base de données

Coronavirus : illégalités des décisions des gouvernements européens ?

La  réponse des gouvernements européens, face au coronavirus, réduit de plus en plus les libertés fondamentales et individuelles. 

Depuis le début de cette crise, tous les gouvernements du monde entier ont pris des mesures pour faire face. Les mesures prises sont drastiques car elles touchent tous les droits fondamentaux et individuels.

NOUVEAU : Utilisez nos services pour faire retirer un contenu concernant vos données personelles en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

Les mesures deviennent de plus en plus contraignantes, car le virus du covid-19 ne baisse pas voire même continue à progresser.

Lassées de cette situation, des personnes  ont commencé à saisir les différentes juridictions étatiques dans toute l’Europe pour contester certaines décisions.

Les différents tribunaux en France, et en Europe, ont alors commencé à se prononcer et rendre des décisions,  pour la plupart très favorables à certains griefs de suppression des libertés.

Quelles sont ces décisions prises pour lutter contre le virus de la COVID-19 et jugées illégales par les différentes instances judiciaires européennes ?

 

Besoin de l’aide d’un avocat pour un problème de données personnelles ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

 

I. Décisions gouvernementales jugées illégales par les instances françaises

En France, la plupart des décisions gouvernementales prises compte tenu de la situation sanitaire, ont fait l’objet de recours devant le Conseil d’État.  La majorité de ces recours n’ont cependant pas eu gain de cause.

Néanmoins, des mesures prises par le gouvernement ont été jugées illégales par la plus haute juridiction administrative Française.

A) Sur la délivrance des visas de regroupement familial

La crise du coronavirus a eu un impact  considérable, s’infiltrant même dans les relations familiales. Ainsi, les autorités françaises avaient décidé de restreindre la délivrance des visas de regroupement familial afin minimiser la circulation du virus.

Sauf que plusieurs associations représentant des étrangers et des requérants individuels ont saisi le juge des référés du Conseil d’État (Ordonnance du 21 janvier 2021, requêtes Nos 447878, 447 893) afin de demander la reprise de la délivrance de visas de regroupement familial aux conjoints et enfants d’étrangers non européens résidant en France.

Cette demande a été bien accueillie par la haute juridiction administrative, car elle a trouvé cette décision étatique illégale. Le juge des référés suspend la décision du Gouvernement de ne plus délivrer de visas de regroupement familial pour ces personnes et d’imposer l’obtention d’un laissez-passer.

Il observe que le nombre des personnes bénéficiant du regroupement familial équivaut en temps normal à 60 personnes par jour, et que l’administration n’apporte aucun élément pouvant montrer qu’un tel flux pourrait contribuer de manière significative à augmenter le risque de propagation de la pandémie.

B) Concernant l’attestation de déplacement

Face à la reprise incontrôlée du virus, les autorités françaises avaient décidé de limiter les déplacements dans toute la France et également à certaines heures. Pour ce faire, le gouvernement avait mis en place une attestation de déplacement pour toute personne souhaitant se déplacer entre les régions et à des heures non autorisées. Sauf que des requérants ont saisi la haute juridiction administrative pour qu’elle se prononce sur la légalité de cette mesure.

Le 22 décembre 2020, une décision du juge des référés du Conseil d’État (DÉCISION CONSEIL D’ÉTAT statuant au contentieux 439956 le 22 décembre 2020) a affirmé que l’attestation de déplacement dérogatoire, dont les Français ont dû se munir pour sortir de leur domicile pendant les confinements acte I au printemps et acte II à l’automne, n’avait aucun caractère obligatoire.

La Haute juridiction a rejeté par ailleurs la demande d’annulation du décret, mais il a affirmé dans le paragraphe 6 que la sortie dérogatoire pouvait être justifiée par tout document comme une attestation d’employeur.

C) S’agissant de la limitation de 30 personnes pour les cérémonies religieuses

Dans l’élan des mesures gouvernementales portant sur la lutte contre le virus du coronavirus, le gouvernement avait pris une mesure concernant le nombre de fidèles dans les bâtiments religieux qui devait être limité à 30 personnes pour les cérémonies religieuses.

Décision contestée par les acteurs religieux auprès du Conseil d’État, car pour eux cette mesure n’était pas justifiée et portait atteinte à la liberté de culte en France (Ordonnance du 29 novembre 2020 contentieux N° s 446 930, 446 941, 446 968, 446 975).

Le Conseil d’État a rejeté la limitation de 30 personnes pour les cérémonies religieuses. La plus haute juridiction administrative française a donné gain de cause à l’Église catholique qui estimait « non nécessaire, disproportionnée et discriminatoire » la « jauge » maximale de 30 personnes lors des cérémonies religieuses comme la messe.

II. Décisions gouvernementales jugées illégales par le Conseil d’état italien

A) Port du masque jugé illégal pour les 6 et 10 ans

Une des premières dispositions prises en Italie a été celle du port obligatoire du masque dans l’espace public. Ce port du masque a été imposé à toutes les populations y compris les plus jeunes (Consiglio di Stato, sez. III, decreto n. 304/21; depositato il 26 gennaio).

En Italie, cette décision du port du masque a été contestée par des requérants jugeant le port du masque pour les plus jeunes en l’occurrence âgés de 6 à 10 ans comme illégal.

Le président Frattini de la section III du Conseil d’État italien a rendu une décision en janvier 2020 condamnant l’usage des masques à l’école pour les mineurs.

Pour le juge de cette haute juridiction italienne, « Le mineur ne peut pas se voir imposer l’usage d’un masque pendant la durée des cours, en raison du risque de fatigue respiratoire ».

B) S’agissant de l’hydroxychloroquine

Par le biais de l’ordonnance 7097/2020 de décembre 2020, le Conseil d’État italien a autorisé l’utilisation de l’hydroxychloroquine comme traitement du Covid-19, à condition qu’il soit prescrit par un médecin. Dans cette ordonnance  N° 7097/2020, il a confirmé également la décision de l’agence pharmaceutique d’exclure le médicament du remboursement.

Pour le juge, « L’incertitude persistante sur l’efficacité thérapeutique de l’hydroxychloroquine, déclarée par l’Aifa pour justifier la poursuite de son, évaluation dans les essais cliniques randomisés – n’est pas une raison juridique suffisante pour justifier la suspension déraisonnable de son utilisation sur le territoire national par des médecins traitants ».

III. Décision gouvernementale jugée illégale par la Cour constitutionnelle autrichienne

Pour faire face à la pandémie, le gouvernement autrichien a décidé d’obliger au port du masque, en particulier à l’école.

