Dans le contexte de crise sanitaire lié au COVID-19, nombreux sont les services numériques à voir le jour, que ce soit par le biais d’applications mobiles ou de sites web. Certains services numériques préexistants ont également vu leur finalité détournée afin de proposer de nouvelles fonctionnalités ou leur déploiement accru dans le cadre de cette période exceptionnelle.
On assiste, en effet, à l’apparition et au développement de multiples plateformes dans des domaines variés :
- Le bénévolat (ex : sites web favorisant l’entraide auprès des personnes isolées, réseaux sociaux contribuant au maintien des interactions sociales, etc.),
- La santé (ex : sites web assurant la mise en relation avec des professionnels de santé, chatbots permettant l’auto-diagnostic médical, etc.),
- Le commerce (ex : applications de géolocalisation des commerces de proximité ouverts pendant la crise, sites web permettant la réalisation de bons de commande, mise en place de casiers de réception numérique, etc.),
- Les déplacements (ex : applications informant du périmètre de circulation autorisé pendant le confinement, chatbots générant des attestations de déplacement, etc.),
- Le travail (ex : applications permettant la gestion des salariés en télétravail, sites web publiant des formations gratuites à destination des salariés, etc.).
Pour leur fonctionnement, ces services ont recours à des traitements de données personnelles qui pourraient engendrer des risques pour les droits et libertés des personnes physiques telles que la collecte des données de géolocalisation ou de tracking, voire des données sensibles telles que les données de santé. Cette période exceptionnelle ne dispense par les acteurs du numérique de leurs obligations en matière de protection des données personnelles (RGPD), la CNIL étant mobilisée sur les développements liés au COVID-19 (recherches, applications, etc.).
Alors comment s’assurer que les traitements de données personnelles mis en place dans ce contexte sont conformes au RGPD ? Afin de respecter les obligations posées par le RGPD, découvrez les bonnes pratiques à respecter.
Informez les personnes concernées du traitement de données dans un langage simple, accessible à tous
Par exemple, lors de l’inscription sur l’application ou par l’insertion d’un pop-up sur la page d’accueil) en :
- Précisant la finalité du traitement (quel est l’objectif poursuivi) et sa base légale (quel est le fondement juridique du traitement).
- Précisant quelles sont les données collectées ainsi que le caractère facultatif ou obligatoire de leur collecte et leur durée de conservation.
- Précisant qui sont les destinataires des données.
- Identifiant le responsable de traitement ainsi que le délégué à la protection des données (si nommé) et en fournissant un moyen de les contacter.
- Informant les personnes de leurs droits et facilitant l’accès au droit des personnes et la suppression des données.
Documentez votre conformité
- Tenez à jour votre registre de traitements.
- Évaluez le besoin de recourir à une analyse d’impact relative à la protection des données : vérifiez si les critères de réalisation d’une AIPD sont remplis (notamment si les services développés portent sur des traitements de masse, des personnes sensibles et/ou des données sensibles).
- Justifiez et documentez la prise en compte de la protection des données dès la conception du service ou du produit et par défaut (privacy by design et by default).
Déterminez la finalité du traitement
- Définissez l’objectif du service développé.
- Exploitez les données uniquement à des fins de gestion de la crise du COVID-19.
- Procédez à une anonymisation des données avant toute réutilisation, notamment à des fins statistiques.
- En cas de réutilisation des données personnelles à d’autres fins, le consentement de la personne concernée doit être demandé.
Limitez les données collectées
- Restreignez la collecte de données à celles nécessaires pour le fonctionnement du service (par exemple, ne recourir à la géolocalisation que si nécessaire).
- Privilégiez l’utilisation de données anonymes ainsi qu’une démarche volontaire pour les dispositifs collectant des données individuelles.
- Demandez le consentement des personnes concernées pour le traitement de données dites sensibles (exemple, santé), de géolocalisation, de tracking, etc.
- Le cas échéant, justifiez d’un intérêt temporaire et légitime à collecter des données sans recueil préalable du consentement (exemple, données nécessaires à la protection de la santé des salariés et à la sauvegarde de l’activité).
Délimitez la durée de conservation des données
- Prévoyez des délais de conservation des données dès la conception du projet.
- Supprimez les données collectées en respectant les durées de conservation définies.
Encadrez vos sous-traitants
- Choisissez des sous-traitants présentant des garanties suffisantes au regard du RGPD.
- Privilégiez des hébergeurs situés au sein de l’Union européenne. Pour les données de santé, faites appel à des hébergeurs agréés de données de santé.
- Contractualisez la relation avec les sous-traitants en insérant des clauses relatives à la protection des données personnelles.
Sécurisez vos traitements
- Prévoyez des mesures de sécurité en adéquation avec votre projet dès sa conception.
- Dans la mesure du possible, effectuez le traitement de données en local, sur l’équipement de l’utilisateur.
- Restreignez l’accès des données aux seules personnes ayant besoin d’en connaître.
- S’il préexiste une infrastructure principale, utilisez une infrastructure indépendante pour le développement du service lié au COVID-19.
- Sécurisez le partage des données et les communications.
- Prévoyez une politique de gestion des cookies et un bandeau si le site web est amené à en déposer.
En cas de doute sur la façon de procéder, la CNIL a mis à disposition sur son site un guide des développeurs ainsi qu’une fiche pratique concernant le cas particulier de la recherche contre le COVID-19.
Devoteam met actuellement en place chez différents clients des solutions répondant à la gestion des données personnelles via l’édiction de bonnes pratiques, des actions de sensibilisation et la conduite d’analyse d’impact sur la vie privée.
Devoteam accompagne ses clients sur l’ensemble des problématiques liées à cybersécurité. Vous souhaitez en savoir plus ? Découvrez notre playground Trust & Cybersecurity