Direction

Application NHS COVID-19: notre traitement de catégories spéciales de données personnelles

Mis à jour le 20 décembre 2021

• Des données concernant la santé – comme le résultat de votre test COVID-19 et votre statut d’isolement.
• Les détails du lieu détenus uniquement sur votre téléphone, pourraient être indicatifs d’autres catégories spéciales de données. Cependant, ces détails ne sont stockés que dans votre application. Le résumé ou le décompte inclus dans l’ensemble de données analytiques ne comprend pas ces détails.
  Par exemple, un lieu peut indiquer :
• L’origine raciale ou ethnique ;
• Les opinions politiques ;
• Les croyances religieuses ou philosophiques ;
• L’appartenance syndicale ;
• Des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
• Cependant, nos systèmes ne peuvent pas accéder à ces données ni les traiter ; nous les notons ici pour favoriser la transparence.
• La prochaine étape sera d’inclure votre score social et votre monnaie numérique et bingo ! Nous vivons tous en Chine communiste !

Contenu

1. Quelle catégorie particulière de données nous traitons (Description des données traitées)
2. Pourquoi nous traitons les données de catégorie spéciale dans l’intérêt public substantiel (SPI)
3. Notre base juridique pour le traitement de cette catégorie particulière de données (Annexe 1 DPA (Article 9) base de traitement)
4. Comment nous nous assurons de respecter les principes de protection des données (Procédures pour assurer le respect des principes)
5. Politiques de conservation et d’effacement
6. Date d’examen de la DPA

Dans le cadre des fonctions statutaires du ministère de la Santé et des Affaires sociales (DHSC, nous ou nous), nous traitons une catégorie spéciale de données dans le cadre de la fourniture de l’application NHS COVID-19. La catégorie spéciale de données est définie par l’article 9 du Règlement général sur la protection des données (« RGPD ») et l’annexe 1 de la loi sur la protection des données de 2019 (« DPA 2018 »). Nous traitons la catégorie spéciale de données traitée conformément aux exigences fixées par la loi. Nous ne traitons aucune donnée d’infraction pénale, telle que définie par cette législation. Vous trouverez notre avis de confidentialité et notre analyse d’impact sur la protection des données

Quelle catégorie particulière de données nous traitons (Description des données traitées)

Les données conservées uniquement sur l’application sur votre téléphone incluront :

• Données concernant la santé – telles que le résultat de votre test COVID-19 et votre statut d’isolement
• Les détails du lieu conservés uniquement sur votre téléphone peuvent indiquer d’autres catégories spéciales de données. Toutefois, ces détails ne sont stockés que dans votre application. Le résumé ou le dénombrement inclus dans l’ensemble de données analytiques n’inclut pas ces détails.
• Par exemple, un lieu peut indiquer :

• Origine raciale ou ethnique;
• Opinions politiques;
• Croyances religieuses ou philosophiques;
• Affiliation syndicale;
• Données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
• Cependant, nos systèmes ne peuvent pas accéder ou traiter ces données, nous le notons ici pour soutenir la transparence.

Les systèmes centraux que nous utilisons pour mettre à jour les processus des utilisateurs de l’application résultats des tests COVID-19 pour les utilisateurs de l’application et permettent à l’application de mettre à jour leur statut. Afin de garantir que les résultats corrects sont renvoyés à l’utilisation correcte, nous traitons cela comme des données personnelles, bien que nous protégions l’identité de l’utilisateur de l’application (par pseudonymisation en termes de RGPD) et supprimions rapidement les données de nos systèmes. Ainsi, pour le système central, nous traitons:

• Données concernant la santé – telles que le résultat de votre test COVID-19
• L’ensemble de données analytiques, soumis toutes les 6 heures, est géré de manière à garantir que les utilisateurs de l’application ne peuvent pas être identifiés.

