Collecte de données sur les coronavirus : Limites légales

L'idée est bien sûr captivante : simplement pouvoir donner une large place aux personnes qui ont été infectées par le coronavirus. Mais comment savoir qui est porteur du virus mais ne présente aucun signe de maladie ? Comment reconnaître quelqu'un qui est immunisé ? Et en général : quelles voies de transmission le virus emprunte-t-il dans la population ? Non seulement de nombreux experts débattent actuellement de ces questions, mais diverses applications technologiques sont également testées, ce qui devrait permettre de répondre à ces questions. Le nœud du problème est qu'il s'agit de données relatives à la santé et aux patients. Ceux-ci sont considérés comme particulièrement dignes de protection en termes de protection des données. Et les données dignes de protection ne peuvent être transmises sans le consentement de la personne concernée. Cela semble maintenant être en contradiction avec de nombreuses mesures qui ont été adoptées dans le cadre de l'ordonnance Covid 19 du Conseil fédéral ou qui sont recommandées par l'OFSP. Le 21 avril 2020, un webinaire de Weblaw AG a abordé les questions pratiques entourant les coronavirus d'un point de vue juridique. Nous avons compilé quelques discussions dans les sections suivantes.

La protection des données dans l'entreprise

Dans le sillage de la pandémie Covid 19, les questions relatives à la gestion de la santé au travail deviennent littéralement plus virulentes. Les employeurs sont tenus de ne pas avoir trop de salariés absents pour cause de maladie. Les mesures préventives telles que le travail fractionné, le bureau à domicile lorsque cela est possible, voire l'arrêt total des activités semblent avoir bien fonctionné jusqu'à présent. Mais qu'en est-il si un cas de Covid 19 se produit effectivement dans une entreprise maintenant ? Quelles sont les informations de santé qui peuvent, voire doivent, être divulguées par les employeurs et les employés concernés ? En principe, ces questions sont régies par l'article 328b du Code des obligations ainsi que par les articles du Code du travail relatifs à la protection de la santé. "Ce qui est exigé par le droit du travail ne nécessite pas de consentement", explique l'avocat Dr. David Vasella, associé du cabinet Walder Wyss AG à Zurich. En conséquence, les salariés doivent informer leur employeur dans le cadre de leur devoir de loyauté s'ils souffrent du Covid-19. Ils doivent fournir des informations concernant la durée de leur incapacité de travail, les éventuelles infections de tiers, ou s'ils ont récemment été dans une zone à risque ou si une personne vivant dans le même ménage a contracté le Covid-19. En fournissant ces informations, les salariés contribuent à l'évaluation des risques de l'employeur pour l'ensemble de l'entreprise. Inversement, l'employeur doit informer l'employé de l'usage qu'il fera de ces informations. Dans le cadre de son devoir de diligence, l'employeur doit également informer les autres employés des cas et des infections suspectés. Ici aussi, la divulgation des données de santé est autorisée, "dans des limites raisonnables et après notification à l'employé concerné", explique David Vasella. "En principe, cependant, ces informations doivent être fournies sans nommer l'employé", poursuit l'expert. Sauf s'il s'agit de vérifier les contacts avec d'autres employés, qui peuvent alors devoir être mis en quarantaine.

Les tests de Covid-19 par les employeurs ?

En Chine, de nombreuses entreprises qui ont repris leurs activités après l'arrêt complet ont pris l'habitude de tester les employés pour détecter les symptômes avant qu'ils ne commencent à travailler. Cela serait-il également autorisé en Suisse du point de vue de la protection des données ? Un employeur est-il autorisé à poser des questions sur les symptômes ? "Oui", dit l'expert David Vasella. Il est également permis de prendre une température et d'utiliser des caméras thermographiques, "pour autant que cela ait un sens", ajoute-t-il. Des analyses de salive et de sang seraient également autorisées si cette méthode est plus appropriée que la prise de température. Toutefois, ces tests ne peuvent être effectués que par du personnel qualifié. Toutefois, la loi sur la protection des données fixe des limites à la transmission d'informations personnalisées. Ce serait le cas, par exemple, si ces tests devaient être évalués dans des laboratoires étrangers. À cette fin, les données doivent être rendues anonymes, par exemple au moyen d'un code-barres.

Mais qu'en est-il des données que l'OFSP publie quotidiennement sous forme de "numéros de cas" ? Ne s'agit-il pas également de données relatives aux patients qui sont soumises à la protection des données ? La réponse à cette question est fournie par la loi sur les épidémies (EpG). Cette loi oblige les médecins et les laboratoires à transmettre les résultats cliniques à l'OFSP par le biais d'un formulaire de déclaration. L'objectif est la détection précoce et la surveillance des maladies transmissibles. À cette fin, la divulgation de données personnelles est autorisée dans le sens d'un échange d'informations entre autorités (article 59 de la LPE).

