Le Sénégal fait face, depuis le 02 mars 2020, à la pandémie liée au Coronavirus ou Covid-19. Depuis, des actions d’information et de sensibilisation sur les mesures préventives et sur les gestes barrières ont été démultipliées, en vue de contenir la propagation de la maladie.

Les efforts déployés par l’Etat, les autorités sanitaires, les établissements de santé et leur personnel pour endiguer la propagation du virus doivent être soutenus de manière responsable et efficace.

Au regard de la multiplication des nombres de cas testés positifs au Covid-19, le Ministère de la Santé et de l’Action sociale a entrepris de mettre en œuvre des mesures de dépistage et de suivi des personnes contacts. A cet effet, certaines solutions préconisées par les autorités sanitaires dépendent de la collecte et du traitement de données personnelles. C’est dans ce cadre, que le ministère a demandé l’avis de la CDP pour la mise en œuvre de solutions digitales e-santé et potentiellement de localisation.

En vertu des dispositions législatives et règlementaires encadrant ses missions, la Commission de protection des Données Personnelles (CDP) entend jouer pleinement son rôle de régulateur des données personnelles. A ce titre, elle entend veiller à la conformité des diverses solutions proposées par les autorités publiques et les initiatives citoyennes.

Ainsi, la CDP rappelle que dans la situation actuelle d’urgence sanitaire, la protection des libertés individuelles et des droits fondamentaux, notamment la vie privée demeure applicable, et ne peut être suspendue. Cependant, des mesures dérogatoires respectueuses de la loi 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel ou d’autres dispositions législatives ou règlementaires applicables peuvent être envisagées.

La loi 2008-12 susmentionnée prévoit, en effet, un régime dérogatoire, lorsqu’il s’agit de mettre en œuvre un traitement de données personnelles sensibles, en vue :

– de sauvegarder des intérêts vitaux des personnes ;
– de répondre à un motif d’intérêt public ;
– de promouvoir ou de protéger la santé publique, y compris le dépistage.

Au regard du contexte actuel, les techniques d’identification et de suivi des personnes infectées ou à risque, utilisées par les autorités sanitaires, doivent se limiter aux conditions dérogatoires prévues par la loi.

En outre, ces techniques doivent répondre aux principes fixés par la loi portant sur la protection des données personnelles et se limiter aux seules finalités de prévention et de maitrise de la propagation du virus.

A cet effet, la CDP insiste sur le respect des principes et mesures suivants :

– le traitement des données personnelles relatives à la santé des personnes suivies doit être mis en œuvre exclusivement par des professionnels de santé ;
– la collecte et le traitement d’autres données personnelles permettant d’identifier et de localiser les personnes concernées doivent être mis en œuvre par un nombre limité de personnes dûment habilités, qui auront souscrit à un engagement écrit à préserver la confidentialité et la sécurité des données auxquelles elles auront accès ;
– la collecte des données doit se limiter uniquement aux personnes ciblées par les autorités sanitaires, qui sont directement en contact avec celles infectées ;
– la collecte doit être limitée aux seules données nécessaires à l’identification et à la localisation des personnes ;
– les données collectées doivent être conservées pendant le temps nécessaire à la prise en charge des personnes, et détruites automatiquement lorsque les finalités pour lesquelles elles sont collectées arrivent à terme.

Par ailleurs, pour des motifs légitimes de recherche scientifique, les données réutilisées ultérieurement doivent être rendues anonymes de façon irréversible. Toute tentative de réidentification des personnes doit être rendue impossible. Dans ce sens, la CDP appréciera la procédure d’anonymisation des données avant leur réutilisation à des fins statistiques et de recherche scientifique.

– toutes les personnes habilitées, impliquées dans la collecte et le traitement des données doivent signer un engagement de confidentialité. Les autorités qui supervisent le travail de ces personnes doivent veiller au strict respect de cet engagement ;
– toutes les mesures de sécurité des données, techniques et organisationnelles, doivent être impérativement mises en œuvre.

Au-delà de ces principes et mesures, la CDP rappelle que si des informations en temps réel sur la propagation du virus peuvent contribuer à l’isoler, il convient de souligner que les solutions les moins intrusives pour la vie privée des personnes doivent toujours être privilégiées.

Aussi, la Commission préconise que la dimension éthique soit systématiquement prise en charge par tous les acteurs engagés dans le processus de lutte contre le Covid-19.

La CDP continuera à collaborer avec l’Etat et avec les autorités sanitaires dans la lutte contre le Covid-19, dans le respect de l’Etat de droit et des libertés individuelles.

La Commission reste à la disposition du Gouvernement et de tous les citoyens, en vue de répondre à leurs interrogations et inquiétudes, par rapport au respect de la loi sur la protection des données personnelles.

(Source : CDP, 24 avril 2020)