Knowledge is power

Be in the know when new articles are published

CRISE COVID-19 ET UTILISATION DES DONNÉES PERSONNELLES : recommandations de la CNIL

coronavirus

Dans le contexte de crise sanitaire lié au Covid-19, la CNIL est revenue rappeler quelques principes liés à la collecte des données personnelles pendant toute cette période.

Elle rappelle que si chacun doit mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect des mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, en particulier s’agissant de la collecte de données de santé.

Il convient de rappeler que l’employeur est responsable des traitements réalisés dans l’entreprise.

L’article 9 du RGPD (Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précise à cet égard que les données de santé sont des données sensibles dont le traitement est en principe interdit sauf exceptions.

La collecte des données de santé : quelles précautions ?

Un employeur peut-il mettre en place un contrôle des températures à l’entrée des locaux ou un questionnaire pour « détecter » les salariés potentiellement porteurs du virus et les renvoyer chez eux pour limiter la contamination et ainsi préserver la continuité de leur activité ?

Interrogée sur la légalité d’un tel dispositif d’urgence et même si l’employeur a l’objectif d’établir un plan de continuité de l’emploi (PCA), au regard des dispositions du RGPD en date du 6 mars 2019, la CNIL a souhaité rappeler dans une recommandation les principes suivants :

  • chacun étant responsable de sa santé et de celle des autres , les employés sont tenus de mettre en oeuvre tous les moyens nécessaires afin de préserver la santé et la sécurité d’autrui et de lui-même (limitation des déplacements, mesures d’hygiène…),
  • pour autant, les employeurs ne peuvent pas prendre de mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus,
  • ces données font, en effet, l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique.

L’employeur doit donc s’abstenir de collecter de manière systématique et généralisée des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches.

Ce qui est interdit :

Par exemple, selon la CNIL, il n’est pas possible de mettre en oeuvre :

  • un relevé obligatoire de température corporelle de chaque employé ou visiteur à adresser quotidiennement à sa hiérarchie,
  • une collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés ;

Ce qu’il est possible de faire :

Au contraire, la CNIL indique qu’il est possible de :

  • sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition,
  • faciliter les modes de travail à distance et encourager le recours à la médecine du travail,
  • faciliter leur transmission par la mise en place de canaux dédiés.

En pratique, que faire ?

  • ne pas réaliser de traitement dans la mesure de possible ou seulement de manière volontaire et anonyme,
  • encourager l’auto-diagnostique et l’auto déclaration en mettant un thermomètre à disposition de chacun des salariés ne pouvant faire de télétravail, pour un contrôle deux fois par jour de leur température,
  • faire intervenir des professionnels de santé (médecin, infirmière…) ; associer le CSE dans tous les cas aux mesures mises en place.

Que communiquer en cas d’infection ou de suspicion d’infection dans l’entreprise ?

Au sens des recommandations de la CNIL, ce n’est qu’en cas de signalement d’une exposition ou d’une contamination avérée que l’employeur peut consigner :

  • la date et l’identité de la personne suspectée d’avoir été exposée,
  • les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc…).

Ce traitement de données a pour seule finalité de communiquer aux autorités sanitaires, à leur demande, les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Ces informations et notamment l’identité des personnes contaminées ne peuvent donc en aucun cas être communiquées aux autres salariés du service ou de l’entreprise.

En synthèse, en cas de contamination ou de suspicion de contamination, l’employeur ne doit pas communiquer aux autres salariés l’identité de l’une ou des personnes contaminées ou susceptibles de l’être.

Attestation de déplacements dérogatoires : on télécharge l’attestation sur le site officiel du Gouvernement

La CNIL a également alerté sur les sites non officiels permettant de télécharger l’attestation de déplacement dérogatoire et le justificatif professionnel.

En effet, bon nombre de sites internet propose actuellement de télécharger les attestations « officielles » et même de les pré-remplir en ligne.

Ces sites récupèrent les données personnelles des internautes sans aucune garantie de sécurité dans la collecte et le traitement de ces dernières.

La CNIL recommande à cet égard de ne télécharger d’attestation et de justificatif que depuis le site officiel du Gouvernement.

Traitement du courrier et secret des correspondances

Comment gérer le courrier à destination des salariés absents (télétravail, arrêt de travail, activité partielle…) ?

Par principe, les salariés n’ont pas vocation à recevoir du courrier personnel dans l’entreprise, mais il n’est pas rare que cela arrive et soit même toléré.

De plus, il est possible qu’un courrier soit adressé à un salarié contre son gré.

En tout état de cause, le principe du secret des correspondances empêche l’employeur de prendre connaissance du contenu des courriers personnels, peu importe le support, papier ou électronique, dès lors qu’il est fait mention d’une restriction tenant à leur caractère personnel.

En cas de non-respect de cette règle, le contrevenant est passible de sanctions pénales.

Il convient toutefois de rappeler qu’il existe une présomption du caractère professionnel des correspondances reçues par le salarié sur son lieu de travail, laquelle ne peut être renversée que si ces correspondances sont identifiées comme personnelles.

A ce titre, le caractère personnel ne peut résulter :

  • de la seule mention sur l’enveloppe du nom et du prénom du salarié,
  • ou encore si le pli est arrivé sous une simple enveloppe commerciale démunie de toute mention relative à son caractère personnel.

En synthèse, les courriers estampillés comme étant personnel ou comportant une autre indication de leur caractère privé ne peuvent pas être ouverts, les autres courriers sont présumés professionnels et peuvent être ouverts en l’absence des salariés destinataires.

La gestion et le traitement du courrier peut donc utilement faire l’objet d’un point spécifique dans le Plan de Continuité de l’Activité.

L’utilisation par le Gouvernement des données personnelles des citoyens

Comment l’Etat a-t-il pu envoyer des SMS d’alerte sur les mesures de confinement ?

Bon nombre de Français ont reçu un SMS du Gouvernement sur leur téléphone portable dans les jours suivants l’allocution présidentielle du 16 mars dernier, leur indiquant que des mesures strictes de confinement avaient été prises par l’Etat pour limiter la propagation du virus.

Pour rappel, l’article 6 du RGPD prévoit la licéité des traitements de données personnelles n’ayant pas reçu le consentement de la personne concernée notamment si « le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique » ou encore « si le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».

Pour autant, l’article L. 33-1 du Code des postes et des communications électroniques prévoit que le Gouvernement a la possibilité de solliciter les opérateurs téléphoniques pour permettre « l’acheminement des communications des pouvoirs publics destinées au public pour l’avertir de dangers imminents ou atténuer les effets de catastrophes majeures ».

C’est donc en application de ces dispositions que le Gouvernement a sollicité l’ensemble des opérateurs télécom (Orange, Free, SFR…) pour relayer par SMS cette communication officielle, sans toutefois que ces dernières partagent les numéros de téléphones portables de leurs abonnés avec le Gouvernement.

 

Share this article

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on email
Email
Share on whatsapp
WhatsApp

Sign up to our newsletter

Thank you!

Skip to content