COVID-19 : La CNIL rappelle aux employeurs les règles sur la collecte de données personnelles, notamment de santé des salariés

Nov 25, 2020RGPD

}

Temps de lecture : 9 minutes

Dans le contexte de la crise sanitaire liée au coronavirus (COVID-19), la CNIL a reçu de nombreuses sollicitations de la part de professionnels s’interrogeant sur les mesures à mettre en œuvre aux fins de limiter la propagation du virus et d’assurer en toute sécurité la reprise de l’activité, ainsi que sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées.

Ces professionnels s’interrogent notamment sur les possibilités de collecter, en dehors de toute prise en charge médicale, des données concernant des employés, agents ou visiteurs afin de déterminer si des personnes présentent des symptômes du COVID-19.

Le 23 septembre dernier, la CNIL, qui avait déjà apporté des précisions au printemps 2020, rappelle certains principes et ajoute quelques recommandations, notamment pour les tests.

1- L’obligation de sécurité :

Tout d’abord, la CNIL revient sur l’obligation de sécurité des employeurs et des employés ou agents et rappelle que :

S’agissant de l’obligation de sécurité des employeurs :

Conformément aux dispositions du code du travail, les employeurs sont responsables de la santé et de la sécurité de leurs employés/agents. A cet égard, la CNIL invite les employeurs à consulter régulièrement les informations mises en ligne par le ministère du Travail, afin de connaître leurs obligations en cette période de crise.

La CNIL rappelle, également, que conformément au RGPD, les employeurs ont le droit de traiter des données personnelles lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales. Et que dans ce contexte, l’employeur est notamment légitime :

  • À rappeler à ses employés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination, auprès de lui ou des autorités sanitaires compétentes, aux seules fins de lui permettre d’adapter les conditions de travail ;
    • À faciliter leur transmission par la mise en place, au besoin, de canaux dédiés et sécurisés ;
    • À favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

S’agissant de l’obligation de sécurité des employés/agents :

Conformément au code du travail, chaque employé/agent doit veiller à préserver sa propre santé/sécurité mais également celles des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle.

La CNIL rappelle qu’en temps normal lorsqu’un employé est malade, il ne doit communiquer à son employeur que l’éventuel arrêt de maladie dont il pourrait bénéficier, sans qu’aucune autre précision sur son état de santé ou la nature de la pathologie ne soit transmise. Cependant, dans un contexte de pandémie telle que celle du COVID-19, un employé qui travaille au contact d’autres personnes (collègues et public) doit, à chaque fois qu’il a pu exposer une partie de ses collègues au virus, informer son employeur en cas de contamination ou de suspicion de contamination au virus.

La CNIL précise qu’en revanche, un employé qui serait placé en télétravail ou qui travaillerait de manière isolée sans contact avec ses collègues ou du public n’a pas à faire remonter cette information à son employeur.

2- Le traitement par les employeurs des signalements :

La CNIL indique que les employeurs ne sauraient traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales et conventionnelles, c’est-à-dire nécessaires pour prendre des mesures organisationnelles (mise en télétravail, orientation vers le médecin du travail, etc.), de formation et d’information, ainsi que certaines actions de prévention des risques professionnels.

Elle précise que seuls peuvent être traités par l’employeur les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou suspectée de l’être, ainsi que les mesures organisationnelles prises.

En cas de besoin, l’employeur sera en mesure de communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

La CNIL rappelle qu’en tout état de cause, l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres employés.

3- Rappel sur les traitements de données relatives à la santé et le champ d’application du RGPD :

La CNIL précise que s’il appartient à chacun de mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et des réunions ou encore le respect des mesures d’hygiène et des « gestes barrières », les employeurs ne sauraient prendre de mesures susceptibles de porter une atteinte disproportionnée à la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus aux fins de protéger les employés et le public.

La CNIL ajoute qu’en raison du caractère sensible qu’elles revêtent, les données relatives à l’état de santé d’une personne font l’objet d’une protection juridique toute particulière : elles sont en principe interdites de traitement.

La CNIL rappelle que pour pouvoir être traitées, leur utilisation doit nécessairement s’inscrire dans l’une des exceptions prévues par le RGPD. De plus, leur sensibilité justifie qu’elles soient traitées dans des conditions très fortes de sécurité et de confidentialité et uniquement par ceux qui sont habilités à le faire.

