COVID – 19 : Employeurs, attention à la collecte et l’utilisation des données de santé des salariés en dehors de toute prise en charge médicale.

Afin de préparer au mieux la reprise d’activité inhérente à la phase de « déconfinement », la CNIL entend rappeler certains principes aux entreprises eu égard à l’utilisation des données personnelles.

SOURCE : Article de la CNIL du 7 mai 2020

 

La crise sanitaire actuelle a quelque peu bouleversé le monde du travail et son organisation.

 

Le maintien et/ou la reprise de l’activité n’est pas sans difficulté pour les entreprises qui sont responsables de la santé et de la sécurité de leurs employés et doivent donc les préserver des risques de propagation du virus sur le lieu de travail.

 

Se pose alors la question des mesures que l’employeur peut prendre pour assurer la sécurité de ses salariés au regard du droit au respect de la vie privé.

 

La CNIL a dès le mois de mars, souligné que les données de santé étaient protégées tant par le RGPD que par le Code de santé publique, de sorte que si l’on pouvait constater dans certains pays d’Asie des contrôles systématiques et automatiques de températures dans les transports en commun, avant d’entrer dans un magasin ou dans une entreprise, une telle pratique se saurait prospérer en Europe car contraire aux normes européennes.

 

Le Comité européen de la protection des données (CEPD) a adopté, le 19 mars 2020, une déclaration relative aux traitements de données personnelles dans le cadre de la pandémie de COVID, rappelant que même dans ces circonstances exceptionnelles, le responsable du traitement doit :

 

  Garantir la protection des données des personnes concernées ;

 

  Être guidé par les grands principes liés à la collecte de données personnelles fixés par le RGPD.

 

Si l’urgence lié à l’état d’urgence sanitaire, permet de légitimer des traitements ayant pour effet de restreindre certaines libertés, ces restrictions doivent nécessairement intervenir dans le respect de la législation et doivent être proportionnées et limités dans le temps.

 

I – Principes relatifs à la mise en œuvre du traitement des données

 

I – 1. Déterminer la base légale

 

Pour être licite, un traitement de données personnelles doit être fondé sur une des bases légales listées à l’article 6 du RGPD.

 

Par principe, les traitements des données sensibles, comme les données de santé sont prohibés, le Règlement permet toutefois des exceptions.

 

Les exceptions mobilisables dans le contexte du travail sont limitées et peuvent globalement relever soit de :

 

  La nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale : c’est le cas du traitement des signalements par les employés (cf. infra) ;

 

  La nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation (sanitaire) de la capacité de travail du travailleur, de diagnostics médicaux etc.

 

Ainsi, les employeurs ne sauraient prendre de mesures susceptibles de porter une atteinte disproportionnée à la vie privée[1] des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus aux fins de protéger les employés et le public.

 

I – 2. Garantir les données collectées

 

  Le principe de finalité : le traitement mis en œuvre doit répondre à une finalité explicite et déterminée ;

 

  Le principe de transparence : les personnes concernées par le traitement doivent être informées du traitement, notamment de la durée de conservation des données et de sa finalité ;

 

  Le principe de sécurité et de confidentialité : le responsable de traitements se doit de prendre toutes les mesures nécessaires pour garantir la sécurité et la confidentialité des données qu’il traite. Toutes ces mesures se doivent d’être documentées, notamment par la mise en place de politiques appropriées ;

 

  Le principe d’une conservation des données limitée à la finalité : si des traitements peuvent être mis en œuvre pour faire face à l’urgence liée à la pandémie, ces traitements doivent être limités dans le temps et les données supprimées ou anonymisées à l’issue de la crise sanitaire ;

 

  Le principe de proportionnalité et de minimisation des données : tout traitement mis en œuvre, en particulier s’il fait appel à des données de géolocalisation doit être proportionné à la finalité qu’il poursuit.Le CEPD rappelle que les solutions les moins intrusives possible doivent être privilégiées et qu’il convient de collecter le minimum de données possible au regard de la finalité.

 

II – L’adaptation des conditions de travail

 

L’employeur doit de mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, ainsi qu’une organisation du travail et des moyens adaptés aux conditions de travail, afin d’assurer la santé et la sécurité de ces employés.

 

II – 1. L’obligation d’information

 

L’employeur est légitime à rappeler à ses employés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination.

 

Cette obligation pouvant être délivrée soit directement à l’employeur, soit au médecin du travail.

 

En effet, le salarié doit[2] prendre soin de sa santé et de sa sécurité ainsi que de celles des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle, de sorte qu’il doit informer son employeur en cas de contamination ou de suspicion de contamination au virus.

 

Il est recommandé de communiquer largement sur le sujet auprès des salariés de l’entreprise, afin que tous ceux qui estiment que leur état de santé (personnes vulnérables) entraîne un risque plus important face au Covid-19 se rapprochent de leur médecin traitant, ou du médecin du travail.

 

II – 2. La vérification de l’état de santé du salarié

 

La CNIL procède à un rappel important, indiquant que la règlementation susvisée ne concerne que le traitement automatisé ou permettant la constitution de fichier.

 

Dès lors, la seule vérification de la température au moyen d’un thermomètre manuel à l’entrée d’un site, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée (tels que des relevés de ces températures, des remontées d’informations, etc.), ne relève pas de la règlementation en matière de protection des données.

 

Le Comité Social et Economique devra par ailleurs être consulté[3], l’instauration d’un tel dispositif, constituant une modification importante de l’organisation du travail.

 

L’entreprise ne peut pas en revanche interroger ses salariés sur une potentielle contamination et rechercher d'éventuels symptômes chez un employé et ses proches, il faut le questionnaire sur l’état de santé.

 

L’employeur doit donc avoir recours aux services de la médicine du travail pour s’assurer de l’état de santé de leurs employés.

 

Le médecin du travail est le seul habilité, à évaluer l’aptitude physique ou mentale du salarié à exercer ses fonctions et demeure soumis au secret médical.

 

II – 3. L’obligation de discrétion et la gestion des signalements

 

Les employeurs ne peuvent révéler les noms de leurs collaborateurs infectés, cette donnée de nature médicale qui pourrait être portée à la connaissance de l’employeur à l’initiative du salarié ou d’un membre de sa famille, doit demeurer confidentielle.

 

La dignité et l’intégrité des personnes doivent être protégées.

 

Les employeurs ne sauraient ainsi traiter que les données strictement nécessaires pour prendre des mesures organisationnelles (mise en télétravail, orientation vers le médecin du travail, etc.), de formation et d’information, ainsi que certaines actions de prévention des risques professionnels.

 

La CNIL recommande donc de traiter uniquement les éléments liés à la date, à l’identité de la personne et au fait qu’elle ait indiqué être contaminé ou suspecté de l’être.

 

Ces données qui ne concernent nullement l’état de santé du salarié pourront ainsi être communiquées au besoin aux autorités compétentes.

 

[1] Article L. 1121-1 du Code du travail

 

[2] Article L. 4122-1 du Code du travail

 

[3] Article L. 2312-8 du Code du travail