Le port obligatoire du masque à l’école et l’enseignement en alternance, deux mesures prises par le gouvernement autrichien au printemps afin de tenter d’endiguer la pandémie de coronavirus, ont été jugées « illégales » selon la Cour constitutionnelle.

« Pour faire face aux conséquences de la Covid-19 dans le système scolaire, un décret publié par le ministre de l’Éducation en mai 2020 a ordonné que les classes soient divisées en deux groupes et enseignées alternativement à l’école ».

« Dans sa décision publiée, la Cour constitutionnelle a jugé le 23 décembre 2020 que les dispositions contestées étaient illégales ». Deux enfants et leurs parents avaient fait appel devant la Cour constitutionnelle, faisant valoir que ces dispositions violaient le principe d’égalité, le droit à la vie privée et le droit à l’éducation.

« Le ministre n’a pas pu expliquer de manière compréhensible pourquoi il considérait les mesures contestées comme nécessaires ».

IV. Décision gouvernementale jugée illégale par un tribunal belge

Le port du masque a été jugé « inconstitutionnel » par le tribunal de police de Bruxelles le 12 janvier 2021.

Selon le jugement, l’arrêté ministériel du 30 juin 2020, sur lequel repose l’obligation du port du masque dans les lieux publics, est illégal.

En effet, le masque obligatoire a été jugé « inconstitutionnel », au terme du procès d’un jeune homme qui n’avait pas porté son masque et avait été verbalisé.

Le tribunal a acquitté l’homme, au motif que l’obligation du port du masque est inconstitutionnelle. Pour justifier cet acquittement, le tribunal s’est basé sur trois points :

  •  l’obligation de porter le masque. Elle a été fondée sur un arrêté ministériel, une disposition qui a donc été prise par le pouvoir exécutif. Il a fondé cet arrêté sur la base de l’article 182 de la loi du 15 mai 2007 relative à la sécurité civile. Cette loi habilite le ministre de l’Intérieur à prendre des mesures qui sont urgentes, dans le cas d’une catastrophe ou d’un accident grave. Cette mesure doit être ponctuelle, et les catastrophes doivent être localisées dans le temps et dans l’espace. Hors ici, le juge a considéré que le port du masque n’est pas une mesure ponctuelle, limitée dans le temps et l’espace ‘
  • le juge a motivé sa décision sur le fait que le Conseil d’État n’avait pas émis un avis favorable quant à la constitutionnalité de l’arrêté ministériel de 2020.
  • la liberté de circulation : le tribunal a indiqué que les restrictions à la liberté de circulation devaient répondre à trois conditions cumulatives : trouver sa source dans une loi, elle doit être nécessaire, et elle doit être compatible avec les autres lois. Et ici le tribunal a estimé que ces trois conditions n’étaient sont pas respectées ‘

V. Décision gouvernementale jugée illégale par une Cour d’appel portugaise

Au Portugal, la cour d’appel de Lisbonne  a jugé le 11 novembre 2020 que :  le diagnostic d’une infection doit être posé par un médecin inscrit à l’ordre et seulement par un médecin après examen clinique et examens paracliniques prescrits par lui s’il le juge nécessaire. La justice n’a pas vocation à poser un diagnostic en lieu et place d’un médecin.

Le test PCR retenu n’est en aucun cas un élément de certitude pour poser le diagnostic à coronavirus 19 et ne doit pas être utilisé à ces fins.

Le diagnostic posé sur un test PCR viole l’article 6 de la Déclaration universelle sur la bioéthique et les droits de l’homme signée par le Portugal et autres pays européens. Elle n’est pas respectée, car il n’a pas eu de consentement éclairé des personnes.

VI. Décisions gouvernementales jugées illégales par des tribunaux allemands

A) Nullité de l’ordonnance sur mesures de confinement

Le tribunal de Weimar, en Allemagne, a jugé le 11 janvier 2021, que les restrictions de contact imposées dans le cadre de la Covid-19 sont inconstitutionnelles.

Le tribunal de district de Weimar a acquitté une personne qui a célébré un anniversaire en avril 2020 avec au moins sept autres personnes d’un total de sept ménages dans une arrière-cour (– 6 OWi-523 Js 202518/20). Selon l’ordonnance sur les mesures de confinement de Thuringe Sars-CoV-2, un seul invité d’un autre ménage aurait été autorisé, mais cette ordonnance est formellement et matériellement inconstitutionnelle.

Selon l’amende administrative, la célébration dans l’arrière-cour a violé l’interdiction de contact en vertu de l’article 2 (1) et de l’article 3 (1) du 3e règlement ThürSARS-CoV-2-Measurement dans la version du 23 avril 2020.

Le tribunal a jugé le règlement inconstitutionnel pour diverses raisons et avec des raisons détaillées. L’ordonnance est nulle et non avenue, car, selon la Loi fondamentale, ce n’est pas l’exécutif qui était responsable d’une disposition d’une telle portée, mais le législatif. Après Wesentlichkeitslehre, le législateur doit se réunir dans les domaines du droit fondamental et exercer lui-même toutes les décisions importantes et ne devrait pas le faire au délégué exécutif (BVerfGE 142, 1 (109); BVerfGE 98, 218 (251); BVerfGE 116, 24 (58)).

Plus un acte juridique de l’exécutif intervient dans les droits fondamentaux, plus précis, selon le tribunal, les règlements de la loi d’habilitation doivent être. Article 28 (1) phrase 2 IfSG, qui n’avait pas encore été réformé au moment du règlement, ne pouvaient comporter que des mesures individuelles, telles que la fermeture d’établissements balnéaires individuels mentionnés à l’article 28 (1) phrase 2 IfSG, mais pas une interdiction générale de contact.

B) Levée du couvre-feu en Allemagne dans le Bade-Würtenberg

Le tribunal administratif du Bade-Wurtemberg (VGH) a levé les restrictions de sortie de nuit liées au coronavirus dans le Bade-Wurtemberg. Dans une décision incontestable rendue le  11 février 2021, à Mannheim, les juges ont accepté une demande d’une femme de Tübingen. 

Selon le jugement, le couvre-feu général qui s’appliquait de 20 heures à 5 heures du matin sera levé en raison de la situation pandémique qui s’est considérablement améliorée.

VII. Décision gouvernementale jugée illégale par une Haute Cour de justice espagnole

La Haute Cour de Justice du Pays basque (TSJPV) a décidé le 09 février 2021 (Procedimiento Origen: Procedimiento ordinario94/2021) que les établissements hôteliers pouvaient rouvrir dans les communes d’Euskadi du Pays basque qui se trouvent dans la zone rouge en raison du taux d’incidence élevé du Covid-19, considérant qu’il n’a pas été constaté que ce secteur est la cause de l’augmentation de la propagation du virus après Noël.

