En raison de la pandémie du Covid-19 que nous vivons, diverses mesures sont prises dans notre pays et dans le monde. Dans ce contexte de crise sanitaire, le traitement de nombreuses données personnelles est également en cause. Les données personnelles de santés sont des donnés « sensibles » au sens de l’Article 6 de la Loi sur La Protection Des Données Personnelles. Le 27 mars 2020, l’Autorité de Protection Des Données Personnelles a publié un rappel sous l’intitulée : «Ce qu’il faut savoir en vertu de la Loi sur La Protection Des Données Personnelles dans le cadre de la lutte contre la Covid-19 » et a répondu à certaines questions régulièrement soulevées pendant cette période de pandémie.
Dans son rappel, l’Autorité souligne que, même dans ces situations, les responsables du traitement des données doivent garantir la sécurité des données personnelles de la personne concernée dans le cadre de cette prestation de service de santé et de la protection de la santé publique. Dans ce contexte, les données à caractère personnel et les catégories particulières de données à caractère personnel doivent être traitées légalement, les mesures à prendre doivent être conformes au droit et ne doivent pas causer de préjudice irréversible au regard des droits et libertés fondamentaux des individus. Les activités de traitement des données personnelles menées dans le cadre des mesures prises contre le virus COVID-19 doivent être nécessaires, adéquates, limitées et proportionnelles. Les décisions prises à cet égard doivent s’aligner aux orientations et/ou instructions des institutions de santé publique, en particulier du Ministère De La Santé, ou d’autres institutions et organisations compétentes. L’Autorité a déclaré dans son rappel que le responsable du traitement des données devrait effectuer le traitement conformément aux principes de base (pour se conformer aux règles de droit et d’intégrité, être précis et à jour si nécessaire, traiter de manière spécifique, claire et pour des fins légitimes, limitées et proportionnelles avec la finalité du traitement, et conserver pendant le temps requis par la législation applicable ou aux fins pour lesquelles elles sont traitées) Lorsque les fins et les moyens du traitement des données personnelles disparaît, ces données doivent être détruites, effacées ou anonymisées comme spécifié dans la loi.
Conformément à l’article 6 de la Loi sur La Protection Des Données Personnelles, bien qu’il soit précisé que le consentement explicite de la personne concernée doit être obtenu à cet égard: «Il est interdit de traiter des données personnelles sensibles sans le consentement explicite de la personne concernée.» Cependant, dans le même article cité, les exceptions à l’obligation de demander un consentement explicite sont citées: « Les données personnelles concernant la santé et la vie sexuelle peuvent être traitées, sans le consentement exprès de la personne concernée, que par les personnes soumises à l’obligation de secret ou institutions et organisations publiques compétentes, aux fins de la protection de la santé publique, du fonctionnement de la médecine préventive, des services de diagnostic médical, de traitement et de soins infirmiers, de la planification et de la gestion des services de santé ainsi que de leur financement. »
Dans son rappel, l’Autorité qui se prononce sur le traitement des données de santé dans la lutte contre le virus Covid-19, précise : « …il peut être préférable de demander le consentement de l’employé, notamment en termes de traitement des données de santé, et compte tenu de la rapidité de l’épidémie, l’employé pourra signaler la maladie avec son propre consentement. S’il y a des conditions autres que le consentement exprès, le traitement des données de santé sera réalisé par les médecins du lieu de travail. Il est naturel dans ce processus que toutes les données traitées ne soient pas des données personnelles sensibles. (Par example, les informations concernant les pays où les employés ont voyagé récemment). Dans ces cas, les conditions de traitement des données personnelles selon l’Article 5 de la Loi devront être appliquées. En revanche, à l’alinéa (c) du paragraphe (1) de l’article 28 de la loi, il est réglementé que les dispositions de la présente loi ne seront pas appliquées si «les données à caractère personnel sont traitées dans le cadre de mesures préventives, protectrices et des activités de renseignement menées par des institutions et organisations publiques dûment autorisées et affectées par la loi au maintien de la défense nationale, de la sécurité nationale, de la sécurité publique, de l’ordre public ou de la sécurité économique. » Dans ce contexte, étant donné que la situation actuelle menace la sécurité publique et l’ordre public, il existe aucun obstacle au traitement des données personnelles par le ministère de la santé et les institutions et organisations publiques couvertes par l’article ci-dessus… »
La loi impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées. La transparence permet aux personnes concernées de connaître la raison de la collecte des différentes données les concernant, de comprendre le traitement qui sera fait de leurs données, de savoir la durée de conservation de leurs données.
Afin de protéger les données à traiter, le responsable du traitement doit prendre les mesures administratives et techniques nécessaires. Les données traitées ne doivent être divulguées à aucun tiers partie sans justification claire et obligatoire. “D’un autre côté, il ne faut pas oublier que les publications illégales sur les données personnelles, en particulier les données de santé, partagées dans les comptes des réseaux sociaux et des canaux similaires peuvent constituer en même temps un délit au sens de l’Article 136 du Code Pénal Turc numérotée 5237.”
Les données à traiter doivent être limitées et proportionnelles à la finalité, ne pas être traitées plus que nécessaire. “ La manière la plus pratique possible devrait être privilégiée pour atteindre l’objectif visé.
Dans le cadre des questions fréquemment soulevées; l’Institution a répondu comme suit à certaines questions :
1.Un établissement de santé peut-il communiquer avec des personnes concernant le virus COVID-19 sans autorisation préalable ?
