Les données à caractère personnel concernant la santé sont celles relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.

Par principe, le recueil du consentement est fondamental quand on envisage un traitement de ce type de données. Son respect satisfait à l’exigence du principe de licéité. En temps normal, les données de santé bénéficient du plus haut niveau de protection. Nous allons dans ce billet partager quelques orientations pour les promoteurs de solutions numériques.

Le consentement ne fait pas obstacle au traitement de données nécessaires aux intérêts vitaux des personnes et celui effectué sur la base de motifs d'intérêt public, comme dans le cas de la surveillance de cette épidémie mortelle. Un certain nombre d’acteurs, (développeurs, gestionnaires de systèmes d’information, data science..) manipulent et traitent massivement des données personnelles dans le cadre de la gestion opérationnelle du risque Covid19.

Depuis le début du Coronavirus, on note une hausse des connexions à internet, c’est alors un moment privilégié pour les cybers délinquants de collecter frauduleusement des données pour la revente ou l’escroquerie en ligne sans oublier les randsomwares. Il est important alors de se renseigner au préalable sur l’identité du responsable du traitement et, le cas échéant, de son représentant. Cette information permet de connaître ceux à qui on fournit nos données. Ces derniers doivent aussi déclarer leur traitement en question à la CDP pour être en règle. Cependant, la déclaration ne dispense pas des obligations que nous allons abordées ci-après.    

La ou les finalités du traitement auquel les données sont destinées doivent être déterminées au moment de la collecte pour éviter que des données collectées dans le cadre du Covid19 puissent servir à des finalités inavouées, autres que celles de départ. Il faut que soit mentionné au moment de la collecte, le ou les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées.

La durée de conservation des données quant à elle, ne peut alors dépassée celle du temps nécessaire pour la lutte contre le Covid19. C’est-à-dire, après la pandémie, les bases de données doivent être détruites sauf si des études dans le domaine scientifique exigent une dérogation à ce principe. Tout de même, des transferts de données  ne pourraient être envisagés à destination de l’étranger. Dans l’hypothèse où l’OMS  demanderait ces données, le transfert ne doit pas se faire sans le contrôle de la CDP ; elle seule peut en décider.    

La sécurité, garante de la confidentialité est aussi un impératif à prendre en considération et ce, du point de vue de la technologie et de l’organisation. Il faut alors préciser le rôle de chaque membre de l’équipe ainsi que les niveaux d’accès pour éviter que des informations parviennent entre les mains d’une personne qui, en réalité, n’a pas besoin d’en avoir connaissance. Il est fortement recommandé dans ce contexte de lutte contre le Covid19, de préférer pour l’hébergement des données de santé les infrastructures nationales dédiées à cela.

Le respect du « Privacy by Design » est un objectif permettant aux développeurs de respecter la vie privée dès la conception d’une application. Pour son respect, il faut miser sur une collecte minimale, ne traiter que les données nécessaires à la finalité annoncée. Par ailleurs, il faut indiquer le recours à un sous-traitant dans la mesure où ces derniers aussi doivent assurer un niveau satisfaisant de sécurité.

Enfin, dans ce contexte de crise, la CDP assure un service minimum en ligne. Il faut rappeler que bien avant le Covid19 il était possible de faire sa mise en conformité en ligne. Par ailleurs, la CDP doit être plus regardant dans la gestion de cette crise par rapport aux données de santé des sénégalais, par exemple sur le télétravail, les tentatives d’adaptation sur le terrain des journalistes et personnel des forces de l’ordre et bien d’autres pratiques touchant aux données personnelles.

Mister Privacy.