L’EDPB (Comité européen de la protection des données) a récemment publié des lignes directrices sur la manière d’utiliser les données sanitaires pendant la pandémie actuelle en conformité avec le RGPD (Règlement général sur la protection des données). Compte tenu de la pandémie de COVID-19, de nombreux efforts de recherche ont été mis en place pour lutter contre le virus. Les lignes directrices de l’EDPB éclairent les règles spéciales de traitement des données pour la recherche scientifique, qui s’appliquent dans le contexte de la pandémie C0VID-19.
Table des matières
Base juridique du traitement
L’EDPB a expliqué que la gestion de données relatives à la santé à des fins de recherche scientifique doit être couverte par l’une des bases juridiques énoncées à l’article 6, paragraphe 1, des RGPD, comme le consentement.
Si le consentement est la base juridique sur laquelle on s’appuie, il doit être donné librement et la personne concernée doit pouvoir le révoquer tout aussi librement. Les États membres peuvent promulguer des lois spécifiques pour permettre le traitement pour des raisons de recherche scientifique, à condition qu’elles soient compatibles avec les articles 5, 32 et 89 des RGPD.
Les États membres de l’UE doivent également évaluer si une analyse de l’impact du traitement des données doit être effectuée.
Protection des informations
Les lignes directrices rappellent également aux entités que les principes de protection des RGPD restent impératifs, même si les données sont traitées à des fins d’études scientifiques. Il s’agit notamment de ne collecter des informations qu’à des fins spécifiques et de ne pas utiliser les informations au-delà de ces buts. Les données à caractère personnel doivent également être traitées de manière équitable et transparente vis-à-vis des personnes concernées. Les règles rappellent également à ceux qui utilisent des informations sur le bien-être de les limiter au temps strictement nécessaire pour traiter les informations à des fins de recherche scientifique, et d’utiliser des garanties de protection adéquates.
Transfert des données en dehors de l’UE
Pour les transferts de données à caractère personnel en dehors de l’UE vers des pays où il n’existe pas de garanties appropriées, les lignes directrices du texte de loi comprennent des rappels sur les restrictions des transferts de données personnelle en dehors de l’UE. L’EDPB rappelle aux autorités publiques et aux entités privées que dans ces circonstances, elles peuvent se prévaloir des exceptions prévues par l’article 49 des RGPD, comme par exemple le consentement. Ces décisions doivent être prises au cas par cas.
Mise en pratique
Ceux qui souhaitent utiliser les informations sur la santé pendant la pandémie de COVID-19 pour encourager la recherche scientifique dans le cadre de la pandémie COVID-19 peuvent utiliser ces lignes directrices pour comprendre les exigences des RGPD. Comme le souligne l’EDPB, ces directives s’appliquent toujours lors du traitement de ces données.