Protection des données personnelles en cette période de coronavirus (Covid-19)

Épidémie de coronavirus et protection des données personnelles

Le coronavirus (Covid-19) qui se propage rapidement a infecté des milliers de personnes en Chine et dans plus de 20 autres pays. Cette épidémie de coronavirus, originaire de Wuhan, une grande ville de la région centrale de la Chine, a été déclarée une urgence de santé publique de portée internationale par l’Organisation mondiale de la santé.

Pour combattre l’épidémie de coronavirus, les autorités chinoises à tous les niveaux ont non seulement fourni un soutien médical d’urgence aux personnes atteintes par le virus, mais ont aussi imposé des quarantaines et restreint les déplacements et les activités extérieures. Afin de contrôler l’épidémie et de suivre la propagation du virus, les autorités sanitaires chinoises et d’autres intervenants, allant des compagnies aériennes et des exploitants ferroviaires aux sociétés de gestion de propriétés, ont recueilli un grand nombre de données personnelles, notamment des données sur des personnes ayant récemment voyagé à Wuhan ou ayant été en contact avec des personnes qui ont développé des symptômes d’infection. Plusieurs incidents d’atteinte à la sécurité des données se sont produits et ont soulevé des préoccupations quant à la protection de la vie privée et à la discrimination potentielle contre des gens de Wuhan et de la province du Hubei.

En réaction à ces préoccupations, la Commission de la santé nationale de Chine a publié une note, le 3 février 2020, faisant ressortir les exigences en matière de protection des données personnelles dans le contexte de la prévention et du contrôle du Covid-19. En outre, le 4 février 2020, l’Administration du cyberespace de la République populaire de Chine (ACC) (le principal organe de réglementation chinois en matière de cybersécurité et de protection des données personnelles) a publié la « circulaire visant à assurer la protection efficace des renseignements personnels et l’utilisation efficace des mégadonnées en soutien aux efforts conjoints visant la prévention et le contrôle de l’épidémie » (circulaire de l’ACC), pour fournir des lignes directrices détaillées sur la protection des données personnelles dans les circonstances actuelles.

Faits saillants de la circulaire de l’ACC

• La circulaire de l’ACC met l’accent sur l’importance de protéger les données personnelles conformément aux lois et règlements chinois qui gouvernent la cybersécurité et la prévention d’urgences de santé publique. À moins d’être autrement autorisée à le faire en vertu de ces lois et règlements, aucune personne ni aucune entité ne peut recueillir ou utiliser de données personnelles sans le consentement des personnes concernées par les données.

• Lorsque les données personnelles sont recueillies et utilisées pour prévenir et contrôler des épidémies, les organisations qui recueillent ces données personnelles sont tenues d’adhérer aux spécifications applicables aux données personnelles (soit les normes sectorielles non contraignantes aux fins de la protection des données). Les principes de nécessité et de collecte minimale devraient être suivis (par exemple, les données recueillies devraient se limiter aux données des personnes chez qui la présence du Covid-19 est confirmée ou soupçonnée et aux personnes qui ont été en contact étroit avec des porteurs confirmés ou soupçonnés du virus).

• Les données personnelles recueillies aux fins de la prévention et du traitement des épidémies ne peuvent être utilisées à d’autres fins. Aucun renseignement personnel qui a été recueilli à ces fins ne peut être rendu public sans le consentement des personnes concernées par les données, à moins que cela ne soit nécessaire pour prévenir une épidémie et que les renseignements soient expurgés ou anonymisés.

• Les sociétés qui recueillent et contrôlent les données personnelles doivent avoir en place des mesures techniques et de gestion rigoureuses afin d’éviter des atteintes à la sécurité des données.

• Les sociétés possédant une expertise et des capacités en matière de mégadonnées sont invitées à travailler avec le gouvernement pour utiliser les mégadonnées aux fins de prévention et de contrôle des maladies.

• La non-conformité aux lois et règlements chinois relatifs à la collecte et à l’utilisation de données personnelles est passible de sanctions administratives, de responsabilité civile et même de sanctions pénales en cas de violation grave. Les personnes et les entités sont invitées à signaler les manquements aux organes de réglementation du réseau et à la police.

Principaux points à retenir pour les entreprises exerçant des activités en Chine

La circulaire de l’ACC a d’importantes répercussions, en dépit du fait qu’elle a été publiée dans le contexte de la prévention et du contrôle du Covid 19. Les entreprises locales et multinationales devraient tenir compte des points suivants lorsqu’elles traitent des données personnelles en Chine :

• Il est évidemment nécessaire de se conformer aux lois et règlements chinois sur les données personnelles. Le respect des lois et règlements applicables est rigoureusement appliqué, sans exception, même en situation d’urgence.

• Bien que la loi chinoise en matière de cybersécurité ne prévoie aucune exception à l’égard du consentement, l’ACC a démontré sa disposition à se reporter aux spécifications non contraignantes applicables aux données personnelles pour tenir compte de scénarios particuliers lorsque l’obtention du consentement préalable peut parfois ne pas être nécessaire ou possible dans les faits.

• La collecte de données personnelles doit suivre les principes de nécessité et de minimisation et les entreprises doivent prendre les mesures techniques appropriées (comme le cryptage) pour prévenir une atteinte à la sécurité des données.

• Les sociétés de technologie ou d’exploitation de mégadonnées qui recueillent ou traitent des données personnelles aux fins de la prévention et du contrôle du Covid-19 sont tenues d’obtenir le consentement des personnes concernées par les données si elles souhaitent utiliser ces données aux fins de recherche, de contrôle de marché ou de conception de nouveaux produits ou services.

Conclusion

Compte tenu de la sensibilisation croissante du grand public à l’égard des droits en matière de protection des renseignements personnels en Chine, les autorités chinoises ont pris des mesures élargies pour sévir contre les entreprises qui ne respectent pas les lois et règlements chinois sur la protection des données. Nous nous attendons à ce que le gouvernement continue de suivre cette approche. Par conséquent, il est extrêmement important que les entreprises accordent tout le sérieux à la question de la conformité. Ce n’est que lorsqu’elles le feront qu’elles pourront minimiser le risque réglementaire et conserver la confiance du grand public à l’égard de leurs produits et services.

Comment pouvons-nous vous aider?

Nos équipes mondiales fournissent activement des conseils aux clients en lien avec l’épidémie de Covid-19. N’hésitez pas à communiquer avec votre personne-ressource chez Norton Rose Fulbright si votre entreprise a été touchée.