VIII. Décision gouvernementale jugée illégale par un tribunal du Pays-Bas

Le tribunal de La Haye a annulé le 16 février 2020 la poursuite du couvre-feu instauré contre le Covid-19 aux Pays-Bas, jugeant que la situation ne revêtait pas le caractère urgent justifiant l’activation de lois d’exception.

Il pourrait faire l’objet d’un appel, mais celui-ci ne serait pas suspensif. Il y a eu beaucoup d’émeutes au Pays-Bas concernant l’imposition de ce couvre-feu.

IX. Les plaintes contre les responsables de la gestion de la crise du covid dans le monde se multiplient

Une mise en place d’une «Class Action» sous l’égide de milliers d’avocats mondiaux derrière l’avocat américano-allemand Reiner Fuellmich qui poursuit les responsables des responsables des réponses à la crise  du Covid-19 est en train de se créer.

Une commission d’enquête Covid-19 a été ouverte à l’initiative d’un collectif d’avocats allemands dans le but de faire un recours collectif au niveau international en utilisant le droit anglo-saxon.

Pour lire une version plus complète de cet article sur la légalité des décisions des tribunaux concernant le coronavirus, cliquez

SOURCES :

https://www.conseil-etat.fr/actualites/actualites/dernieres-decisions-referes-en-lien-avec-l-epidemie-de-covid-19

https://www.francesoir.fr/politique-monde/italie-les-masques-interdits-lecole-juge-le-conseil-detat-italien

http://www.dirittoegiustizia.it/allegati/16/0000090219/Consiglio_di_Stato_sez_III_decreto_n_304_21_depositato_il_26_gennaio.html

https://www.20minutes.fr/monde/2938679-20201223-autriche-cour-supreme-juge-masque-obligatoire-ecole-cours-alternance-illegaux

https://plus.lesoir.be/350468/article/2021-01-21/le-port-du-masque-juge-inconstitutionnel-par-le-tribunal-de-police-de-bruxelles

https://bx1.be/news/masque-obligatoire-un-juge-bruxellois-lestime-inconstitutionnel/#:~:text=Un%20juge%20de%20police%2C%20au, baladait%20aux%20abattoirs%20d%27Anderlecht.

https://www.francesoir.fr/opinions-tribunes/les-implications-capitales-de-la-jurisprudence-portugaise-concernant-les-tests-pcr

https://www.francesoir.fr/societe-sante/le-test-pcr-va-au-tribunal-au-portugal-mais-aussi-en-allemagne-et-dans-de-nombreux

https://guyboulianne.com/2021/01/24/le-tribunal-de-weimar-en-allemagne-juge-que-les-restrictions-de-contact-imposees-dans-le-cadre-de-la-covid-19-sont-inconstitutionnelles/comment-page-1/

https://guyboulianne.com/2021/02/08/le-tribunal-administratif-annule-le-couvre-feu-dans-le-bade-wurtemberg-en-allemagne-letat-veut-maintenant-changer-de-strategie/

https://static.elcorreo.com/www/multimedia/202102/09/media/sentencia-hosteleria-tsjpv.pdf

 

Par internet-et-droit • Tags: , , , ,

La création de fichiers sur les vaccinés et les non-vaccinés au covid 19

Lassés par ce virus qui dure cela depuis un an et qui a endeuillé tant de famille dans le monde, les autorités de tous les pays du monde notamment, occidentaux et américains ont décidé d’unir leur force dans la recherche scientifique afin de trouver un vaccin ou des vaccins pouvant stopper l’avancée très rapide de ce virus incontrôlable.

Cette décision fait suite à un ralentissement voire de l’arrêt de plus en plus préoccupant des activités économiques des Nations confrontées à cette lutte qui dure depuis longtemps.

Les efforts ont payé, car des géants dans le domaine sanitaire ont développé des vaccins jugés conforment selon les standards scientifiques. Le développement des vaccins Pfizer et BioNTech ont permis de mettre en place une politique vaccinale dans tous les pays destinataires. Après Pfizer et BioNTech, d’autres pays ont développé des vaccins venant s’ajouter aux deux premiers. Il s’agit des vaccins Spoutnik V et AstraZeneca.

Cependant, cette politique vaccinale n’a pas été facile dans sa mise en œuvre, car il fallait convaincre les populations d’y adhérer et d’y consentir à la vaccination. Dans la mesure où la vaccination a été jugée dans la plupart des pays comme n’étant pas obligatoire, il falloir convaincre sans obliger les pessimistes.

En outre, pour organiser au mieux la campagne de vaccination, le gouvernement vient de créer un fichier d’information : « SI Vaccin Covid », pour « Système d’information du Vaccin Covid » regroupant les données des personnes vaccinées contre le Covid-19. Cette base de données — à l’initiative du ministère des Solidarités et de la Santé et cogérée par la Direction générale de la santé et par l’Assurance maladie — est entrée en vigueur le 4 janvier 2021.

NOUVEAU : Utilisez nos services pour faire retirer vos coordonnées d’une base de données en passant par le formulaire !

C’est ce fichier qui a réveillé des inquiétudes et remis sur la table des sujets sensibles, comme la liberté de se faire vacciner et l’exploitation des données personnelles par les autorités publiques.

Comme en France et de nombreux autres pays de l’Union européenne, le vaccin ne sera pas obligatoire de l’autre côté des Pyrénées. Mais, les autorités vont donc donner naissance à ce qu’elles décrivent comme un « registre » contenant les noms des « personnes auxquelles on l’aura proposé et qui l’auront tout simplement refusé ». Elles soulignent ensuite qu’il « sera partagé avec d’autres pays européens », mais qu’il ne sera toutefois pas rendu public, insistant sur « le plus grand respect pour la protection des données ».

 

Besoin de l’aide d’un avocat pour un problème de base de données?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

Cela nous amène à nous interroger : la création des fichiers des personnes vaccinées et non vaccinées est-elle juridiquement valable ?

Si en France l’autorisation de la création d’un fichier des personnes vaccinées a été donnée par la CNIL (I) telle n’est pas le cas pour le fichier des personnes ne souhaitant pas se faire vacciner (II).

 

  1. La création des fichiers sur les personnes vaccinées : les recommandations de la CNIL

En France, la mise en place de ce système a été validée par la CNIL après avoir donné son avis, la commission nationale informatique et libertés, qui rappelle que « ces données sont protégées par le secret médical et ne doivent être traitées que par des personnes soumises au secret professionnel. »

  1. Sur les finalités et l’intérêt du système d’information

Le projet de décret a prévu plusieurs finalités visant principalement à organiser la vaccination des personnes, le suivi et l’approvisionnement en vaccins et consommables, la production d’informations à destination des personnes vaccinées, la mise à disposition de données relatives à la vaccination à des fins de calcul d’indicateurs et de recherche, un suivi de pharmacovigilance ainsi que la prise en charge financière des actes liés à la vaccination.