Pourquoi nous traitons les données de catégorie spéciale dans l’intérêt public substantiel (SPI)

Nous (DHSC) considérons que toute prise de décision automatisée est autorisée par la loi, en particulier l’article 2A de la loi NHS De 2006 qui permet au secrétaire d’État de prendre les mesures qu’il juge appropriées dans le but de protéger la santé publique. C’est le pouvoir sur lequel le secrétaire d’État s’appuie pour autoriser la conception, la mise en œuvre et l’exploitation de l’application par le DHSC. Nous avons également cherché à mettre en œuvre des mesures appropriées pour sauvegarder les droits, les libertés et les intérêts légitimes de la personne concernée, comme cela serait nécessaire. En ce qui concerne l’article 22, nous notons que toute décision automatisée basée sur des catégories particulières de données à caractère personnel sera traitée sur la base de l’article 9, paragraphe 2, point g), étant un traitement nécessaire pour des raisons d’intérêt public substantiel, conformément aux conditions du paragraphe 6 de la partie 2 de l’annexe 1 de la loi de 2018 sur la protection des données (finalités légales et gouvernementales).

Notre base juridique pour le traitement de cette catégorie particulière de données (Annexe 1 DPA (Article 9) base de traitement)

En outre, nous traitons les données de catégorie spéciale aux fins suivantes, comme indiqué dans la partie 1 de l’annexe 1 de la DPA.

Paragraphe 2 – Soins de santé ou services sociaux

Section 2 conditions qui s’appliquent Avec, comme l’a mentionné l’AIPD, une référence particulière à la gestion des services de santé et de soins sociaux.

• f) la gestion des systèmes ou services de soins de santé ou des systèmes ou services de protection sociale.

Paragraphe 3 Santé publique

Conditions applicables

• a) est nécessaire pour des raisons d’intérêt public dans le domaine de la santé publique;
• b) est exécuté:
  • (ii) par une autre personne qui, dans les circonstances, a une obligation de confidentialité en vertu d’un texte législatif ou d’une règle de droit.
• Comme détaillé dans l’AIPD, cette condition est déclenchée parce que les objectifs de l’application incluent la planification de la santé publique.

Paragraphe 6 Dispositions légales, etc. et objectifs gouvernementaux

Conditions applicables

• (1) Cette condition est remplie si le traitement
  • a) est nécessaire aux fins énumérées à l’alinéa (2), et
  • b) est nécessaire pour des raisons d’intérêt public important.
• (2) Ces fins sont les suivantes:
  • a) l’exercice d’une fonction conférée à une personne par un acte législatif ou une règle de droit;
  • b) l’exercice d’une fonction de la Couronne, d’un ministre de la Couronne ou d’un ministère.
• En particulier, comme indiqué dans l’AIPD, ceci à des fins statutaires et gouvernementales relatives à la santé publique et en particulier à la gestion de l’urgence de santé publique COVID-19.

Comment nous nous assurons de respecter les principes de protection des données (Procédures pour assurer le respect des principes)

Responsabilité

Nous avons mis en place des mesures techniques et organisationnelles appropriées pour respecter nos obligations de responsabilité.

• Le programme Test and Trace dispose d’un délégué à la protection des données qui relève directement de notre direction. Vous pouvez trouver les détails dans notre avis de confidentialité
• Nous avons développé et continuons à développer l’application conformément aux principes de protection des données dès la conception et par défaut. Nous fournissons plus de détails dans notre analyse d’impact sur la protection des données (AIPD) publiée.
• Notre AIPD comprend la prise en compte des risques découlant du traitement et des contrôles que nous avons mis en place
• Nous tenons à jour la documentation et les registres de nos activités de traitement, y compris en les examinant régulièrement.
• Nous nous assurons d’avoir des contrats en place avec les processeurs de données et tous nos fournisseurs
• Nous nous assurons d’avoir mis en place des mesures de sécurité et travaillons avec des organisations, y compris le Centre national de cybersécurité (NCSC), pour examiner et améliorer régulièrement ces mesures.
• Nous révisons régulièrement tous nos contrôles et mesures en matière de responsabilisation, en les mettant à jour, en les améliorant et en les modifiant au besoin.

