Deux aéroports belges devront payer des amendes plutôt salées. Et ce, pour avoir effectué des contrôles de température par caméras thermiques pendant la pandémie. L’Autorité de protection des données (APD) a imposé une amende à Brussels Airport Zaventem et à l’aéroport Brussels South Charleroi. Les aéroports devront payer 200.000 euros et de 100.000 euros respectivement. En cause ? Les contrôles de température des passagers effectués dans le cadre de la lutte contre le COVID-19. Selon l’APD, ces aéroports ne disposaient pas d’une base légale valable pour traiter ces données de santé des voyageurs. Enquête et première prise de contact Pour rappel, l’APD est “un organe de contrôle indépendant chargé de veiller au respect des principes fondamentaux de la protection des données à caractère personnel”. Il est, depuis le 25 mai 2018, le successeur de la Commission de la protection de la vie privée. Il applique surtout le Règlement Général sur la Protection des Données (RGPD), qui est la principale référence juridique en matière de données à caractère personnel dans les états membres de l’Union Européenne (UE). En 2020, l’organe de contrôle a donc pris contact avec Brussels Airport. Et ce, afin de comprendre la technologie utilisée par l’aéroport et l’organisation du second contrôle de température. Mais, surtout, pour identifier la base légale sur laquelle reposait ce système de filtrage des voyageurs sur la base de leur température. Une prise de température suspecte Tout commence donc 2020, lorsque des reportages traitent des contrôles de température effectués à Brussels Airport. À ce moment-là, il n’existait pas de base légale autorisant la prise de température des voyageurs qui souhaitaient accéder aux locaux de l’aéroport au moyen de technologies numériques avancées. En réaction, l’Autorité de protection des données a décidé de prendre contact avec l’aéroport “pour mieux comprendre le système mis en place et le raisonnement juridique sur lequel il repose”. “La prise de température d’une personne au moyen de technologies numériques avancées est un ‘traitement’ au sens du RGPD”, indiquait l’autorité. En clair, un traitement déroge au règlement dès que les personnes concernées par celui-ci sont identifiables. Que cela soit via une lecture de leur carte d’embarquement ou d’identité, une prise de vue par une caméra, ou encore, dès qu’elles font l’objet d’un filtrage à l’entrée. “Or, le RGPD interdit en principe le traitement des données de santé, sauf dans un nombre très restreint d’exceptions. La liste de ces exceptions se trouve à l’article 9.2 du RGPD”, conclut l’autorité. La particularité des données de santé Considérées comme sensibles, les données de santé doivent être traitées avec des pincettes. En bref, dans la plupart des cas, celles-ci ne peuvent pas être traitées. Et ce, sauf dans un nombre très limité d’exceptions listées à l’article 9.2 du RGPD. Considérant ces exceptions, les aéroports pouvaient traiter ces informations seulement pour des motifs de santé publique ou d’intérêt public importants. Mais à condition qu’ils se basent sur “une norme de droit claire, précise et dont l’application est prévisible pour les personnes concernées”. Ce qui n’était pas le cas pour les contrôles de température effectués par les aéroports qui ne reposaient que sur un protocole. Bilan : pas de base légale Dans les deux aéroports, des caméras thermiques permettaient de filtrer des personnes ayant plus de 38 degrés de température, relate l’APD. “À Zaventem, ces personnes se voyaient ensuite soumettre un questionnaire sur de possibles symptômes liés au coronavirus”, ajoute-t-elle. L’entreprise Ambuce Rescue Team supervisait ce second contrôle. Les contrôles de température en question ont eu lieu de juin 2020 à mars 2021 dans le cas de l’aéroport de Charleroi, et de juin 2020 à janvier 2021 à l’aéroport de Zaventem. Pour préciser sa position et établir sa décision, l’organe s’est basé sur le rapport du Service d’Inspection. Son constat est clair, “les aéroports manquaient d’une base légale valable pour traiter des données liées à la température des voyageurs, et ce en particulier vu qu’il s’agit de données de santé”. Les sanctions Suite à ces conclusions, la Chambre Contentieuse a décidé d’infliger 200.000 euros d’amende à Brussels Airport Zaventem et 100.000 euros d’amende à Brussels South Charleroi Airport. Sans oublié Ambuce Rescue Team qui devra payer 20.000 euros d’amende. “Cette décision met en exergue l’importance de réaliser une analyse d’impact de manière rigoureuse et complète, et ce avant de mettre en place un traitement de données susceptible d’engendrer un risque pour les individus” indique David Stevens, le président de l’APD dans le communiqué. Il ajoute, “mieux vaut prévenir que guérir est un principe qui a également toute son importance dans le domaine de la protection des données”. À noter que les trois accusés peuvent déposer un recours contre cette décision auprès de la Cour des marchés. Une décision prévisible Au début de la crise, l’APD avait justement publié un document informant les organisations sur les règles applicables aux traitements de données effectués dans le cadre de la crise Covid-19. Celui-ci prônait quatre règles d’or. Tout d’abord, les responsables du traitement devaient respecter toute une série d’obligations en vertu du RGPD. Par exemple, le fait d’assurer la transparence vis-à-vis des personnes concernées. Aussi, ils devaient, “éventuellement” réaliser une analyse d’impact relative à la protection des données et, surtout, disposer d’une base légale appropriée pour procéder au traitement. Enfin, le procédé devait garantir la sécurité des données.