par de grandes entreprises privées internationales ne sont pas protectrices des données personnelles et peuvent même être un danger pour la souveraineté nationale en rendant les données stratégiques disponibles à des puissances étrangères.

Il faut donc veiller à utiliser des services développés par des structures nationales ou à défaut des solutions à code ouvert respectueuses des données personnelles et veiller dans toutes les applications à stocker ces données de santé sur le territoire national.

Éducation nationale

Les écoles et les universités déploient tous les efforts possibles pour assurer la continuité du travail éducatif. Cependant, il est recommandé de privilégier des applications développées localement afin que l’utilisation des logiciels ne porte pas atteinte aux droits des personnes concernées et d’éviter de traiter plus de données que nécessaire pour atteindre le but légitime de continuité de l’enseignement.

Il est important d’utiliser des solutions nationales, à défaut choisir celles à code ouvert et éviter par facilité d’utiliser des plateformes étrangères dont on ne maîtrise ni le fonctionnement ni le sort des données personnelles et que de ce fait pourraient porter atteinte aux droits des individus et certainement à la souveraineté numérique du Sénégal.

Enfin, il est conseillé de veiller à ce que les parents bénéficient d’un maximum de transparence en ce qui concerne le traitement des données personnelles de leurs enfants.

Employeurs

Les employeurs ne peuvent traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales, c’est-à-dire nécessaires pour prendre des mesures organisationnelles (mise en télétravail, dispense de travail, orientation vers un médecin ou structure sanitaire, etc.), de formation et d’information, ainsi que certaines mesures préventives, notamment   la prise de température et exiger le port du masque.

Ainsi, les employeurs ne peuvent pas eux-mêmes mettre en place des fichiers relatifs à la température corporelle de leurs salariés ou agents ou à certaines pathologies (les « comorbidités ») susceptibles de constituer des troubles aggravants en cas d’infection au COVID-19.

C’est pourquoi seuls peuvent être traités par ces acteurs les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou suspectée de l’être.

Par ailleurs, si un salarié serait testé positivement au Covid-19, il ne leur appartient pas de conduire leur propre investigation, dans la mesure où cette mission revient au Ministère de la santé du Sénégal. 

En outre, l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres salariés.

Enfin, l’employeur doit procéder à la déclaration du traitement des données personnelles de ses salariés. Lire les obligations des entreprises formulées par la Commission de protection des données personnelles du Sénégal

Les relevés de température

Il est à noter que l’efficacité et l’opportunité de la prise de température doit être évaluée avec précaution dans la mesure où elle n’est pas un symptôme systématique du COVID-19, ou peut témoigner d’une autre infection, empiétant ainsi sur la sphère privée de la personne.

Une prise de température des visiteurs et salariés d’une entreprise ou administration, sans que les données relatives à la température liées à l’identité de la personne concernée ne soient enregistrées ou ne soient appelées à figurer dans un fichier, ne constitue pas un traitement de données au sens de la loi sur la protection des données à caractère personnel du Sénégal. Par conséquent, les prises manuelles de température à l’entrée d’un site et sans qu’aucune trace ne soit conservée ne sont pas soumises aux règles et principes de la loi précitée.

Citoyens

Il est conseillé aux citoyens, que les données personnelles de santé ne peuvent en aucun cas être publiées sur internet mais surtout sur les réseaux sociaux qui vous permettent d’utiliser les services qu’ils vous proposent en se donnant le droit de traiter vos données personnelles. Nous appelons les citoyens à limiter le recours aux plateformes numériques de partage d’informations surtout s’ils doivent transmettre ou rendre public des données personnelles de santé.

Pour rappel l’article 431-27 de la Loi n°2016-29 portant Code pénal révisé dispose : « La divulgation de données personnelles qui aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, sans autorisation de l’intéressé, est punie d’un emprisonnement d’un an à sept ans et d’une amende de 500.000 francs à 10.000.000 de francs ou de l’une de ces peines. Lorsque qu’elle est commise par imprudence ou négligence, un emprisonnement de six mois à cinq ans et d’une amende de 300.000 francs à 5.000.000 de francs ou de l’une de ces peines. »