Nous allons :

• veiller à ce que des enregistrements soient conservés de toutes les activités de traitement des données personnelles et à ce qu’ils soient fournis au commissaire à l’information sur demande
• maintenir notre AIPD et notre avis de confidentialité, en les examinant à la lumière de tout changement apporté à l’application ou au traitement des données.
• s’assurer que notre délégué à la protection des données est impliqué dans tout examen de notre AIPD et toute proposition de modification de notre traitement des données personnelles
• s’assurer que nos processus et contrôles internes sont robustes pour s’assurer que les données sont traitées conformément à nos obligations

Principe a) : légalité, équité et transparence

Nous veillons à respecter nos obligations d’être légaux, équitables et transparents. Voir ci-dessus comment nous respectons nos obligations légales en vertu de l’annexe 1 pour les catégories spéciales de données. Nous fournissons des informations sur les raisons pour lesquelles nous traitons les données personnelles dans :

• ce document
• notre avis de confidentialité
• notre avis de confidentialité – destiné aux jeunes utilisateurs de l’application (tranche d’âge de 16 à 18 ans)
• notre avis de confidentialité – facile à lire (un résumé de pictogramme pour faciliter l’accès)
• Vous trouverez des informations sur les données, la confidentialité et l’application tout au long de notre:

• matériel de communication, vidéos et information pour le public (la protection de la vie privée est un point abordé dans tous)
• Comment faire des guides et d’autres supports pour les utilisateurs d’applications
• foire aux questions
• Pour soutenir davantage la transparence, nous avons publié notre AIPD et le code de l’application.
• Nous veillerons à ce que :

• que les données à caractère personnel ne sont traitées que lorsqu’une base légale s’applique et que le traitement est licite ;
• nous traitons les données à caractère personnel de manière équitable et définirons clairement les finalités de tout traitement aux personnes concernées ;
• les personnes concernées reçoivent des informations claires et transparentes sur la protection des données personnelles

Principe b) : limitation de la finalité

Nous traiterons les données personnelles uniquement à des fins spécifiées, claires et légitimes. Nous ne traiterons pas les données personnelles à des fins incompatibles avec la finalité initiale pour laquelle elles ont été collectées. Nous traitons des données personnelles de catégorie spéciale pour :

• Pour répondre à l’urgence COVID-19, l’efficacité de l’application et des services avec lesquels les utilisateurs interagissent.
• Comprendre, apprendre et gérer
• Nous définissons ces objectifs dans l’AIPD, l’Avis de confidentialité et fournissons des détails spécifiques sur les données collectées et la manière dont ces objectifs sont pris en charge dans notre AIPD.

• Vous pouvez trouver notre AIPD ici
• Les sections les plus pertinentes sont les suivantes :

i. L’introduction ii. La section Évaluation de l’application du Règlement de 2003 sur la protection de la vie privée et les communications électroniques (tel que modifié) (« PECR ») iii. La section Objectifs de santé publique et valeur de l’application iv. Objectifs de la section 2 de l’évaluation de l’AIPD Nous sommes autorisés par la loi à traiter des données personnelles à ces fins. Nous veillons à ce que tout traitement à ces fins soit nécessaire et proportionné à cette finalité.

Principe c) : minimisation des données

Nous collectons les données personnelles et les données nécessaires aux fins pertinentes et veillons à ce que cela ne soit pas excessif. Nous avons mis en place des contrôles et des systèmes pour minimiser à la fois les données personnelles et les données des utilisateurs de l’application tout en veillant à ce que les données soient adéquates pour fournir les objectifs et les services aux utilisateurs de l’application. Nous veillons à ce que les informations que nous traitons soient nécessaires et proportionnées. Lorsque des données personnelles, par exemple des adresses IP associées aux utilisateurs de l’application, sont fournies ou obtenues par nous mais ne sont pas requises, nous veillons à ce qu’elles soient rapidement effacées.