Applications de recherche de contacts : "Sujet à forte charge émotionnelle

L'utilisation éventuelle des applications de recherche des contacts est controversée - et pas seulement en Suisse. Des épidémiologistes tels que Marcel Salathé de l'EPFL y voient un moyen approprié de mieux identifier les modes de propagation du virus. Il existe déjà un certain nombre de fournisseurs d'applications qui mettent en garde contre le contact avec des personnes susceptibles d'être infectées. L'EPFL et l'ETH Zurich travaillent également sur une telle solution, mais ont récemment abandonné un projet international en raison d'un manque de transparence sur ce qu'il adviendra des données qui seront nécessairement collectées. Et c'est précisément cette question qui rend la discussion sur de telles applications "émotionnelle", comme le note le lic. iur. David Rosenthal, secrétaire de l'Association pour la protection des données d'entreprise (VUD). Il se réfère à des articles récents dans la presse quotidienne sur le danger d'éventuelles attaques contre des personnes qui sont signalées comme "infectées" via une application. Et la question de savoir si des possibilités de surveillance aussi larges n'ouvriraient pas la porte à d'autres abus divise également les partisans et les opposants.

Techniquement, il y a deux approches : La Corée du Sud, qui est souvent citée en exemple, pratique le suivi de la localisation par GPS. On y enregistre le lieu où se trouvent les personnes qui se déclarent "infectées" ou "non infectées" via une application. Ces informations peuvent être utilisées, par exemple, pour générer des cartes avec des "points de danger", c'est-à-dire des endroits où une personne infectée pourrait se trouver. L'approche de solution privilégiée en Europe est basée sur la technologie Bluetooth. L'application de traçage envoie un identifiant anonyme et changeant à tous les appareils mobiles situés à proximité. Si l'identification d'une personne infectée se trouve à proximité, un avertissement est émis. La condition préalable est toutefois que les personnes dont le test est positif signalent ce résultat à un serveur central.

Quelle que soit la solution retenue : Il doit être "conforme à la protection des données". Selon David Rosenthal, c'est largement le cas, car dans la plupart des cas, il n'y a pas du tout de données personnelles. Cela signifie que la loi sur la protection des données ne s'appliquerait pas du tout ici. Toutefois, la "perception de la protection des données" est différente : il s'agit essentiellement de savoir dans quelle mesure les utilisateurs sont à l'aise avec la question et dans quelle mesure ils considèrent qu'il y a des abus de la part des fournisseurs de l'application. C'est sur ce point que les experts se disputent actuellement. "Et c'est un poison pour la protection perçue des données", souligne David Rosenthal.

Le volontariat fixe des limites

Pour que les applications de recherche de contacts soient utiles, il faudrait que plus de 60 % de la population y participe en tant qu'utilisateurs. On peut douter que la participation volontaire permette d'atteindre cet objectif. Le fait que les gens installent volontairement une application peut ne pas être un problème. Mais qui veut signaler volontairement un diagnostic ? Et qui se met volontairement en quarantaine, surtout s'il ne se sent pas malade ? Ici, seule une solution autoritaire "à la chinoise" serait praticable... Et qui fixe les paramètres et exploite l'infrastructure centrale ? Quel type de protection contre les "trolls", c'est-à-dire les utilisateurs qui opèrent sur un coup de tête avec de fausses informations ? Ces questions doivent encore être clarifiées.

La question de savoir si ces applications de recherche des contacts sont des dispositifs médicaux n'a pas non plus été clarifiée. Si tel est le cas, ils devront se soumettre à un processus d'approbation ou de certification. Cela signifie qu'un fabricant d'applications doit d'abord soumettre une demande correspondante à Swissmedic. Toutefois, étant donné la situation actuelle, un tel processus serait probablement peu bureaucratique et l'approbation serait accordée rapidement.

"Ce ne sont pas les solutions techniques et les experts qui manquent", conclut David Rosenthal. "Les gens cherchent la solution parfaite, mais celle-ci ne sera pas trouvée. Il y a un risque de suringénierie", poursuit l'expert. Ce qu'il faut, c'est un contrôle de la réalité qui prévoit également des scénarios d'abus plausibles. Rosenthal ne considère pas vraiment la protection juridique des données comme un problème. "Le Conseil fédéral doit maintenant se ressaisir, sinon il restera un simple gadget", prévient-il. Car plus on en discute, plus la méfiance est grande. Au moment de la mise sous presse, on savait ce qui suit : Selon les informations de l'OFSP, un développement interne de l'EPF doit être introduit en Suisse à partir du 11 mai.