Il était une fois, une collectivité dans le tumulte de la crise COVID qui par défaut de sécurité cumulé à des erreurs humaines l’a amenée à être en faute au niveau du RGPD dans le cadre du contrôle du pass sanitaire.
Bon point pour la collectivité, tout commence par une requête de la commune elle-même en juillet 2021, au Service DPO du SICTIAM pour connaître les bonnes pratiques afin d’effectuer le contrôle du pass sanitaire lors des manifestations sur la commune, par des agents de la ville. Une de nos préconisations était : « Pour des questions de sécurité, nous vous invitons à utiliser uniquement des téléphones professionnels. ».
Quelques mois plus tard, lors d’un concert dans une salle municipale, des agents de la commune étaient en charge du contrôle du pass sanitaire. Par manque de temps et de moyens, la collectivité a demandé aux agents d’utiliser leurs téléphones personnels et ce, sans sensibilisation particulière au sujet de l’application.
C’est ainsi que le défaut de conformité RGPD s’est produit. En effet, un agent confondant par ignorance, l’application TousAnticovid et l’application TAC vérif, (l’application TousAnticovid permet d’enregistrer son QR code personnel sur son téléphone, l’application TAC Verif permet d’effectuer des contrôles de pass sanitaire sans aucun enregistrement de données personnelles) à cumuler, sans s’en rendre compte, une trentaine de QR code des personnes dans la mémoire de son téléphone.
Ce n’est que quelques jours après qu’elle contacte d’elle-même le service informatique de la mairie pour effacer ❌ ces QR code de son téléphone, ce qui prouve que son action n’était pas intentionnelle et était juste le résultat d’un manque de formation.
📱 Les données illicites ont été effacées du téléphone de l’agent.
🟢 En conclusion, c’est un manquement RGPD puisqu’il y a eu récolte de données personnelles de santé sans le consentement des personnes et l’agent aurait pu être sanctionné pour détention frauduleuse de plusieurs pass sanitaire et être l’objet d’une amende de plusieurs centaines d’euros.
👉 Moralité, même si l’histoire se termine bien, certaines décisions qui semblent anodines peuvent avoir des répercussions graves sur les données personnelles des administrés.
💻 L’équipe DPO du SICTIAM a pour mission de vous accompagner et de vous aider concrètement à respecter le RGPD, n’hésitez donc pas à suivre ses conseils.