La Commission a pris acte de l’engagement du ministère de préciser les notions d’identification et d’orientation vers un parcours de soins adapté dans le projet de décret, le ministère ayant indiqué que ces mentions renvoyaient spécifiquement à l’orientation de personnes souffrant d’effets indésirables suite à la vaccination. Sous cette réserve, les finalités sont apparues déterminées, explicitées et légitimes, conformément à l’article 5 du RGPD.

La Commission a pris par ailleurs acte que ce traitement n’a pas vocation à être étendu à d’autres vaccinations que celle contre le coronavirus SARS-CoV-2.

La Commission a constaté que ce traitement sera alimenté, au fur et à mesure de l’extension de l’éligibilité à la vaccination, par des versements successifs de données issues des bases des régimes d’assurance maladie obligatoire et complétée par des professionnels de santé. Elle a observé qu’à terme, lorsque la campagne vaccinale sera étendue à l’ensemble de la population adulte telle qu’envisagée par le ministère, le SI « Vaccin Covid » comportera les données de santé d’une majeure partie de la population française.

  1. Sur les destinataires des données et les accédants

Le projet de décret a autorisé de nombreux acteurs à être destinataires des données à caractère personnel contenues dans le SI « Vaccin Covid ».

La Commission a estimé nécessaire de rappeler :

Que les données traitées dans le cadre du SI « Vaccin Covid » sont protégées par le secret médical, tel que prévu à l’article L. 1110-4 du code de la santé publique ;

Qu’aux termes de l’article 35 (4°) de la loi n° 78-17 du 6 janvier 1978 modifiée, l’acte autorisant un traitement en application des dispositions de l’article 31 doit préciser les destinataires ou catégories de destinataires habilités à recevoir communication des données.

À cet égard, la Commission a rappelé que seules les personnes habilitées et soumises au secret professionnel doivent pouvoir accéder aux données du SI « Vaccin Covid », dans les strictes limites de leur besoin d’en connaître pour l’exercice de leurs missions.

Il appartient donc au responsable de traitement de définir pour chaque destinataire des profils fonctionnels strictement limités aux besoins d’en connaître pour l’exercice des missions des personnes habilitées. À cet égard, elle a précisé que des mesures devront être mises en place dès que possible afin que les personnes habilitées ne puissent accéder aux différentes données relatives aux personnes concernées que lorsqu’elles en ont effectivement besoin.

Bien que l’article 35 de la loi informatique et liberté n’exige pas un tel niveau de précision, la Commission estime que le ministère devrait mentionner la liste des traitements et des systèmes d’information dans lesquels les données du SI « Vaccin Covid » seront appelées à figurer, les catégories de données transmises pour chacun de ces traitements ou systèmes, ainsi que les organismes responsables de ces traitements. Dans l’hypothèse où il n’entendrait pas compléter le décret sur ce point, la Commission a invité le ministère à diffuser ces informations, par exemple en les rendant publiques sur son site web.

Dans un objectif de transparence vis-à-vis des personnes concernées, la Commission demande que le principe du recours à des sous-traitants soit mentionné dans le décret et dans l’hypothèse où il n’entendrait pas compléter le décret sur ce point, la Commission invite le ministère à diffuser cette information, ainsi que la liste des sous-traitants, par exemple en les rendant publiques sur le son site web. Elle rappelle par ailleurs que le recours à des sous-traitants devra respecter les dispositions de l’article 28 du RGPD et que des conventions devront être conclues avant toute mise en œuvre du traitement. Elle relève que ces conventions devront notamment prévoir la possibilité de réaliser des audits pour s’assurer de la conformité du traitement mis en œuvre, et que de tels audits devraient être réalisés afin de vérifier l’application effective des obligations prévues dans les conventions. La Commission demande que de tels audits soient réalisés régulièrement.

  1. Sur la transmission de données pseudonymisées

La Commission relève que la liste des données pseudonymisées transmises à chaque organisme n’est pas détaillée dans le projet de décret. Elle a rappelé que, conformément au principe de minimisation, prévu à l’article 5 du RGPD, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées pourront être transmises aux destinataires identifiés dans le projet de décret. À des fins de transparence, elle invite le ministère à préciser dans le décret la liste des données pouvant être transmises dans ce cadre.

L’article 3 du projet de décret prévoit que la plateforme des données de santé (PDS) et la CNAM sont destinataires des données pseudonymisées aux fins de « faciliter l’utilisation des données de santé pour les besoins de la gestion de l’urgence sanitaire et de l’amélioration des connaissances sur le virus », finalités qui ne figurent pas expressément à l’article 1er du projet de décret. La Commission relève que ces finalités sont celles mentionnées à l’article 30-I de l’arrêté du 10 juillet 2020.

  1. Sur la limitation des droits d’opposition et à l’effacement des personnes concernées

La Commission a relevé que le projet de décret écarte la possibilité pour les personnes concernées d’exercer leur droit à l’effacement et leur droit d’opposition pour des motifs d’intérêt public.

La Commission s’est félicitée de l’engagement du ministère de permettre aux personnes concernées d’exercer leur droit d’opposition sans limitation jusqu’à l’expression de leur consentement à l’acte vaccinal. La Commission a considéré donc que le droit à l’effacement pourra également être exercé.

Le ministère a également précisé que les personnes concernées ne pourront plus exercer leur droit d’opposition après l’expression de leur consentement à l’acte vaccinal. La Commission considère que cette limitation vise à garantir un objectif important d’intérêt public au vu des finalités poursuivies par le traitement, notamment dans le cadre de la pharmacovigilance.

Néanmoins, s’agissant du droit d’opposition, l’article 4 du projet de décret prévoit que les personnes concernées pourront l’exercer pour « la transmission des données à des fins de recherche » à la PDS et la CNAM. La Commission a compris qu’il est ici fait référence à l’amélioration des connaissances sur le virus et que le droit d’opposition pourra s’exercer sans limitation dans cette hypothèse, même après l’expression du consentement à l’acte vaccinal.

Elle en déduit par ailleurs que les personnes concernées ne pourront donc s’opposer à la transmission des données « pour les besoins de la gestion de l’urgence sanitaire » mentionnés à l’article 3-II (4°) du projet de décret.

