Deconfinarea GDPR nu este o armă slab stăpânită, ci o vestă antiglonț; Rețeaua DPO

Acest text răspunde celui intitulat „Deconfiniment:„ Ne-am împușcat din nou în picior cu GDPR ””, publicat în coloanele din Le Monde vineri, 24 aprilie 2020.

deconfinarea

Fără a lua o poziție cu privire la problema urmăririi, considerăm că comentariile exprimate ar putea induce în eroare publicul larg în sensul că afirmă că GDPR constituie în sine un obstacol în calea acestei măsuri și, prin urmare, că „riscă să ne omoare”. În plus, aceste cuvinte conduc, de asemenea, la masca dezbaterii reale, care este mai presus de orice etică și politică.

De aceea ni s-a părut esențial să răspundem.

GDPR este Regulamentul general privind protecția datelor cu caracter personal. O precizie adesea uitată, este și textul care permite libera circulație a acestora. De asemenea, nu necesită consimțământul sistematic al persoanelor, iar prelucrarea poate fi pusă în aplicare în mod legal dacă îndeplinește cu exactitate o obligație legală. Asa de, GDPR nu este cămașa de forță denunțată de unii, ci un text de echilibru și consens. Prin caracterul său liberal afirmativ, se adaptează fără dificultate la regimul politic al statelor membre ale Uniunii Europene, precum al nostru, care este represiv în ceea ce privește libertățile publice.

Spre deosebire de un regim preventiv, în care totul este interzis, cu excepția a ceea ce este permis în mod expres, regimul represiv - chiar dacă poate părea contraintuitiv la prima vedere - este mai liberal. Bazându-se pe responsabilitatea fiecărui individ, consacră libertatea de acțiune a priori a individului cu, ca contrapartidă, amenințarea represiunii a posteriori în cazul unui comportament ilegal. Astfel, orice persoană este liberă să întreprindă ceea ce nu a fost interzis explicit în prealabil.

Intrarea în vigoare a GDPR face parte din această logică liberală și represivă cu consecința dispariției, în majoritatea cazurilor, a formalităților obligatorii care trebuie îndeplinite cu autoritatea de supraveghere - CNIL, în Franța - înainte de implementarea procesării datelor. . Principiul cardinal al GDPR, responsabilitatea („responsabilitatea”) simplifică implementarea procesării datelor cu caracter personal. Multe operațiuni de prelucrare pot fi acum efectuate fără a fi nevoie de „formalități administrative”, altele decât păstrarea unui registru intern.

Cu toate acestea, legiuitorul european a auzit excludeți din această libertate de prelucrare anumite categorii speciale de date, cunoscute altfel ca „date sensibile”. Acestea includ date de sănătate. În principiu, prelucrarea lor este interzisă. Așa cum se întâmplă adesea în lege, acest principiu este temperat de diferite excepții. Astfel, consimțământul persoanei vizate poate duce aici la ridicarea interdicției. Același lucru este valabil atunci când interesele superioare - care trebuie să prevaleze asupra drepturilor și libertăților persoanei vizate - sunt în joc. Acest lucru este valabil mai ales atunci când vine vorba de asigurarea „protecției împotriva amenințărilor transfrontaliere grave care cântăresc sănătatea”. Într-o astfel de ipoteză, consimțământul persoanei vizate nu este, de asemenea, cerut de GDPR.

Deși interzicerea prelucrării datelor de sănătate poate fi ridicată fără acordul persoanelor în cauză, situația actuală de sănătate nu permite totuși acțiuni în afara oricărui cadru legal. Persoanei responsabile pentru o astfel de prelucrare i se va cere în special să furnizeze „măsuri adecvate și specifice pentru a proteja drepturile și libertățile persoanei vizate, în special secretul profesional”. Soluțiile tehnice proiectate de mai multe echipe de cercetare în informatică și criptografie merg în această direcție, chiar dacă unii dintre acești cercetători afirmă deja că anonimizarea va fi imposibil de garantat în practică (Larousserie D., Untersinger M., „Coronavirus: pacient tracing aplicațiile împart cercetătorii din Europa ", Le Monde (ediție digitală) 23 aprilie 2020). Cu toate acestea, anonimizarea nu pare a fi o condiție a legalității prelucrării prevăzute în GDPR. Din nou, principiul responsabilității lasă operatorul de date liber să ia măsurile care urmează să fie adoptate pentru a-și îndeplini obligațiile de protecție a datelor, cu condiția să îl poată justifica și să evalueze riscurile.