Le règlement européen sur la protection des données personnelles (RGPD) et sa transposition dans la loi Informatique et libertés rendent les opérateurs responsables du traitement des données de santé sous le contrôle de la CNIL.
C’est donc un nouveau cadre réglementaire qui s’applique au traitement de données à caractère personnel, c’est-à-dire, quel que soit le procédé utilisé, à la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, à l’extraction, la consultation, l’utilisation, la communication par transmission, à la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi qu’au verrouillage, à l’effacement ou la destruction de telles données.
Considérées comme sensibles, les données de santé bénéficient d’un régime de protection renforcée : le principe est celui de l’interdiction du traitement des données de santé relatives à une personne identifiée ou identifiable et de leur commercialisation.
Dans le contexte de crise sanitaire, la CNIL reçoit de nombreuses sollicitations d’associations et clubs sportifs qui s’interrogent sur la collecte de données relatives à la santé des sportifs, des arbitres ou des encadrants, pour déterminer s’ils présentent des symptômes de la covid-19. La CNIL rappelle les principes applicables dans une communication du 14 octobre 2020.
De nombreuses structures sportives (associations, clubs) souhaitent mettre en œuvre des mesures adaptées pour limiter la propagation du virus et assurer en toute sécurité la reprise des activités et des manifestations sportives (entraînements, tournois, rencontres amicales, etc.).
Dans cette perspective, elles se questionnent sur les conditions dans lesquelles des données personnelles des sportifs, entraineurs, arbitres ou encadrants, notamment relatives à la santé peuvent être utilisées : prise systématique des températures avant d’accéder à un équipement sportif, organisation de tests virologiques préalablement à l’organisation d’une manifestation sportive, communication d’un test virologique négatif en cas d’absence du sportif à un entraînement, remplissage d’un questionnaire de santé dédié spécifiquement aux risques d’exposition à la covid-19, etc.
Pour répondre à ces interrogations, la CNIL rappelle les principes en matière de protection de la vie privée et des données personnelles appliqués à la pratique sportive.
À noter : Pour les personnes exerçant une activité salariée au sein des structures sportives (par exemple un entraîneur), il conviendra d’appliquer le cadre applicable à la collecte des données personnelles par les employeurs.
Qu’est-ce qu’une donnée de santé ?
Il s’agit des données relatives à la santé physique (condition physique, pathologies, antécédents médicaux, etc.) ou mentale (troubles cognitifs, psychiatriques, etc.) passée, présente ou future d’une personne, et révèlent donc des informations sur son état de santé. Ces données comprennent également les prestations de services de soins de santé (ex. : hospitalisation dans un service spécialisé d’un hôpital comme la cardiologie, la neurologie, etc.).
Les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle (ex.: analyses de biologie médicale) ou encore les informations concernant une maladie, un état physiologique, etc., sont également considérées comme des données de santé.
À cet égard, tout relevé de température, tout résultat d’un test virologique, tout certificat médical transmis aux structures sportives pour apprécier un risque d’exposition à la covid-19, constitue une donnée de santé au sens du RGPD.
Une structure sportive peut-elle collecter des données de santé pour limiter la propagation du virus ?
En raison du caractère sensible qu’elles revêtent, les données de santé des personnes intervenant au sein des structures sportives ou à l’occasion des manifestations sportives font l’objet d’une protection juridique toute particulière. Ainsi, le traitement de ces données, qu’il s’agisse de la collecte, de l’enregistrement, de la transmission, de l’utilisation des températures ou des résultats des tests virologiques pratiqués, est en principe interdit (art. 9.1 du RGPD et 6-1 de la loi Informatique et Libertés).
Dans le contexte de la covid-19, les données de santé peuvent, à titre dérogatoire, être traitées par les structures sportives, si celles-ci se trouvent notamment dans l’une des hypothèses suivantes :
– Hypothèse n° 1 : les structures sportives obtiennent, préalablement à la collecte des données de santé, le consentement des personnes concernées (sportifs, entraîneurs, arbitres, etc.).
Dans la pratique, le recueil du consentement des personnes concernées peut être difficile dans la mesure où, pour être valable, le consentement doit être libre, spécifique, univoque et éclairé. Il ne doit pas générer de déséquilibre manifeste entre les personnes concernées et les structures sportives. Or si le refus d’un sportif de se prêter à un test virologique ou à l’enregistrement de sa température a pour conséquence de lui interdire la pratique d’une activité, la participation à un tournoi, ou l’accès à un équipement (ex : gymnase, stade, dojo, piscine, etc.), ou, pour un arbitre, d’arbitrer une rencontre, le choix ne peut être considéré comme libre. Par conséquent, le consentement ne peut être considéré comme valable.
