Peut-on soumettre l’accès à des biens et des services à un traitement de données personnelles médicales, par exemple en requérant des tests ou une attestation de vaccination avant un voyage, un concert, etc.?

Le Préposé fédéral à la protection des données et à la transparence (PPFDT) a mis en ligne le 22 janvier 2021 un document intitulé « Exigences de protection des données pour la collecte de données sur la santé par des acteurs privés dans le cadre de la lutte contre la pandémie » (https://www.edoeb.admin.ch/edoeb/fr/home/actualites/aktuell_news.html#1739424457).

Ce document est à lire avec les préoccupations exprimées par le Préposé dans la presse alémanique (https://www.blick.ch/politik/datenschuetzer-adrian-lobsiger-airlines-koennen-keine-impfausweispflicht-einfuehren-id16266287.html) concernant l’imposition, par des acteurs privés, d’obligations de détection ou de vaccination.

Selon ces « Exigences », la lutte contre la pandémie implique de plus en plus l’utilisation d’applications à installer sur les smartphones, lesquels contiennent généralement des informations importantes sur la vie numérique de leurs propriétaires.

De même, maintenant que les tests rapides et les vaccins sont disponibles pour lutter contre la pandémie actuelle, plusieurs acteurs privés ont annoncé qu’ils envisageaient, le moment venu, de rendre certains biens et services accessibles uniquement aux personnes qui présenteraient des résultats de tests négatifs ou une preuve qu’elles ont été vaccinées.

Si des acteurs privés se procurent des données sur la santé de particuliers dans le contexte de la pandémie, ils doivent respecter non seulement les dispositions de droit public sur les plans de protection contre la pandémie, mais aussi celles de la loi fédérale sur la protection des données (LPD), notamment les principes de proportionnalité et de finalité. Conditionner l’accès à des biens ou services privés à la présentation de données sur la santé peut porter atteinte à la personnalité des personnes concernées. Or, conformément aux articles 28 alinéa 2 CC et 13 LPD, les atteintes à la personnalité ne peuvent être justifiées que par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.

Indépendamment de l’adoption ou non d’une règlementation, le PFPDT doit s’attendre à ce que des acteurs privés décident à tout moment d’exiger systématiquement des données personnelles, notamment en lien avec les tests et les vaccins. Il attire donc l’attention sur les exigences en matière de protection des données à respecter pour conditionner l’accès à des biens ou des services à la présentation de données personnelles :

Adéquation du traitement : conformément au principe de la proportionnalité prévu dans la LPD, l’acquisition et le traitement des données personnelles doivent être en adéquation avec la finalité poursuivie. Pour évaluer si la collecte privée et l’éventuel traitement des résultats des tests et de la vaccination sont susceptibles de contribuer de manière significative à la protection contre la transmission et la maladie, il convient de tenir compte des avis des autorités sanitaires compétentes, notamment l’Office fédéral de la santé publique, sur la pertinence des tests et sur les effets de la vaccination. Les avis et les publications de ces autorités spécialisées doivent servir de bases à l’évaluation  sous l’angle de la protection des données.

Caractère acceptable du traitement : Il doit être renoncé à la collecte des données à caractère personnel susmentionnées si l’accès aux biens ou aux services en dépend, si la renonciation à ceux-ci n’est pas acceptable et si leur accès peut être garanti d’une autre manière.

Ampleur du traitement et sécurité des données : une fois la question de l’accès clarifiée, les données personnelles ne doivent être ni gardées ni transmises, sauf si un traitement ultérieur de ces données est absolument nécessaire, objectivement justifié ou exigé expressément par les personnes concernées. Si un traitement ultérieur est nécessaire, il doit être limité dans son ampleur et sa durée au minimum nécessaire pour lutter contre la pandémie. En outre, la sécurité des données doit être assurée par des mesures techniques et organisationnelles appropriées.

Méthode du traitement : certaines personnes ne veulent pas montrer un smartphone équipé d’une certaine application créée dans le but de lutter contre la pandémie de peur que des informations sur leur vie numérique ne soient transmises. D’autres personnes ne peuvent simplement pas le faire en raison de leur âge, de leur santé ou d’un handicap. Pour celles-ci, il convient de proposer d’autres solutions appropriées utilisables dans des conditions comparables.

Transparence du traitement : les personnes concernées doivent être informées de manière complète et compréhensible de la finalité et des modalités de la collecte et de tout traitement ultérieur de leurs données personnelles.

Le PFPDT suit l’évolution de la situation et se réserve le droit de prendre des mesures de surveillance à l’encontre des acteurs privés s’il estime que ceux-ci ne respectent pas les exigences de la LPD. Il se réserve aussi le droit de réévaluer ou compléter les exigences susmentionnées si des développements ou découvertes scientifiques l’exigent.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)