Dernière mise à jour: 04/02/2021

Prise de température dans le cadre de la lutte contre le COVID-19

L'APD constate que dans le cadre de la reprise de la vie sociale et économique, les responsables du traitement cherchent des solutions technologiques en vue de détecter à l'entrée de leurs bâtiments les individus qui présentent de la fièvre afin d'éviter qu'ils n'y pénètrent, et ce dans le but de prévenir d'autres contaminations au sein des bâtiments. Ils considèrent que la mise en place d'une telle politique d'accès fait partie de leur mission (à savoir protéger la sécurité et la santé des personnes concernées).


Une telle prise de température s'effectue au moyen d'un thermomètre classique, de scanners de fièvre digitaux dirigés sur le front de la personne concernée ou de systèmes perfectionnés de caméras thermiques.

L'APD comprend que la situation actuelle est éprouvante pour chacun mais rappelle que la prise de température de personnes physiques relève du RGPD si cet acte donne lieu en soi ou par la suite à un traitement de données à caractère personnel.

Dans ce cas, les responsables du traitement devront :

  • respecter toute une série d’obligations en vertu du RGPD comme le fait d’assurer la transparence vis-à-vis des personnes concernées ;
  • garantir la sécurité des données ;
  • éventuellement réaliser une analyse d'impact relative à la protection des données ; et
  • disposer d'une base légale appropriée pour procéder au traitement.

 

La température d'une personne physique est une donnée à caractère personnel. Qui plus est, la température d'une personne fait partie d'une catégorie particulière de données à caractère personnel. En effet, le niveau de température corporelle constitue en soi une donnée à caractère personnel concernant la santé.

Le RGPD protège les données à caractère personnel qui font l'objet d'un traitement automatisé ou qui sont destinées à être reprises dans un fichier (ou qui y figurent déjà). S'il s'agit de données de santé, le traitement est même en principe interdit, sauf exceptions.

 

Situation 1 : la simple lecture de la température, sans enregistrement

Si la température corporelle mesurée fait uniquement l'objet d'une lecture directe et n'est pas enregistrée dans un fichier, il ne s'agit pas d'un traitement de données à caractère personnel auquel s’applique le RGPD.
Il s'agit donc seulement d'une simple lecture de la température sur un thermomètre classique, sans intention d'enregistrer (de manière individualisée) ces données de mesure par la suite. Dès lors, cette lecture en soi ne relève pas de l'application du RGPD et donc pas non plus du contrôle de l'APD, même si les principes généraux de la protection de la vie privée restent bel et bien d'application.

Un exemple : l'enregistrement de la température de travailleurs dans le but d'établir un rapport anonyme (par ex. le pourcentage de personnes présentant une température élevée, sans toutefois rendre possible - même pas par la suite - le moindre lien avec des personnes identifiables).

Bien sûr, le but qui est souvent recherché est précisément d'entreprendre des démarches supplémentaires à l'égard de personnes qui refusent que leur température soit prise ou qui présenteraient de la fièvre lors d'une telle prise de température : ces personnes se verront en effet refuser l'accès aux bâtiments afin d'éviter un risque de contamination plus grand.

Si dans ce cadre, aucun enregistrement complémentaire de personnes identifiables n'est nécessaire, il ne s'agira toujours pas d'un traitement de données à caractère personnel auquel s’applique le RGPD.

Pensons par exemple à l'enregistrement de la température de visiteurs (d'un hôpital, d'un musée ou d'une bibliothèque par exemple) : en cas de refus de prise de température ou de température élevée, il n’y aura normalement qu’un refus d'accès au bâtiment, sans enregistrement. Dans ce cas, il n'est toujours pas question d'un traitement de données à caractère personnel auquel s’applique le RGPD.

Situation 2 : lecture de la température avec enregistrement

Si après la prise de la température, les démarches suivantes impliquent un enregistrement complémentaire (par ex. afin de justifier un refus d'accès à l'égard de la personne concernée ou afin de documenter ce refus pour d'autres finalités), il s'agira par contre bel et bien d'un traitement de données à caractère personnel auquel s’applique le RGPD.

Dans ce contexte, on peut penser par exemple aux membres du personnel qui ne peuvent pas accéder à leur lieu de travail et aux fournisseurs qui ne peuvent pas délivrer leurs marchandises : vu qu'ils sont renvoyés chez eux "bredouilles", des traitements complémentaires devront inévitablement être mis en œuvre afin de justifier une telle "mesure de lock-out" à leur égard (avec un possible impact financier). En d'autres termes, pour ces personnes, même si le résultat de la prise de température en soi n'a pas été enregistré, les résultats de cette mesure seront concrètement liés à leur "dossier" et/ou identité et donc traités en tant que données à caractère personnel.

