L’autorité de protection des données de Belgique a imposé une amende à deux aéroports de Bruxelles pour avoir effectué des contrôles de température, ce qui constitue une donnée personnelle médicale, avec des caméras thermiques pendant la pandémie de COVID-19 sans « base légale valable ».
L’autorité de protection des données de Belgique a imposé le 4 avril une amende à deux des trois aéroports de Bruxelles pour avoir manié des données personnelles médicales sans en avoir le droit.
Le Brussels Airport Zaventem a reçu une amende de 200 000 euros et le Brussels South Charleroi de 100,000 euros. Pendant la lutte contre le COVID-19, les aéroports ont contrôlé la température corporelle des passagers. Ils ont démarré en juin 2020 lorsque les voyages non essentiels ont repris et cela a duré jusqu’en mars 2021 à Charleroi et janvier 2021 à Zaventeem.
Mais pour l’autorité de protection des données, les aéroports « manquaient d’une base légale valable pour traiter des données liées à la température des voyageurs, et ce en particulier vu qu’il s’agit de données de santé ».
Ils utilisaient des caméras thermiques pour filtrer les personnes avec une température supérieure à 38°C. À Zaventeem, ces personnes recevaient ensuite un questionnaire sur de possibles symptômes liés au COVID-19. L’entreprise qui effectuait ce second contrôle, Ambuce Rescue Team, a reçu une amende de 20 000 euros.
En 2021, l’autorité de protection des données avait émis une note indiquant que la température corporelle était une donnée personnelle, d’autant plus sensible qu’il s’agissait d’une donnée personnelle de santé. Ces données sont ainsi protégées par le règlement général sur la protection des données.
L’autorité a estimé qu’il n’y avait pas de motifs de santé publique ou d’intérêt public important pour que ces traitements aient lieu, justifications qui auraient autrement permis un traitement exceptionnel des données personnelles de santé.
Par ailleurs, les informations communiquées aux voyageurs étaient insuffisantes et la sécurité des données n’était pas correctement assurée, selon l’organisme de contrôle.
« Mieux vaut prévenir que guérir est un principe qui a également toute son importance dans le domaine de la protection des données », a déclaré David Stevens, président de l’APD.
Pour Hielke Hijmans, le président de la Chambre Contentieuse qui a défini l’amende, « nous entendons bien que les entreprises ont été touchées de plein fouet par la pandémie, et qu’elles ont dû mettre en place dans l’urgence des mesures encore jamais vues auparavant. Cependant, les règles en matière de vie privée sont une protection essentielle pour les droits et libertés des personnes, et doivent donc être respectées. »
Selon l’agence de presse Belga, la direction de Brussels Airport est « particulièrement déçue » par cette décision. Pour l’aéroport, les instructions ont été données par le Service public fédéral Mobilité et Transports. Les deux aéroports ont déclaré qu’ils avaient traité les données avec soin et qu’ils avaient même contacté l’ADP pour collaborer, mais qu’ils avaient reçu des fins de non-recevoir.
Les aéroports, et Ambue Rescue Team, peuvent déposer un recours contre les amendes auprès de la Cour des marchés.