COVID-19: n'oubliez pas la protection des données dans votre stratégie de réponse face à la crise

Les organisations qui répondent à l'épidémie de COVID-19 sont confrontées à de nombreux défis contradictoires : doivent-elles prendre la température des personnes qui entrent dans leurs locaux? Doivent-elles demander à leurs employés de remplir des enquêtes de contrôle sanitaire? Si oui, ces enquêtes devraient-elles s'étendre aux familles des employés? Existe-t-il une technologie permettant de repérer ou de diagnostiquer les symptômes?

Du point de vue de la protection de la vie privée, les organisations sont toujours tenues de se conformer à la législation sur la protection des données qui repose sur les pratiques équitables de traitement de l'information (« PÉTI ») suivantes :

• responsabilité
• identification de la finalité
• consentement
• limitation de la collecte
• limitation de l'utilisation, de la divulgation et de la conservation
• exactitude
• mesures de sécurité
• transparence
• accès individuel
• possibilité de porter plainte

Bien que la présence d’une crise sanitaire nationale - mondiale - puisse être utilisée pour minimiser certaines obligations en matière de protection des données, telles que l'obtention du consentement d'un individu pour traiter ses informations, elle ne peut être utilisée pour toutes les ignorer.

Vous trouverez ci-dessous trois PÉTI particulièrement pertinentes qui devraient être prises en compte lors de la conception d'une stratégie d'intervention face à la COVID-19.

1. Exactitude

Les organisations des secteurs public et privé doivent s'assurer que les informations qu'elles traitent sont exactes et à jour. Bien que cela puisse sembler intuitif lorsqu'on l'applique aux méthodes traditionnelles de collecte et d'utilisation de l'information, on l'oublie souvent dans la hâte de déployer une « technologie de pointe » qui est commercialisée comme la solution au défi de l'heure.

L'intelligence artificielle et les technologies biométriques ne sont pas infaillibles et masquent souvent des préjugés et des partis pris inhérents qui rendent les résultats qu'elles génèrent au mieux inexacts et au pire discriminatoires. Une stratégie de réponse à la COVID-19 basée sur ces technologies pourrait, si ces dernières s'avèrent inexactes, coûter à une organisation des dommages financiers et réputationnels considérables.

2. Sécurité

La plupart, sinon la totalité, des informations traitées en réponse à l'épidémie COVID-19 auront une composante de santé et, à ce titre, sont considérées comme des informations hautement sensibles. Elle nécessite des mécanismes administratifs, physiques et technologiques spéciaux pour en garantir la confidentialité, l'intégrité et la disponibilité en fonction du besoin d'en connaître.

Cela signifie non seulement que les informations doivent être protégées, mais aussi qu'il faut rappeler aux employés leur devoir de garder les informations sensibles confidentielles. En outre, une stratégie d'intervention efficace dans le cadre de la COVID-19 devrait préciser comment les personnes qui ont été en contact avec une victime doivent être informées sans compromettre l'identité de la victime.

3. Collecte, utilisation et destruction limitées

L'épidémie COVID-19 ne peut pas être utilisée pour justifier une collecte et une utilisation excessives d'informations personnelles. Si des informations sont collectées pour aider à contrôler la propagation du virus, seules les informations directement pertinentes à cette fin doivent être collectées.

De même, les informations ne doivent être utilisées que pour aider à contenir le virus. Elles ne doivent pas être utilisées à d'autres fins, par exemple pour établir le profil de santé des clients et des employés qui ne sont pas porteurs du virus. Si une technologie invasive est utilisée pour traquer des porteurs potentiels, il faut envisager une politique de suppression des informations plus courte que celle qui est généralement en place.

Alors que les organisations s'efforcent de répondre de manière appropriée et rapide à la pandémie COVID-19, il peut être facile de négliger les obligations en matière de protection des données. L'équipe de protection des données et le groupe de droit du travail et de l'emploi de BCF peuvent aider à concevoir des stratégies de réponse conformes à la COVID-19.