Prenons par exemple l'enregistrement de la température dans un contexte scolaire. Même si la température lue proprement dite n'est pas enregistrée, mais qu'une remarque est inscrite dans le dossier de l'élève pour indiquer une absence ou une maladie, il s'agit évidemment bel et bien d'un traitement de données à caractère personnel (éventuellement médicales qui plus est) auquel s'applique le RGPD et qui ne repose sur aucune base légale. Dès lors, ce n'est pas autorisé en vertu de la législation actuelle. Dans ce cas, on ne peut en effet pas non plus s'appuyer sur le consentement de la personne concernée, étant donné l'absence d'égalité entre les parties concernées, tout comme dans un contexte de travail (employeur-employé).

Pour éviter tout malentendu : si la température mesurée de personnes identifiables est enregistrée dans un fichier, il s'agira toujours d'un traitement (non autorisé) de données à caractère personnel concernant la santé.

Le traitement de telles données de santé est en principe interdit, sauf exceptions (voir ci-dessous).

Situation 3 : prise de température électronique par le biais de moyens perfectionnés

Le RGPD ne s'applique pas uniquement lors de l'enregistrement de données à caractère personnel dans un fichier mais également si un traitement a lieu au moyen d'un procédé numérique perfectionné, ce qui est le cas si l'on mesure automatiquement (ou à distance) la température cutanée d'une personne. Dans ce cas, les données ne sont effectivement pas simplement lues mais traitées (par voie électronique) préalablement.

Dans le cadre d'un tel traitement automatisé, il faut en effet penser à toutes les opérations citées à l'article 4.2) du RGPD qui sont effectuées de manière automatisée (non manuelle), parmi lesquelles déjà la simple collecte numérique sans conservation ou enregistrement ultérieur(e).

Par "traitement", on n'entend pas uniquement la conservation de données. La prise de température de personnes par le biais d'un procédé numérique perfectionné (c'est-à-dire au-delà de la simple lecture) constitue déjà à elle seule un traitement automatisé en vertu du RGPD.

Cela implique par conséquent que l'utilisation de scanners de fièvre numériques perfectionnés, de caméras thermiques ou d'autres systèmes automatisés qui mesurent le niveau de température corporelle constitue en soi un traitement de données à caractère personnel concernant la santé et n'est donc pas autorisée.

L'étape qui suit une telle mesure automatisée de la température peut à son tour s'effectuer de manière automatisée ou non. Il peut s'agir d'une intervention humaine, avec un garde qui supervise la prise de la température, aborde la personne présentant de la fièvre et lui refuse l'accès au bâtiment, mais l'on dispose aussi de systèmes plus perfectionnés qui analysent les personnes à distance au niveau des symptômes fiévreux et qui permettent que la porte d'accès au bâtiment reste fermée pour les personnes qui présentent de la fièvre.

Dans ce dernier cas, il y a même un risque que les personnes concernées n'aient pas conscience qu'elles ont en fait été soumises à distance à un système caché de détection de fièvre. Cela serait évidemment tout à fait incompatible avec les exigences de transparence du RGPD.

Base juridique

Si la prise de température s'accompagne en soi ou éventuellement par la suite d'un traitement de données à caractère personnel, et plus précisément de données à caractère personnel concernant la santé, un problème se pose car le traitement de telles données concernant la santé est en effet en principe interdit (voir l'article 9, paragraphe 1 du RGPD). Un responsable du traitement doit pouvoir démontrer à l'égard des personnes concernées et de l'APD qu'il peut invoquer une exception au sens de l'article 9.2 du RGPD pour ne pas être soumis à l'interdiction de traitement.

Les exceptions pertinentes de l'article 9.2 du RGPD sont les suivantes :

  • "la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée" ;
  • "le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée" ;
  • "le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée" ;
  • "le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel".

Consentement explicite

Une exception à l'interdiction générale de traitement de données à caractère personnel concernant la santé s'applique si la personne concernée donne son consentement explicite.

Une des exigences pour qu'un consentement soit valable consiste à ce que ce consentement soit donné librement. Voir en la matière le considérant 42 du RGPD : "Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice."

Demander le consentement explicite à la personne concernée afin d'enregistrer de telles données sera donc problématique. Le consentement suppose en effet que la personne concernée dispose d'un choix et qu'elle peut donc aussi refuser de consentir au traitement.

Le consentement dans un contexte de travail par exemple serait précaire. Un travailleur peut en effet se sentir mis sous pression pour donner son consentement, vu la relation de subordination.

Lorsque le refus du consentement a pour conséquence que l'accès à un bâtiment auquel on souhaite accéder est refusé, on peut également difficilement parler d'un consentement libre.

Il faut également attirer l'attention sur le fait que l'obtention d'un consentement éventuel ne justifie cependant pas un traitement excessif. C'est notamment le cas lorsque le traitement n'est pas absolument indispensable pour obtenir le résultat visé.

Dans la plupart des circonstances, le consentement ne constituera donc pas une base juridique appropriée pour le traitement de la température corporelle.

