Le Comité Européen de la Protection des Données (CEPD/EDPB) adopte des lignes directrices (en anglais) sur le traitement des données de santé durant la période de crise sanitaire de coronavirus (COVID-19). Les points clés concernant ces lignes directrices sont les suivants:
- Le Règlement général sur la protection des données (RGPD) prévoit des règles particulières concernant le traitement des données de santé (pour la recherche scientifique) qui sont également applicables au contexte de la pandémie CIVID-19.
- Chaque État membre peut adopter des lois spécifiques en application de l’article 9-2-i et 9-2-j du RGPD permettant le traitement des données de santé à des fins de recherche scientifique. Il convient d’indiquer que le traitement des données de santé doit être basé sur l’une des bases légales prévues à l’article 6-1 du RGPD. Cependant, les conditions et l’étendu des règles applicables varient en fonction des dispositions nationales.
- Les dispositions nationales basées sur l’article 9-2-i et 9-2-j du RGPD doivent être interprétées à la lumière des principes relatifs à la protection des données (article 5 du RGPD) ainsi qu’au regard de la jurisprudence de la Cour de Justice de l’Union Européenne (CJUE). En particulier, les dérogations et limitations relatives à la protection des données en application de l’article 9-2-j et l’article 89-2 du RGPD s’appliquent lorsqu’elles sont strictement nécessaires.
- Compte tenu des risques relatifs au traitement des données dans le contexte du COVID-19 l’accent doit être mis sur le respect des articles 5-1-f du RGPD (principe d’intégrité et confidentialité des données), 32-1 du RGPD (l’obligation du responsable du traitement et le sous-traitant pour le respect de la sécurité des données) et 89-1 du RGPD (garanties appropriées relatives au traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques). Si nécessaire une analyse d’impact relative au traitement des données personnelles doit être mise en place conformément à l’article 35 du RGPD.
- Une durée de conservation des données doit être mise en place. Cette durée doit être proportionnée au regard de la finalité poursuivie et de la durée de la recherche scientifique. Les dispositions nationales peuvent prévoir des durées légales de conservation des données.
- La crise sanitaire actuelle ne peut suspendre voire limiter la possibilité pour les personnes concernées d’exercer leurs droits en application des articles 12 à 22 du RGPD. Cependant, l’article 89-2 prévoit la possibilité pour les législations nationales de limiter certains droits des personnes concernées.
Concernant le transfert hors l’espace économique européen (EEE), en l’absence d’une décision d’adéquation (l’article 45-3 du RGPD) ou des garanties appropriées (l’article 46 du RGPD), les autorités publiques et les entités privées peuvent s’appuyer sur l’article 49 du RGPD. Les dérogations prévues dans l’article 49 du RGPD n’ont qu’un caractère exceptionnel.