La crise sanitaire liée au Covid-19 conduit les acteurs publics à mettre en œuvre un certain nombre de traitements de données à caractère personnel.  

Certains d’entre eux s’interrogent, par suite, légitimement sur la sécurité juridique des pratiques mises en œuvre, bien souvent en urgence, pour répondre aux enjeux en présence.  

A cet effet, il nous a semblé important de vous faire part des quelques précisions/observations suivantes.  

Tout d’abord, la CNIL a publié, il y a quelques jours un article dédié à ce sujet, lequel rappelle les grands principes en la matière, dans ce contexte très particulier. Il est donc utile, en premier lieu de s’y référer.  

Au-delà et pour ce qui intéresse plus particulièrement les acteurs publics, il peut être retenu dans la période, les considérations suivantes :  

• Il est possible, en premier lieu, de mettre en œuvre un traitement de données personnelles qui aura pour objet la protection de son personnel. Pour rappel, la protection de la sécurité de ses salariés/agents est une obligation de tout employeur, de sorte qu’il est légitime, ainsi que l’a indiqué la CNIL, de mettre en œuvre des traitements de données personnelles poursuivant une telle finalité. Il peut donc tout à fait être envisagé de consigner des informations sur les membres de l’organisme ayant contracté le virus et les mesures prises à leur égard ainsi que de mettre en œuvre tout traitement de données personnelles visant à permettre le télétravail). Dans la mesure où, à notre sens, ces mesures s’inscrivent dans le cadre de la relation de travail unissant les membres du personnel à leur employeur et qu’une information générale sur les traitements mis en œuvre dans le cadre de ces relations a, en principe, été effectuée, nous considérons, à ce stade, et du fait de l’urgence, qu’une information spécifique sur ces traitements de données personnelles n’est pas indispensable.  

• Il est possible, au-delà, pour les acteurs publics, qui dans le cadre de leurs compétences souhaitent concourir à la protection des individus et à la solidarité à l’égard des plus vulnérable, de mettre en œuvre des traitements de données à caractère personnel inédits. Preuve en est, par l’exemple, puisque l’Etat s’est rapproché des opérateurs téléphoniques pour diffuser, le plus largement possible, par SMS, un message de santé publique. En l’occurrence, donc, sans avoir à recueillir un quelconque consentement, sur le fondement de l’intérêt public ou de la sauvegarde d’intérêts vitaux, les communes peuvent naturellement, par exemple, traiter les données personnelles de leurs séniors pour garantir leur protection (si elles envisagent par exemple de mettre en œuvre des dispositifs d’alerte). De même, il parait parfaitement envisageable de constituer des formulaires de contact dédiés au traitement de difficultés rencontrées par certaine personne et/ou à des propositions d’entraides. Nos seules recommandations, s’agissant de ces initiatives consistent à garder à l’esprit le fait de s’astreindre à ne collecter que ce qui est strictement nécessaire à l’atteinte des finalités fixées et à prévoir, dans la mesure du possible, une information des personnes concernées de ce type : « La commune de x… soucieuse de concourir, dans ce contexte de crise sanitaire, à la protection de sa population, a souhaité mettre en œuvre un dispositif d’entraide/d’alerte, pour lequel elle est conduite à traiter des données à caractère personnel. Ces données ne seront collectées que pour cette finalité exclusive et le temps de résolution de ladite crise sanitaire. Pour toute information complémentaire ou pour faire valoir un des droits associés à ce traitement de données à caractère personnel, vous pouvez vous adresser à son délégué à la protection des données joignables via les coordonnées suivantes xxx ».