  1. Sur les données traitées dans le cadre du SI « Vaccin Covid » et Sur les mesures de sécurité

La Commission a invité le ministère à préciser dans le décret que le numéro d’inscription au répertoire national d’identification des personnes physiques est traité en tant qu’identifiant national de santé.

La Commission a relevé en outre que les lieux de vaccination seront identifiés et localisés dans le SI « Vaccin Covid ». Ces données pouvant révéler des informations sensibles concernant la personne, telles qu’une vaccination dans un lieu de privation de liberté, des mesures de confidentialité adaptées devront être prévues.

La Commission a souligné qu’en raison du contexte d’urgence le ministère n’a pas été en mesure de lui transmettre les informations techniques nécessaires concernant la mise en œuvre du traitement. Elle n’a donc pas été en mesure de vérifier la conformité du traitement au RGPD avant que celui-ci soit déployé.

La Commission a rappelé que la réalisation d’une analyse d’impact relative à la protection des données, qui ne lui a pas été fournie, doit être effectuée avant la mise en œuvre du traitement.

II. La création des fichiers des personnes non vaccinées : une violation des données des personnes concernées ?

  1. Une mesure très contestable au regard du RGPD

Si en France, le décret de création d’un fichier des personnes vaccinées a été validé par la CNIL après avis, certains pays tels que l’Espagne ont trouvé juste selon eux de créer un fichier des personnes ne souhaitant pas se faire vacciner. Cette décision semble très contestable au regard du RGPD.

En effet, le RGPD définit en son article 4.1 les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Par ailleurs, l’article 4.15 définit les « données concernant la santé » comme les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

Partant de ce principe, le règlement exige d’obtenir le consentement préalable des personnes concernées pour leur traitement. Le règlement définit le consentement de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Selon le gouvernement espagnol, « L’enregistrement du rejet de la vaccination peut être intéressant pour nous aider à analyser les raisons pour lesquelles il est rejeté et à insister sur des campagnes d’information et de sensibilisation pour insister sur l’importance des vaccins ». Mais cela ne répond pas à la question de comment sera recueillit le consentement des personnes concernées ne souhaitant pas se faire vacciner pour que leurs données soient enregistrées. En s’obstinant, ces pays, dont l’Espagne, violeraient le principe fondamental du respect des données à caractère personnel.

Il faut rappeler que dans le considérant 1 du RGPD, le parlement européen élève la protection des personnes physiques à l’égard du traitement des données à caractère personnel comme un droit fondamental.

Ainsi, les autorités espagnoles et ces pays européens pros fichier des personnes ne souhaitant pas se faire vacciner devront prendre toutes les mesures tendant au respect des données à caractère personnel des personnes physiques et de leur droit à donner ou non leur consentement. Dans tous les cas, c’est un nid à contentieux qui s’ouvrira si cette mesure est mise en place.

  1. La création d’un fichier des personnes non vaccinées : vers un passeport vert ?

Et si ce fichier des personnes ne souhaitant pas se faire vacciner était l’ouverture de ce qu’on appelle le passeport vert ? En effet, ce mécanisme est de plus en plus réfléchi par les différentes autorités de ce monde. Il aura pour objectif de permettre aux seules personnes vaccinées d’avoir accès aux différentes frontières mieux à certains endroits tels que les cinémas, les restaurants, les endroits skiables, les bars, etc.

Le sous-entendu de cette mesure est tout d’abord de rendre le vaccin obligatoire alors que les États s’étaient engagés à ne pas le rendre obligatoire. Ensuite, il s’agit de créer des frustrations au sein de la société, car, certains auront le droit d’accéder dans des lieux par exemple de divertissement pendant que d’autres n’auront pas ce droit parce qu’ils auraient refusé l’injection.

De nombreux concitoyens s’inquiètent d’une possible mise en place d’un « passeport vert » ou « passeport vaccinal ». C’est ainsi que dans question écrite n° 35865, 26/01/202 au ministre de la Santé et des Solidarités, le député du département de la Loire Dino Cinieri a souhaité avoir confirmation que le Gouvernement n’envisage pas la modification par ordonnance de l’article L. 1111-4 du code de la Santé publique qui dispose qu’« aucun acte médical ni aucun traitement ne peut être pratiqué sans le consentement libre et éclairé de la personne et ce consentement peut être retiré à tout moment » et que par ailleurs aucune forme de discrimination ne sera imposée aux personnes qui refuseront de se faire vacciner contre la covid-19.

Les autorités seraient donc invitées à plus de clarté sur cette question afin de ne pas encore réveiller une ébullition sociale qui n’est pas encore cicatrisée depuis l’avènement des gilets jaunes et qui bouillonne au fur et à mesure que le virus perdure entraînant encore plus de mesures très restrictives des libertés fondamentales.

Il convient de noter que le Conseil d’Europe a voté une résolution le 27 janvier 2021, qui indique que le vaccin ne doit pas être obligatoire.

Pour lire une version plus complète de cet article sur les fichiers de vaccinés au covid, cliquez

Sources :

https://www.ouest-france.fr/sante/vaccin/covid-19-fichier-sur-la-vaccination-des-francais-faut-il-s-inquieter-7104962

https://www.cnil.fr/fr/la-collecte-de-donnees-dans-le-cadre-de-la-vaccination-contre-la-covid-19-quelles-garanties-pour-les

https://www.zdnet.fr/actualites/covid19-la-cnil-valide-le-fichiers-des-personnes-vaccinees-39915479.htm

https://www.capital.fr/economie-politique/covid-19-en-espagne-un-fichier-recensera-toutes-les-personnes-refusant-le-vaccin-1389631

https://www.lindependant.fr/2021/01/01/covid-19-lespagne-va-ficher-les-personnes-ayant-refuse-de-se-faire-vacciner-9288136.php

https://questions.assemblee-nationale.fr/q15/15-35865QE.htm

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000031972276/2016-02-04#:~:text=Toute%20personne%20a%20le%20droit,ne%20pas%20recevoir%20un%20traitement.&text=Si%2C%20par%20sa%20volonté%20de,autre%20membre%20du%20corps%20médical.

Par Newsletter • Tags: , , , ,

Protection de vos données médicales

La question de la mise en conformité au RGPD se pose dans tous les domaines et notamment dans le domaine de la santé.

Qu’est-ce qu’une donnée à caractère personnelle ? L’article 4.1 du RGPD donne la définition suivante de la « donnée à caractère personnel » comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Le traitement des données personnelles nécessite au préalable d’obtenir le consentement libre et éclairé de la personne concernée (article 5.1.a RGPD) et (article 6 RGPD).

