Accès à des systèmes d’information durant la lutte contre le COVID-19 (2022.4142)

Les autorités chargées de lutter contre le COVID-19 sont en droit d’accéder à des systèmes d’information, sous réserve que les principes ci-après soient respectés et qu’elles obtiennent l’accord du gouvernement.

Plusieurs conditions doivent être respectées pour ouvrir les accès d'un système d’information à l’autorité chargée de lutter contre le COVID-19.

Préalablement, il faut que l’autorité chargée de lutter contre le COVID-19 soit légitimée à accéder aux données, quel que soit leur support. Pour ce faire, les principes de légalité, proportionnalité, finalité et sécurité doivent en particulier être respectés.

1. Légalité : la récolte de données en cause repose, en l’espèce, principalement sur l’art. 58 LEp.  Le Tribunal fédéral a eu l’occasion de relever que cette disposition légitime, à elle seule, le « tracing » instauré pour lutter contre le COVID-19 (arrêt du 22 septembre 2021 2C_369/2021). De plus, les juges soulignent que, dans ce cadre, les nom, prénom, adresse, numéro de téléphone, date de naissance sont des données de « peu d’importance » et que l’atteinte aux droits fondamentaux n’est pas grave.
   Le message explicatif de la LEp va dans le même sens et précise que les données peuvent être exploitées à deux fins différentes, à savoir l’identification des personnes malades et l’application des mesures mentionnées au ch. 5 LEp, telles que la quarantaine (FF 2011 291, 385). Le but est « de trouver, d’interroger et de conseiller les personnes ou groupes de personnes infectés et exposés […] ».

2. Proportionnalité : au regard de l’opinion du Tribunal fédéral, force est d’admettre que « le nom, prénom, date de naissance, de l’enfant, nom et prénom, no de tel, adresse mail du père, de la mère, et/ou du représentant légal » sont des données adéquates pour atteindre le but de la LEp. Mais comme cela a été relevé, l’accès aux données devrait se limiter à celles-ci. Lorsque les applications informatiques ne permettent pas de le faire, le bénéficiaire des données devrait mettre en place un système de contrôle interne permettant de s’assurer que l’étendue de l’accès est réellement limitée à ce qui est nécessaire pour la mission. Autrement dit, des mesures de contrôles des saisies des bénéficiaires d’accès devraient être mises en place.

3. Finalité : en principe, les personnes communiquant leurs données à une entité devraient, du fait de la loi ou d’une information particulière, savoir qu’elles peuvent être adressées à une autre autorité pour réussir à les joindre. En l’occurrence et vu la situation sanitaire particulière, on peut admettre que ce principe est respecté puisque que les personnes ont, en principe, déjà transmis leurs données pour être contactées par la santé publique, mais lorsqu'il y a des erreurs, il est nécessaire d’aller retrouver ces mêmes données. Hors période sanitaire délicate, la mise en place d’un protocole plus efficace pour la collecte des données aurait été privilégié à l’ouverture d’accès à des systèmes d’information.

4. Sécurité : il appartient au responsable des systèmes d’information de s’assurer que l’ouverture de l’accès garantira le respect des standards usuels en matière de sécurité.

Ensuite, bien que l’accès soit respectueux des principes généraux de protection des données, il n’empêche que la CPDT-JUNE impose le respect d’une formalité supplémentaire, lorsque la forme de l’accès est en ligne. L’art. 28 CPDT-JUNE exige qu’une entité, qui a régulièrement besoin d’un accès en ligne pour l'accomplissement des tâches légales qui lui incombent, obtienne une décision positive du Conseil d’État, après consultation du préposé.