– Hypothèse n° 2 : la collecte des données de santé est justifiée par des motifs d’intérêt public important.
Les structures sportives peuvent s’appuyer sur cette hypothèse dès lors qu’un texte spécifique autorise la collecte des données de santé des personnes concernées au titre de l’activité sportive, dans le contexte de la covid-19. Pour ce faire, elles devront identifier les dispositions de la réglementation sportive définie par le ministère chargé des Sports et les instances sportives (notamment les fédérations) sur lesquelles s’appuyer pour justifier cette collecte.
Sauf à ce qu’un consentement libre, spécifique, univoque et éclairé des personnes concernées (sportifs, entraîneurs, arbitres, etc.) puisse être recueilli ou qu’une réglementation sportive dédiée encadre la collecte des données de santé dans le contexte particulier de la covid-19, les structures sportives :
-ne peuvent pas mettre en place des registres relatifs à la prise de température corporelle ;
-ne peuvent pas décider de pratiquer des tests virologiques préalablement à l’organisation de manifestations sportives ;
-ne peuvent pas exiger la production par le sportif d’un certificat médical en cas d’absence d’un sportif à un entraînement.
Ce qu’il est possible de faire :
Dans le contexte de la crise sanitaire liée à la covid-19, il appartient à chacun de mettre en œuvre des mesures adaptées à la situation, y compris à l’occasion de la pratique d’un sport (ex. : respect des règles de distanciation physique conformes à la pratique sportive concernée, lavage fréquent des mains avec du savon et du gel hydroalcoolique, gestion individuelle des collations et de l’hydratation des sportifs, port du masque dans les vestiaires, etc.). Ces mesures sont détaillées dans différents guides rédigés par le ministère chargé des Sports, dont le guide de rentrée sportive intégrant un protocole sanitaire pour déterminer les règles à respecter concernant la gestion des suspicions et des cas de covid-19 positifs.
La règlementation sur la protection des données personnelles s’applique aux traitements automatisés (notamment bases de données informatiques) et aux traitements non automatisés (ex. : registre « papier ») qui permettent de constituer des fichiers. Aussi, la seule vérification de la température au moyen d’un thermomètre manuel (tel que par exemple de type infrarouge sans contact) à l’entrée d’un équipement sportif (ex : gymnase, stade, dojo, piscine, etc.), sans qu’aucune donnée ne soit conservée, ni qu’aucune autre opération ne soit effectuée (tels que des relevés de ces températures, des remontées d’informations, etc.), ne relève donc pas de la règlementation en matière de protection des données personnelles.
Dans son guide consacré à la rentrée sportive, concernant l’organisation des manifestations sportives, le ministère chargé des Sports indique que « la prise de température n’est pas recommandée par le Haut Conseil de la santé publique dans son avis du 28 avril, comme contrôle de l’accès. Cette mesure peut, à la discrétion de l’organisateur, être mise en place s’il décide qu’elle est complémentaire et qu’il a les moyens de la mettre en œuvre dans des conditions satisfaisantes ».
Ce qu’il n’est pas possible de faire :
Les structures sportives ne sauraient prendre des mesures susceptibles de porter une atteinte disproportionnée à la vie privée des personnes notamment par la collecte de données de santé. Ainsi par exemple, sauf à ce qu’une réglementation particulière le prévoit expressément, une salle de sport ne peut pas conditionner la reprise de l’activité sportive à la production d’un test virologique négatif.
Par ailleurs, la CNIL rappelle que les données de santé, compte tenu des modalités de leur collecte, sont susceptibles d’être protégées par le secret professionnel si elles sont produites ou collectées dans un contexte médical. Dans ce cas, la transmission de ces données aux structures sportives devra intervenir dans le respect des garanties légales protégeant ce secret.
source : www.cnil.fr
En savoir plus :
Les guides du ministère des sports (www.sports.gouv.fr ) :
Guide d’accompagnement de reprise des actives sportives du 15 juin 2020
Guide de rentrée sportive du ministère chargé des sports du 21 septembre 2020
Les textes de référence :
Qu’est-ce ce qu’une donnée de santé ?
Article 4.15 du règlement général sur la protection des données (RGPD)
Article L. 231-2 et suivants du Code du sport
Art. D. 231-1-1 et s. du Code du sport
- Rencontre CESE : Comment pérenniser le financement des associations ? - 21 novembre 2024
- Les Mardis de l’ESS : Les communs numériques, levier de la transformation sociale ? - 20 novembre 2024
- Replay CIRIEC : Conférence internationale du 8 novembre 2024 – Paris - 14 novembre 2024