En outre, en ce qui concerne les données personnelles de santé, l’impératif de la protection s’est accru à l’occasion de l’informatisation des structures de santé et de la dématérialisation des supports et des flux.

NOUVEAU : Utilisez nos services pour faire retirer un contenu concernant vos données personelles en passant par le formulaire ! 

À cette occasion, tant le législateur que l’autorité de protection des données personnelles, la Commission nationale de l’informatique et des libertés (CNIL), ainsi que l’État et ses agences, ont développé un corpus de règles et de recommandations destiné à assurer la protection des données de santé, non seulement du point de vue des garanties juridiques, mais également de la sécurité des systèmes d’information

Par ailleurs, le secret médical a un caractère absolu précise la Cour de cassation, chambre criminelle du 5 juin 1985, n° 85-90.322. Le caractère secret et absolu dans le domaine médical permet de s’interroger sur comment sont protégées les données personnelles des personnes concernées.

Les données de santé ont toujours été considérées comme au cœur de l’intimité des personnes, dès lors que traditionnellement, elles se confondaient avec les données issues du dossier médical. À ce titre, elles bénéficient d’un haut niveau de protection, à la fois grâce à la protection de la vie privée (Code civil, article 9), du secret professionnel qui les protège (CSP, art. L. 1110-4) «Toute personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme concourant à la prévention ou aux soins dont les conditions d’exercice ou les activités sont régies par le présent code, le service de santé des armées, un professionnel du secteur médico-social ou social ou un établissement ou service social et médico-social mentionné au I de l’article L. 312-1 du code de l’action sociale et des familles a droit au respect de sa vie privée et du secret des informations la concernant » et de la législation relative à la protection des données personnelles.

Les fichiers comportant des données à caractère personnel sont soumis à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique et aux libertés, ainsi qu’au règlement général de protection des données (RGPD), sous le contrôle de la CNIL.

 

Besoin de l’aide d’un avocat pour un problème de vie privée ou de données personnelles ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

Enfin, cette protection s’est accrue du fait que les données personnelles de santé sont devenues un véritable trésor très convoité par les géants de l’informatique en vue d’une monétisation. Il se pose une de plus la question de la sécurité des données de santé.

I. Approche définitionnelle de la donnée médicale

A) La définition des données de santé par l’article 4.15 du RGPD

Selon l’article 4.15 du RGPD les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.

Cette définition comprend donc par exemple :

Les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;

Les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;

Les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).

Cette définition permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.

B) L’importance ou le caractère précieux des données de santé

Les données de santé se trouvent dans la grande famille des données dites sensibles telles qu’énoncées à l’article 9 RGPD.

En effet, l’article 9 RGPD dispose que : « Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ». Cet article souffre néanmoins de quelques exceptions.

Elles sont précieuses en ce qu’elles concernent la vie privée de la personne concernée. L’information à délivrer aux personnes concernées par un traitement de données de santé est soumise au régime de droit commun de l’information des personnes, prévu aux articles 12, 13 et 14 du RGPD.

La nature sensible des données de santé impose néanmoins aux responsables de traitement une particulière vigilance, notamment au regard de l’obligation de transparence de l’article 12.

De plus dans le considérant numéro 1 du RGPD, le parlement européen élève la protection des personnes physiques à l’égard du traitement des données à caractère personnel comme un droit fondamental « La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée « Charte ») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant ».

Conscient du caractère sensible des données médicales, la CNIL a été saisie par le ministre des Solidarités et de la Santé d’une demande d’avis concernant un projet de décret autorisant la création d’un traitement de données à caractère personnel relatif à la gestion et au suivi des vaccinations contre le coronavirus SARS-CoV-2.

En effet, le projet de décret dont a été saisie la Commission prévoyait la création d’un système d’information pour la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre la covid-19 dénommé « Vaccin Covid » (ci-après, le SI « Vaccin Covid »), sous la responsabilité conjointe de la direction générale de la santé et de la Caisse nationale d’assurance maladie (CNAM), fondé sur les articles 6.1 e et 9.2 i du RGPD.

II. Applicabilité du Règlement européen sur la protection des données dans le secteur médical

A) Les finalités

Lorsqu’un traitement de données personnelles de santé bénéficie d’une exception à l’interdiction prévue par l’article 9-1 du RGPD et de l’article 44 de la loi informatique et Liberté, ce traitement doit par ailleurs justifier de l’existence d’un intérêt public, sauf exceptions prévues par la loi informatique et Libertés.

Cette exigence est issue de la nouvelle section 3 (L. n° 78-17, 6 janv. 1978, mod., art. 65 et s.), qui prévoit que les traitements de données à caractère personnel de santé ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent.

Elle découlerait du « principe rappelé par le règlement européen, que les traitements de données de santé ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent », ce qui paraît renvoyer aux termes du considérant 53 du RGPD.

Certaines finalités de traitement peuvent être intrinsèquement constitutives d’un intérêt public. Les dispositions du RGPD permettent d’identifier des domaines dans lesquels des finalités d’intérêt public peuvent être identifiées, notamment :

La santé publique, tout particulièrement la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux (règl. (UE) 2016/679, 27 avr. 2016, cons. 45 et 73 ; art. 9 (2) i) ; art. 23 (1) e)). La loi informatique et Liberté a repris exactement ces termes (L. n° 78-17, 6 janv. 1978, mod., art. 66) ;

La gestion des services et systèmes de soins de santé et de protection sociale, y compris les retraites, notamment à des fins de sécurité, de surveillance et d’alerte sanitaire, de prévention ou de contrôle de maladies transmissibles et d’autres menaces graves pour la santé (règl. (UE) 2016/679, 27 avr. 2016, cons. 45, 52, 53 et 73) ;

Les finalités humanitaires (règl. (UE) 2016/679, 27 avr. 2016, cons. 73) ;

Dans le cadre des transferts, les échanges internationaux de données entre services chargés des questions de sécurité sociale ou relative à la santé publique, par exemple aux fins de la recherche des contacts des personnes atteintes de maladies contagieuses ou en vue de réduire et/ou d’éliminer le dopage dans le sport (règl. (UE) 2016/679, 27 avr. 2016, cons. 112).

Au regard des dossiers de demande d’accès au SNDS, l’INDS a identifié comme finalités générales d’études présentant un intérêt public :

L’amélioration des soins et de la santé publique ;

L’amélioration du système de santé ;

La recherche et l’augmentation des connaissances ;

La contribution potentielle à l’intérêt général d’une étude poursuivant des finalités d’intérêt privé.

En somme, l’article 17 du RGPD mentionne toutes les exceptions au principe de la collecte et du traitement des données à caractère personnel.

