DONNÉES PERSONNELLES ET COVID-19

Le Premier ministre a précisé dans son allocution du 28 avril dernier que le déconfinement se fera progressivement à compter du 11 mai 2020.

Dès lors, le retour au travail nécessite une vigilance accrue de la part de l’employeur, une organisation propre à la crise sanitaire actuelle et une adaptation des conditions de travail au cas par cas.

L’employeur est en effet tenu d’une obligation de moyens renforcée de prendre des mesures nécessaires pour assurer la sécurité et la santé physique et mentale des salariés.

Ainsi, pour tenter de sécuriser au maximum son en­treprise, l’employeur peut être amené à élargir et généraliser la collecte des données personnelles de ses salariés.

Ces données sont susceptibles d’être des données de santé, données considérées comme sensibles, dont le régime est restrictif puisque le principe est qu’il est interdit de recueillir et d’utiliser de telles données sauf dans les cas énumérés à l’article 9 du Règlement 2016/279 (« RGPD »), notamment :

• si la personne concernée a donné son consente­ment exprès (libre et éclairé),
• si ces données sont nécessaires dans un but médical ou pour la recherche dans le domaine de la santé,
• si leur utilisation est justifiée par l’exécution d’une mission d’intérêt public et autorisé par la CNIL.

Dans le cadre d’une relation de travail, le consentement est très rarement considéré comme étant libre compte tenu du lien de subordination qui découle de la relation entre l’employeur et le salarié.

Il est donc difficile de se fonder sur cette base légale pour justifier la collecte.

Toutefois, les données de santé peuvent être collectées par l’employeur dans les deux hypothèses précédemment évoquées.

Il est important pour l’employeur de mettre en ba­lance sécurité et respect de la vie privée du salarié.

Réciproquement, le salarié doit coopérer avec son employeur et a des obligations à ce titre.

La CNIL a diffusé, le 6 mars dernier, des recommandations et a rappelé les bonnes pratiques à respecter en matière de protection des données personnelles dans ce contexte de crise sanitaire.

Respect du principe de proportionnalité et de pertinence des données

En déterminant les données qu’il va collecter, l’employeur doit respecter le principe de proportionnalité et de pertinence des données prévu par le RGPD qui consiste à ne collecter que les données personnelles pertinentes et strictement nécessaires à la finalité du traitement.

De ce fait, la collecte de données de salariés par un employeur, dans le cadre du Covid19, doit être ciblée et ne peut pas être l’occasion d’en connaître davantage sur la vie du salarié et de son entourage (habitudes de vie, recours aux transports en commun, questions personnelles sur l’entourage).

Interdiction de traitement généralisé

En organisant le retour des salariés sur leur lieu de travail et pour sécuriser au mieux la reprise du travail, l’employeur pourrait se sentir obligé de mettre en place des campagnes généralisées.

Ces traitements généralisés peuvent notamment être :

• de simples questionnaires (visant notamment à savoir s’ils ont été malades du Covid 19 ou non, ainsi que leur entourage),
• des contrôles de température dès l’arrivée du sala­rié dans les locaux,
• voire même, lorsque ce sera possible, des dépis­tages fréquents.

Or, dans ses recommandations du 6 mars dernier, la CNIL rappelle que les « employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches » et donne des exemples de ce qui est interdit tels que

• « les relevés obligatoires des températures corpo­relles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie,
• ou encore, la collecte de fiches ou questionnaires mé­dicaux auprès de l’ensemble des employés/agents ».

Ainsi, en application des principes de la protection des données personnelles, tels qu’ils ont été très explicitement repris par la CNIL, l’employeur ne peut pas procéder à de tels traitements généralisés des données collectées.

En suivant la même logique, les employeurs ne pourraient pas imposer à leurs salariés de télécharger et d’utiliser l’application Stop Covid si celle-ci était mise en place (a priori elle serait basée sur le volontariat des utilisateurs) et ne pourraient pas non plus exiger une communication systématique du conte­nu du « tracking » permis par cette application.

Dans sa délibération du 24 avril 2020 relative à cette application, la CNIL a d’ailleurs confirmé cette position en précisant que les employeurs ne « devraient pas subordonner certains droits ou accès à l’utilisation de cette application ».

Traitement au cas par cas par l’employeur

L’employeur ne pouvant adopter de politique générale concernant le traitement des données des salariés, il devra procéder à un traitement au cas par cas.

Dans sa recommandation du 6 mars dernier, la CNIL indique qu’en cas de suspicion de contact avec le virus, l’employeur peut collecter certaines informa­tions comme : l’identité de la personne susceptible d’avoir été exposée ainsi que la date du signalement (et éventuellement la date des premiers symptômes).

Une telle collecte devra être renseignée dans le registre des activités de traitement de la société.

Dans une telle situation, l’employeur devra mettre en place des mesures organisationnelles concernant le salarié concerné (mise en place du télétravail si possible, arrêt de travail prescrit par le médecin du salarié), et documenter ces mesures.

Les informations de santé étant particulièrement sensibles, il est nécessaire que l’employeur redouble de vigilance en termes de sécurité notamment en :

• sécurisant au mieux possible ses infrastructures et en particulier les serveurs sur lesquels ces données seront stockées et en renforçant ses outils de sécurité informatiques, notamment la traçabilité de l’accès aux données,
• définissant une liste très restreinte des personnes habilitées à traiter ces données,
• en arrêtant une politique stricte de conservation des données collectées dans ce contexte et en s’assurant de leur destruction dès que la finalité sera atteinte.

Obligations à la charge du salarié

Le salarié se doit de respecter les consignes sanitaires données par son employeur.

De plus, en vertu de l’article L.4122-1 du Code du travail, « il incombe à chaque travailleur de prendre soin, en fonction de sa formation et selon ses possibilités, de sa santé et de sa sécurité ainsi que de celles des autres personnes concernées par ses actes ou ses omissions au travail » dont il peut se déduire que le salarié doit prévenir son employeur en cas d’infection présumée au Covid-19.

Cette information est nécessaire à la fois pour préserver la propre santé de l’employé mais également pour préserver la sécurité d’autrui.

L’information du salarié sur son état de santé per­mettra également à l’employeur, à son tour, de relayer l’information afin que tout salarié soit vigilant à l’apparition d’éventuels symptômes.

Cette information auprès des autres salariés se fera de manière anonyme afin de préserver l’identité du malade.

Le maître mot pour l’employeur est le respect de l’identité du salarié qui se signale et la confidentia­lité des échanges.

De façon générale, la situation et les recommandations évoluant sans cesse et très rapidement, il convient de se tenir informé régulièrement des dernières avancées, y compris des recommandations de la CNIL qui sont susceptibles d’évoluer.

Dispositions permettant le traitement des données personnelles sans le consentement de la personne concernée

• Le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits spécifiques de l’opérateur ou de la personne concernée dans les domaines de l’emploi, de la sécurité sociale et de la protection sociale
• Le traitement est nécessaire pour des raisons d’intérêt public supérieur
• Le traitement est nécessaire à des fins liées à la médecine préventive où au travail, à l’évaluation de la capacité de l’employé à travailler, à l’établissement d’un diagnostic médical, à la prestation de soins médicaux ou sociaux ou à un traitement médical
• Le traitement est nécessaire pour des raisons d’intérêt public dans le domaine de la santé publique, telles que la protection contre les menaces transfrontières graves pour la santé ou la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux;