La gestion des données dans le contexte de crise: entre nécessité de contact et protection des droits
La gestion des données a été évoquée à plusieurs reprises lors de l’analyse de l’ensemble des expériences communales pour lutter contre l’isolement des aînés. En effet, la multiplicité des acteurs et le sentiment d’urgence lié au contexte de crise ont compliqué la réflexion sur la prudence et l’anticipation. C’est pourquoi nous proposons un aperçu des questions sur les données personnelles ci-dessous.
Le Règlement Général européen sur la Protection des Données (RGPD)
Le Règlement Général européen sur la Protection des Données (RGPD) impose à tout pouvoir public le contrôle de la gestion des données par une personne de référence nommée «Délégué à la Protection des Données» (DPD). Chaque Commune a donc un référent DPD à qui elle doit demander l’autorisation d’utiliser les données en sa possession pour un autre objectif que celui d’origine. Par exemple: les citoyens sont répertoriés au service population (au moment où ils se domicilient). Cette liste permet d’avoir également les âges des personnes concernées.
Ni le service population ni un autre service de la Commune n’est supposé avoir accès à ces données pour, par exemple, faire une liste non anonymisée d’aînés avec leurs adresses ou numéros de téléphone.
Pour pouvoir utiliser ces données à une autre fin, il faut pouvoir le justifier en fonction des bénéfices pour les citoyens concernés, voire d’une nécessité. L’accord final revient au DPD qui juge si les bénéfices pour le citoyen sont supérieurs à la protection de ses droits concernant ses données.
Dans ces circonstances, il est possible de réaliser une Analyse d’Impact concernant la Protection des Données (AIPD) qui permet d’évaluer si le projet ne met pas de façon déraisonnable en danger l’intégrité (physique, sociale, économique…) des personnes en cas de fuite ou d’interpeller l’Autorité de Protection des Données (APD) pour solliciter un avis et des conseils.
Cas concret:
la situation de crise
Dans le contexte de la crise sanitaire, certaines Communes ont effectivement reçu l’autorisation, à des fins de contact de la population, de leur référent DPD, et d’autres non. Nous ne sommes pas en mesure de définir le périmètre de ces autorisations ou de savoir si les demandes étaient similaires. Certaines Communes ont pu avoir un aperçu de données concernant des aînés, pour lesquelles elles ont eu l’autorisation de faire des recherches de numéros de contact ou d’adresses afin de leur envoyer directement les informations qui leur semblaient pertinentes et soutenantes. D’autres se sont appuyés sur des listes préexistantes (comme par exemple celle du plan canicule, des listings de participants à des activités régulières), ou ont fait appel à des professions de proximité pour transmettre l’information. Notons que le RGPD s’applique, qu’il s’agisse de données de la Commune ou de données partagées par des associations ou autres. D’autres, enfin, ont envoyé tout azimut des courriers d’informations sans connaître la situation des destinataires finaux.
Gestion des données
Par exemple, parmi les bonnes pratiques retenues des expériences, notons:
- des chartes de confidentialité signées par les appelants pour restreindre les fuites de données;
- le rappel systématique aux personnes appelées: du cadre dans lequel cet appel est réalisé, de l’utilisation légitime et de la durée de conservation de leurs données dans le cadre des Call Center;
- des conventions établies avec les bénévoles/volontaires œuvrant auprès des aînés et accédant aux informations sensibles, comme le lieu de vie, la situation d’isolement, le numéro de carte bancaire, voire les codes d’accès – donnés de façon volontaire par les bénéficiaires.