B) Désignation dans le cadre de traitements de données de santé

À ce titre, les établissements publics de santé, de par leur nature publique, sont ainsi dans l’obligation de désigner un délégué à la protection des données. (Dit DPO)

Le G 29 a par ailleurs confirmé que devaient être considérées comme traitant des données de santé à grande échelle, dans le cadre de leur activité de base, tous les établissements de santé (G 29, 5 avr. 2017, Lignes directrices concernant les délégués à la protection des données (DPD), WP 243 rév. 01, p. 8 et 25), et la CNIL a par ailleurs visé les maisons de santé, les centres de santé, ainsi que les professionnels de santé exerçant au sein d’un réseau de professionnels, ou dans le cadre de dossiers partagés entre plusieurs professionnels de santé.

C) Les droits des personnes concernées

Les droits des personnes concernées par un traitement de données de santé, à savoir les droits d’accès, de rectification, d’effacement et de portabilité des données personnelles, de limitation ou d’opposition au traitement, le droit de ne pas faire l’objet d’une décision automatisée (règl. (UE) 2016/679, 27 avr. 2016, art. 15, 16, 17, 18, 20, 21 et 22), ainsi que le droit de définir des directives relatives à la conservation, à l’effacement et à la communication des données personnelles après le décès, prévu par la loi informatique et Liberté (L. n° 78-17, 6 janv. 1978, mod., art. 85), sont des droits qui s’appliquent à tout traitement de données à caractère personnel, quelle que soit la nature des données.

La nature sensible de ces traitements implique cependant une attention particulière. La CNIL a par exemple prononcé une sanction pécuniaire d’un montant de 10 000 euros à l’encontre d’un professionnel de santé libéral, pour défaut de réponse dans les délais à la demande de communication de son dossier médical par un patient. Cette sanction est intervenue après que la CNIL a envoyé plusieurs courriers, puis mis une première fois en demeure le professionnel de communiquer le dossier.

La CNIL a ainsi prononcé cette sanction au regard également du défaut de réponse à ses courriers, en rappelant par ailleurs que « le secret médical ne saurait s’opposer, en l’espèce, à la communication au patient des données le concernant et contenues dans son dossier médical » (CNIL, délib. n° SAN-2017-008, 18 mai 2017).

III. Le principe du consentement préalable assorti d’exceptions dans le cadre de la collecte des données des personnes concernées dans le domaine médical

A) Le principe

Par principe, les traitements de données personnelles de santé sont interdits, comme tout traitement de catégories particulières de données (règl. (UE) 2016/679, 27 avr. 2016, art. 9. – L. n° 78-17, 6 janv. 1978, art. 6, mod.).

Une série d’exceptions, pour la plupart inspirées de celles prévues par la directive, fournissent cependant un fondement pour déroger à l’interdiction. De plus, depuis la loi du 20 juin 2018, s’ajoute une obligation générale de justifier d’un intérêt public pour traiter des données de santé, sauf dans certains cas énumérés de façon limitative (L. n° 2018-493, 20 juin 2018, art. 16. – Ord. n° 2018-1125, 12 déc. 2018, art. 1 : JO 13 déc. 2018, texte n° 5).

Telle n’est pas la solution proposée par l’un des pays voisins européens en l’occurrence l’Espagne. En effet, face à la méfiance de la population européenne sur les vaccins Pfizer et BioNTech sortis plus tôt que prévu de ne pas se faire vacciner, car considérant qu’elle ne serait pas un objet d’essai clinique voire de cobayes cliniques, l’Espagne a décidé de répertorier les données personnelles des personnes ne voulant pas se faire vacciner.

Dans une interview à la chaîne de télévision La Sexta, Salvador Illa a souligné que la vaccination contre le coronavirus, qui a débuté dimanche en Espagne comme dans de nombreux autres pays de l’UE, ne serait pas obligatoire.

En ce qui concerne les personnes qui ne voudront pas se faire vacciner, « ce qu’on va faire, c’est un registre qui, de plus, sera partagé avec d’autres pays européens », a-t-il poursuivi, précisant qu’il se référait « aux personnes auxquelles on l’aura proposé (de se faire vacciner, NDLR) et qui, tout simplement, l’auront refusé ».

Alors la question serait de savoir si l’Espagne en tant que pays européen et soumis au RGPD est en droit de collecter les données personnelles des personnes ne souhaitant pas se faire vacciner ? Telle est la question de droit à résoudre.

D’autres questions seraient de savoir comment ces données personnelles seront collectées ? Qui sera le responsable du traitement ? Quels seront les sous-traitants ? Quelles seront les garanties apportées pour la confidentialité des données ? À quelles finalités se résume cette collecte ? Que risquent les personnes ne souhaitant pas donner leur consentement à la collecte de leurs données personnelles ?

Pourquoi partager les données des personnes ne souhaitant pas se faire vacciner entre pays européens ? Toutes ces nombreuses questions devraient être résolues pour éclairer les personnes concernées. Ces questions feront l’objet d’un autre article.

B) L’exception : l’obtention du consentement préalable à la collecte des données personnelles

Le consentement explicite de la personne concernée peut permettre, dans une certaine mesure, de déroger à l’interdiction de traitement des données de santé (règl. (UE) 2016/679, 27 avr. 2016, art. 9, (2).

Le consentement au sens de l’article 9 doit être conforme à la définition qu’en donne le RGPD, à savoir constituer une “manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement” (règl. (UE) 2016/679, 27 avr. 2016, art. 4 (11)), et respecter les conditions de l’article 7.

À cela s’ajoute l’exigence spécifique que le consentement soit explicite.

Pour lire une version plus longue de cet article sur la protection des données médicales, cliquez  

SOURCES :

https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante#:~:text=Les%20données%20à%20caractère%20personnel,de%20santé%20de%20cette%20personne.

https://www.lemonde.fr/sciences/article/2020/03/02/les-donnees-de-sante-un-tresor-mondialement-convoite_6031572_1650684.html

https://healthcare.orange.com/fr/dossiers/securite-des-donnees-de-sante/#:~:text=Les%20trois%20grands%20types%20de,sur%20le%20traitement%20du%20patient.

https://www.cnil.fr/fr/reglement-europeen-protection-donnees

Par internet-et-droit • Tags: , , , ,

COMPTEURS LINKY : LA CNIL MET EN DEMEURE ENGIE ET EDF

NOUVEAU : Utilisez nos services pour faire respecter vos droits en passant par le formulaire !

Depuis  2018 tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, doivent être en conformité au nouveau grand texte européen en matière de données personnelles.