Principe d) : précision

Nous cherchons à nous assurer que toutes les données personnelles sont exactes et conservées. Comme les données personnelles ne sont détenues directement que sur le téléphone des utilisateurs de l’application, nous nous assurons que des systèmes sont en place pour permettre aux données d’être exactes et maintenues. Les données collectées auprès des utilisateurs de l’application et retournées aux utilisateurs de l’application, par exemple une mise à jour de leur statut, passent par des systèmes robustes pour garantir les résultats corrects et retournées aux utilisateurs corrects tout en préservant leur confidentialité avec nous et les autres utilisateurs de l’application.

Principe e) : limitation du stockage

Nous veillons à ce que les données personnelles conservées sur le téléphone des utilisateurs de l’application ne soient conservées que le temps nécessaire et que cette période soit alignée sur la politique gouvernementale et l’environnement scientifique le plus récent. Nos processus suppriment les identifiants et réduisent l’identification des données fournies au système central, l’ensemble de données analytiques. Nous définissons la conservation de ces données dans notre AIPD. Veuillez noter : D’autres éclaircissements sur le maintien en poste sont attendus à mesure que l’urgence de santé publique liée à la COVID-19 change.

Principe f) : intégrité et confidentialité (sécurité)

Nous conservons les données sur des systèmes sécurisés et travaillons pour assurer la sécurité de l’application sur les appareils, en collaboration avec Apple et Google. Nous effectuons des vérifications régulières et recevons un soutien, une supervision et des commentaires constructifs du NCSC et d’autres spécialistes de la cybersécurité et de la sécurité de l’information (CIS) au sein du programme et du DHSC. Nous veillons à ce que nos systèmes disposent de contrôles d’accès, de journaux d’audit et de surveillance appropriés. Tout le personnel est formé avant d’accéder à des données. Nous surveillons, examinons et mettons à jour régulièrement les problèmes et les risques de sécurité pour nous assurer que les mesures de protection sont robustes et s’améliorent avec les informations les plus récentes. Par exemple, avec des modifications apportées aux systèmes d’exploitation du téléphone qui pourraient avoir un impact sur l’application.

Politiques de conservation et d’effacement

Nos périodes de conservation sont référencées dans l’AIPD et nous nous conformons aux politiques plus larges de conservation et d’effacement du DHSC.

Pour les données conservées sur l’application :

• Codes de test liés à un résultat de test – 24 à 48 heures
• Codes quotidiens utilisés pour la recherche des contacts – 14 jours
• Détails des scans QR des enregistrements sur place – 21 jours

Pour l’ensemble de données analytiques, nous avons défini les deux périodes de conservation suivantes :

• demander des comptes aux organisations est détenu pendant 8 ans
• surveiller les maladies transmissibles, par exemple dans l’urgence de santé publique COVID-19, sont conservés pendant 5 ans (s’ils contiennent des données personnelles, ce qui n’est pas le cas dans ce cas) et 20 ans pour les données anonymes avant tout examen
  • Nous veillons à ce que l’infrastructure informatique sécurisée du DHSC ne traite que les données qui ont été anonymisées une fois qu’elles sont entrées dans l’infrastructure, à l’exception d’un code de test et des résultats de test qui sont détruits dans les 24 à 48 heures suivant la réception des résultats des tests.

Date d’examen de la DPA

Nous examinerons cette politique tous les 3 mois, ou lorsqu’il y aura un examen approfondi de notre AIPD, selon la première éventualité.

---

---

France médias numériques vous propose du contenu web 100% GRATUIT, et une info 100% LIBRE ! Pour rappel, France médias numériques ne bénéficie d’aucune subvention publique ou privée et vit grâce à ses lecteurs, abonnés, ou donateurs.