Les gouvernements ont l’obligation d’assurer la santé publique et l’ordre public dans les situations qui atteignent la dimension épidémique mondiale, comme le virus COVID-19. Les institutions et organisations publiques peuvent en outre avoir besoin de collecter et de partager des données personnelles pour lutter contre les menaces graves à la santé publique. Dans ce contexte, il n’y a aucun obstacle, en vertu de Loi sur la Protection des Données Personnelles, pour que les institutions et organisations de santé concernées envoient des messages sur la santé publique aux personnes concernées par téléphone, message ou e-mail.
2. Nous savons que la plupart des employés d’entreprises ont adopté le télétravail pendant l’épidémie. Quels types de mesures de sécurité faut-il prendre pendant cette période de télétravail ?
La législation sur la protection des données personnelles n’est pas un obstacle au travail à domicile. Le personnel peut travailler à domicile et utiliser ses propres appareils ou équipements de communication pendant l’épidémie. La législation sur la protection des données personnelles ne l’empêche pas, mais les mesures administratives et techniques nécessaires doivent être prises pour garantir la sécurité des données personnelles. Afin de minimiser les risques pouvant être causés par le travail à domicile, les employés doivent être informés en termes de sécurité des données personnelles avec soin afin de prendre toutes sortes de précautions et de protéger les données personnelles, en particulier en veillant à ce que le trafic de données entre les systèmes soit effectué avec des protocoles de communication sécurisés et qu’il ne contienne aucune vulnérabilité, et que le système antivirus et les pares-feux soient mis à jour. Cependant, il ne faut pas oublier que les mesures à prendre par les employés n’éliminent pas la responsabilité du responsable de traitement concernant la garantie de la sécurité des données personnelles en vertu de la loi.
3. Un employeur peut-il annoncer aux collègues/ autres employés qu’un employé est contaminé par la COVID-19?
L’employeur doit informer ses employés des cas diagnostiqués. Cependant, il ne devrait pas être nécessaire de divulguer l’identité, ni de donner des informations excessives. Dans les cas où il est nécessaire de divulguer l’identité des employés infectés par le virus afin de prendre des mesures de protection, il est utile d’informer les employés concernés à l’avance. L’employeur doit prendre toutes les mesures nécessaires pour protéger la santé et assurer la sécurité et l’intégrité physique du travailleur. Dans ce contexte, il peut être possible de faire des déclarations comme suit dans un premier temps : “…Nous tenons à vous informer qu’un employé travaillant au 5ème étage de notre siège social est testé positif du coronavirus. Nous identifierons les personnes en contact avec cet employé et les informerons de la situation…”. Comme dans l’exemple ci-dessus, il convient de préciser aux employés s’il y a un employé infecté par le coronavirus COVID-19, s’il travaille à domicile ou s’il est en congé; cependant, à moins que ce ne soit obligatoire, les détails qui permettront d’identifier directement l’employé, comme le niveau interne ou l’équipe d’entreprise, ne doivent pas être partagés.
4. Un employeur peut-il demander à tout le personnel et aux visiteurs du bâtiment des informations sur les récents voyages à destination des pays touchés par le coronavirus et les symptômes du virus, comme la fièvre ?
Les employeurs ont l’obligation légale de protéger la santé des employés et d’assurer la sécurité sur le lieu du travail. Dans ce contexte et dans les circonstances actuelles, des raisons justifiées seront invoquées pour les employeurs qui demandent aux employés et aux visiteurs des informations sur les visites des zones particulièrement touchées par le virus et/ ou indiquer si des symptômes du virus se présentent. La demande de renseignements doit avoir une justification solide fondée sur la nécessité, la proportionnalité et sur l’évaluation des risques. Dans ce cas, certains facteurs doivent être pris en compte, tels que les déplacements des employés, la présence de personnes atteintes de maladies chroniques sur le lieu de travail ou la possibilité d’être plus gravement touché par le virus, et les instructions ou conseils des responsables de la santé publique. Il n’y a aucun obstacle en termes de législation sur la protection des données personnelles à diffuser certaines recommandations à l’attention des employés et des visiteurs invités à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition et/ou symptômes.
5. Les données de santé des employés peuvent-elles être communiquées aux autorités sanitaires par l’employeur ?
Conformément à l’Article 8 de la loi et aux dispositions d’autres lois pertinentes sur les maladies infectieuses, l’employeur pourra communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.
6. Pendant l’épidémie, lorsque les entreprises sont temporairement fermées ou lorsque la capacité de répondre aux demandes des personnes concernées est limitée en raison du COVID-19, les délais spécifiés dans la loi sur la protection des données personnelles et la législation connexe dans le cadre des responsabilités des responsable de traitement et de leurs obligations envers l’Autorité sont-ils toujours valables ?
En ce qui concerne les plaintes, dénonciations et notifications de violation soumises à notre Autorité dans le cadre de la législation sur la protection des données personnelles, divers délais ont été déterminés dans la Loi et les règlements connexes concernant les responsabilités des responsables du traitement des données des personnes concernées ; il est important de respecter ces délais. Il n’y a pas de prolongation des délais légaux spécifiés dans la loi et la législation connexe, cependant considérant ce contexte de crise sanitaire et les différentes pratiques opérationnelles (travail à domicile, rotation etc.) mises en place par les responsables du traitement; pour chaque plainte ou cas spécifique, les conditions extraordinaires dans lesquelles nous nous trouvons seront prises en compte par le Conseil de protection des données personnelles.