Guillaume Gouffier-Cha interroge Mme la ministre de la transition écologique et solidaire sur les problématiques relatives à la collecte des données par les compteurs Linky en France. La mise en place des compteurs d’électricité connectés Linky soulève depuis leur lancement craintes et interrogations. L’enregistrement et le stockage de ces données personnelles ainsi que leur utilisation, notamment leur diffusion à des tiers, posent particulièrement question. Le 11 février 2020, la CNIL a envoyé une mise en demeure à EDF et Engie pour la non-conformité du compteur communicant avec le règlement général sur la protection des données (RGPD).

L’instance reproche deux points aux fournisseurs d’énergies : un manque de clarté dans le recueil du consentement sur les données de consommation journalières ou à la demi-heure et une durée de conservation des données trop longue après la résiliation du contrat. EDF garde ainsi les consommations quotidiennes à la demi-heure cinq ans après la résiliation tandis qu’Engie garde les données de consommations mensuelles huit ans en archivage intermédiaire.

La CNIL juge ces durées « non justifiées ». En outre, ces données fournissent des informations précieuses sur les habitudes des consommateurs (à quelle heure ils sont à leur domicile, combien de personnes s’y trouvent, le type d’appareils utilisés) et sont susceptibles d’être revendues à des acteurs commerciaux. C’est donc la remise en cause du respect de la vie privée qui est en jeu. Pour toutes ces raisons, il lui demande des éclaircissements sur le respect du RGPD dans le cadre du déploiement des compteurs Linky en France.

 

Besoin de l’aide d’un avocat pour un données personelles ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

La CNIL a mis en demeure les sociétés de se conformer au droit en vigueur par deux délibérations du 30 décembre 2019, rendues publiques le 11 février 2020 principalement pour deux raisons : le nombre d’utilisateurs concernés, 35 millions de compteurs seront installés d’ici 2021, et l’impact des informations communiquées sur la vie privée (révélation des heures de lever et de coucher, des périodes d’absences, du nombre de personnes présentes dans le logement). Véritables cas d’école, ces décisions opèrent une mise au point sur les modalités à respecter pour obtenir le consentement préalable des personnes concernées et sur la notion de durée de conservation.

 

1. Un consentement non spécifique et insuffisamment éclairé

Une des particularités des compteurs communicants est de permettre aux fournisseurs d’énergie de collecter des données de consommation quotidiennes et fines, en l’espèce à la demi-heure, à la condition, rappelle la CNIL, d’avoir obtenu l’accord préalable de l’abonné. Aux termes de l’article 4.11 du RGPD, ce consentement est valable lorsqu’il a été donné de manière libre, spécifique, éclairée et univoque. À défaut, il ne peut pas servir de base légale au traitement au sens de l’article 6.1, a, du règlement.

Le caractère spécifique implique que « la personne concernée doit être en mesure de donner son consentement de façon indépendante et distincte pour chaque finalité poursuivie », précise la Commission (RGPD, consid. 43 ; G29, Lignes directrices WP 259 rev.01, 28 nov. 2017, révisées le 10 avr. 2018, p. 11).

Elle ajoute que le caractère éclairé oblige à informer « la personne concernée de certains éléments cruciaux pour opérer un choix [tels que] […] (ii) la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité (iii) les [types de] données collectées et utilisées » (WP 259 préc., p. 15).

Pour la CNIL, le consentement de l’utilisateur du compteur Linky n’est pas spécifique puisqu’il active globalement la collecte de ses données de consommation quotidienne et à la demi-heure par le biais d’une seule case à cocher, et ce pour deux (Engie) ou trois (EDF) finalités différentes, à savoir l’affichage dans l’espace client des consommations quotidiennes, l’affichage dans cet espace des consommations à la demi-heure et l’obtention de conseils personnalisés.

La Commission estime également que le consentement du client n’est pas éclairé. Dans sa délibération MED 2019-35 relative à EDF, elle critique la rédaction de la mention accompagnant la case à cocher qui fait référence à « la consommation d’électricité quotidienne (toutes les 30 minutes) ». Cette formulation risque d’induire l’abonné en erreur sur la portée de son engagement.

Les deux informations « sont présentées comme étant équivalentes, alors que les données à la demi-heure sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes ». Pour Engie, le grief n’est pas explicitement formulé dans la délibération MED 2019-36, on le retrouve dans le communiqué de l’autorité de contrôle. Elle reproche au fournisseur de ne donner aucune « information suffisamment précise […] avant de recueillir le consentement, pour permettre à l’utilisateur de comprendre la différence de portée entre la collecte de “l’index quotidien” (données de consommation journalière) et la collecte de la “courbe de charge” (données de consommation fines à l’heure ou la demi-heure) ».

 

2. Des durées de conservation excessives

Selon l’article 5.1, e, du RGPD, les données à caractère personnel doivent être conservées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

En optant pour une conservation de cinq ans après la fin du contrat pour toutes les données de consommation, quotidiennes et à la demi-heure, en base active sans effectuer d’archivage intermédiaire, EDF a méconnu ce principe de proportionnalité. Pour la CNIL, les obligations de facturation et de mise à disposition de l’historique de consommation dans l’espace client excluent la fixation d’une durée de conservation aussi longue.

De même, en choisissant de conserver trois ans à l’issue de la résiliation du contrat les données relatives aux consommations mensuelles avant de les archiver, Engie a méconnu les règles susvisées. Cette durée n’est justifiée ni par un impératif de prospection commerciale ni par la nécessité de mettre à disposition les données dans l’espace client après la résiliation du contrat dans la mesure où le fournisseur a limité cette obligation à un an.

 

3. La mise en demeure

Pour corriger ces manquements, l’autorité enjoint aux sociétés de mettre en place de nouvelles procédures de recueil du consentement, par exemple sous forme d’une case à cocher par opération de traitement.

Les modifications devront s’appliquer aux clients dont les données de consommation ont déjà été enregistrées. À défaut, il conviendra de supprimer ces dernières. La CNIL exige aussi des sociétés qu’elles revoient leurs politiques de durée de conservation et qu’elles purgent, au besoin, les données non conformes aux nouvelles règles.

Les sociétés Engie et EDF ont trois mois pour se mettre en conformité à compter de la notification de la mise en demeure et éviter ainsi le prononcé de l’une des sanctions prévues par l’article 20 de la loi du 6 janvier 1978 modifiée. Nul doute qu’elles le feront, car, dans le cas contraire, elles risquent de se voir infliger une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Pour lire un version plus complète de cet article sur les compteurs linky et la Cnil, cliquez

SOURCES :

https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000034731377&cidTexte=LEGITEXT000006069565&dateTexte=20170701

Par internet-et-droit • Tags: , , , ,

«< 2 3 4 5 6 >

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes