L’organisateur de la course « X Trail » en Espagne, responsable de traitement, a exigé des participants (personnes concernées) qu’ils fournissent une preuve de vaccination complète contre la COVID-19, une preuve d’infection antérieure ou un test PCR négatif effectué dans les 48 heures précédant l’événement pour pouvoir participer. Cette exigence a été communiquée aux participants par courrier électronique le 19 août 2021, peu après la clôture de la période d’inscription. Un deuxième courriel envoyé le 24 août 2021 précisait que la soumission de ces documents n’était pas obligatoire, mais encouragée. De nombreux participants ont téléchargé leurs données de santé sur la plateforme (690 participants sur 1 350).

L’autorité espagnole de protection des données (AEPD ; Agencia Espanola Proteccion Datos), dans une décision AEPD – EXP202310096 du 11.07.2024, publiée, traduite et résumée sur gdprhub (https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202310096&mtc=today), considère que le responsable de traitement ne disposait pas d’une base juridique valable pour le traitement des données de santé, n’avait pas fourni d’informations adéquates aux participants et n’avait pas conservé un registre approprié des activités de traitement.

L’AEPD a estimé que l’organisateur de l’événement avait traité des données de santé en collectant et collationnant des certificats de vaccination contre la COVID-19, des preuves d’infection antérieure ou des résultats de tests négatifs. Bien que l’organisateur se soit appuyé sur un consentement explicite au titre de l’article 9(1)(a) du RGPD , il n’a pas veillé à ce que ce consentement soit donné librement, explicitement et en toute connaissance de cause, car les participants se sentaient obligés de fournir leurs données de santé pour participer à la course. L’organisateur n’a expliqué que le partage des informations était facultatif que quelques jours après, peu avant la date de la course. De nombreux participants ont peut-être cru qu’il s’agissait d’une obligation, ce qui a invalidé leur consentement.

L’AEPD a également constaté une violation de l’article 13 du RGPD . L’organisateur n’a pas fourni d’informations claires sur les raisons pour lesquelles les données de santé étaient collectées, la durée de leur conservation ou les personnes qui y auraient accès. La politique de confidentialité de l’événement ne mentionnait pas ces détails, laissant les participants sans aucune connaissance appropriée de la manière dont leurs données seraient utilisées.

En outre, l’AEPD a jugé que l’organisateur n’avait pas tenu de registres appropriés du traitement des données, en violation de l’article 30 du RGPD. Il n’y avait aucune documentation claire sur la manière dont les données de santé étaient collectées et gérées.

En conséquence, l’AEPD a imposé une amende de 15 000 € pour violation des articles 9, 13 et 30 du RGPD.

Nota bene : on remarquera notamment les développements sur le consentement. Pour le surplus la décision reflète bien le grand n’importe quoi qui a présidé à la collecte et au traitement de maintes données sensibles pendant le COVID-19.

Me Philippe Ehrenström, avocat, LLM