En vertu du droit de l'État membre

Selon l'article 9.2 du RGPD, l'interdiction de traitement ne s'applique pas non plus si la permission de procéder au traitement/à l'enregistrement est définie en vertu du droit d'un État membre, étant entendu que l’on doit vérifier si le traitement est proportionné à l’objectif poursuivi et si la vie privée est garantie.

En Belgique, il n'existe actuellement aucune disposition légale spécifique permettant de ne pas appliquer l'interdiction de traitement dans le présent contexte.

Un employeur par ex. a certes l'obligation générale de veiller en bon père de famille à ce que le travail s'accomplisse dans des conditions convenables au point de vue de la sécurité et de la santé du travailleur (art. 20, 2° de la loi relative aux contrats de travail du 3 juillet 1978), mais cette disposition n'est pas suffisamment spécifique pour pouvoir, dans le présent contexte, tenir lieu d'exception légale appropriée à l'interdiction de traitement de l'article 9.1 du RGPD.

Vu la formulation de l'article 9.2.b) du RGPD, un règlement via une CCT (CNT) n'est pas non plus exclu, du moins dans un contexte de travail. Actuellement, un tel règlement n’existe cependant pas dans ce contexte.

Dans le contexte scolaire non plus, l'APD n'a pas connaissance d'une disposition légale spécifique qui lève l'interdiction de traitement dans le cadre de la prise de température systématique à l'entrée de l'école.

Étant donné qu'il n'y a donc actuellement aucune base juridique solide pour lever l'interdiction de traitement de l'article 9.1 du RGPD, l'APD invite les autorités à adopter une législation qui autoriserait le traitement visé de données concernant la santé pour autant que les autorités estiment que de tels traitements doivent pouvoir être réalisés eu égard à la nature exceptionnelle de la crise du coronavirus et aussi longtemps que cette crise dure. La loi édictée devra protéger les droits et libertés des personnes concernées et être proportionnée à l’objectif poursuivi. Des dérogations et limitations ne pourront être appliquées que si cela est strictement nécessaire.

Autres obligations

Si le RGPD est d'application, la responsabilité ("accountability") s'applique évidemment au responsable du traitement. Il doit pouvoir démontrer qu'il peut invoquer une exception favorable de l'article 9.2 du RGPD pour ne pas être soumis à l'interdiction de traitement.

En outre, le responsable du traitement doit prendre des mesures techniques et organisationnelles dans le cadre de la prise de température de personnes. L’obligation de protection des données dès la conception exige d’utiliser des thermomètres qui traitent un minimum de données à caractère personnel. Ainsi, il faudrait idéalement utiliser des thermomètres qui n’enregistrent pas de valeurs dans une mémoire. Il n’est pas non plus nécessaire d’établir une interconnexion entre les caméras thermiques et un autre système IT comme par exemple des caméras de surveillance ou des portiques automatiques. Les appareils utilisés doivent également pouvoir produire des résultats précis et être régulièrement contrôlés à l’aide d’une calibration de manière à ne pas afficher de résultats biaisés. Enfin, les valeurs de température doivent aussi être comparées à une valeur liminale prédéfinie.

Les mesures de température doivent se faire de manière transparente. La personne concernée doit ainsi être informée de la finalité de la prise de température. Si lors de la première prise de température, on constate une température élevée, il faut prévoir une procédure qui définit ce qu’il advient dans cette situation. Ainsi, la personne concernée doit avoir la possibilité de faire l’objet d’une deuxième prise de température afin d’exclure un défaut ou un problème de calibration de l’appareil.

L'APD ne considère pas la simple lecture de la température comme un traitement de données à caractère personnel, à condition que la température ou les autres conséquences (ex. l'absence au travail ou à l'école) ne soient pas enregistrées. Le RGPD ne s'applique donc pas.

Dès qu'il s'agit d'un traitement automatisé en tout ou en partie ou de l'enregistrement de données dans un fichier, le RGPD est toutefois d'application et le responsable du traitement doit tenir compte de tous les principes de base du droit à la protection des données (par exemple la légitimité, la transparence, la minimisation des données, la sécurité des données, etc.).

Dans l'attente d'une base juridique suffisamment claire et spécifique (par ex. au moyen d'une loi ou d'une CCT), les responsables du traitement ne peuvent toutefois actuellement pas :

  • prendre la température de personnes en vue d'enregistrer par la suite le résultat dans un fichier ;
  • prendre la température de personnes si les conséquences du résultat pour la personne concernée sont enregistrées par la suite dans un fichier ;
  • prendre la température de personnes à l'aide d'appareils de mesure électroniques perfectionnés tels que des scanners de fièvre, des caméras thermiques ou d'autres systèmes automatisés qui mesurent le niveau de température corporelle.

Enfin, l'APD attire l'attention sur le fait que la prise de température comme mesure destinée à lutter contre la propagation du Covid-19 reste partiellement inefficace car d'une part, le Covid-19 ne s'accompagne pas toujours de fièvre et d'autre part, la fièvre n'indique pas toujours la présence du Covid-19.