La CNIL précise que les exceptions mobilisables dans le contexte du travail sont limitées et peuvent globalement relever soit de :

  • La nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale : c’est le cas du traitement des signalements par les employés ;
  • La nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation (sanitaire) de la capacité de travail du travailleur, de diagnostics médicaux etc.

La CNIL ajoute que pour ces raisons, les employeurs qui voudraient initier d’éventuelles démarches visant à s’assurer de l’état de santé de leurs employés doivent s’appuyer sur les services de santé au travail dont c’est la compétence et qui sont au cœur de la gestion de la crise sanitaire.

Ils ne peuvent eux-mêmes mettre en place des fichiers relatifs à la température corporelle de leurs employés ou à certaines pathologies (les « comorbidités ») susceptibles de constituer des troubles aggravants en cas d’infection au COVID-19.

4- Le point sur certaines pratiques :

Quel que soit le dispositif utilisé ou le traitement de données mis en œuvre, la CNIL rappelle l’importance d’assurer une parfaite transparence à l’égard des personnes concernées.

S’agissant des relevés de température à l’entrée des locaux :

La CNIL énonce qu’en l’état du droit, et sauf à ce qu’un texte en prévoit expressément la possibilité, il est interdit aux employeurs de :

  • Constituer des fichiers conservant des données de températures de leurs salariés ;
  • Mettre en place des outils de captation automatique de température (telles que des caméras thermiques).

Les prises manuelles de température à l’entrée d’un site et sans constitution d’un fichier ni remontée d’information ne sont en revanche pas soumises à la règlementation sur la protection des données personnelles.

Dans une démarche de prévention des contaminations visant à écarter du milieu de travail des employés qui auraient de la fièvre, certains employeurs souhaitent mettre en place un contrôle systématique de la température des employés et visiteurs à l’entrée de leurs locaux.

Sur ce point, la CNIL précise que, bien qu’il ne lui appartienne pas d’apprécier la légalité au regard du droit social de ce qu’un employeur peut imposer à ses employés ni de ce qui relève d’une éventuelle discrimination, elle relève que l’efficacité et l’opportunité de la prise de température est contestée dans la mesure où elle n’est pas un symptôme systématique du COVID-19, ou peut témoigner d’une autre infection. Elle constate à cet égard que le Haut Conseil de la Santé Publique recommande de ne pas mettre en place un dépistage du COVID-19 par prise de température dans la population.

La CNIL rappelle que, lorsqu’elle fait l’objet d’un traitement, la température corporelle d’un individu constitue une donnée sensible relative à sa santé, justifiant qu’elle fasse l’objet d’une protection particulière.

La réalisation de tests sérologiques et de questionnaires sur l’état de santé :

Certains employeurs expriment le souhait, dans une logique de protection de leurs employés ou agents, de pouvoir apprécier leur exposition au virus ou leur état de santé au moment de la reprise du travail.

La CNIL relève tout d’abord que selon la direction générale du travail, « les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées ».

Et ajoute que seuls les personnels de santé compétents (notamment la médecine du travail) peuvent collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des employés/agents contenant des données relatives à leur état de santé ou des informations relatives notamment à leur situation familiale, leurs conditions de vie ou encore, leurs éventuels déplacements. 

Il en va de même pour les tests médicaux, sérologiques ou de dépistage du COVID-19 dont les résultats sont soumis au secret médical : l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé. Il ne pourra alors traiter que cette seule information.

Les plans de continuité de l’activité ou « PCA »

Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité ». Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service. Il est alors possible de créer un fichier nominatif pour l’élaboration et la tenue du plan qui ne doit contenir que les données nécessaires à la réalisation de cet objectif.

La CNIL rappelle que l’employeur doit veiller à assurer en toute hypothèse la sécurité et la confidentialité des données qu’il traite.

La réorganisation du travail, notamment via des solutions logicielles

De nombreux projets sont développés dans l’optique de limiter la propagation du virus et de protéger la santé des individus. Le déploiement de solutions logicielles est ainsi envisagé pour faciliter la gestion par les employeurs de la crise sanitaire.

La CNIL rappelle les points suivants :

  • L’employeur est responsable de la santé et de la sécurité de ses salariés et doit prendre des mesures de protection collective.

Si l’employeur a une obligation de moyens renforcée, celle-ci est néanmoins circonscrite à l’élaboration de mesures de prévention. Ainsi, il appartient uniquement à l’employeur de prendre des mesures de protection collective (ex : rappel des mesures barrières et de la distanciation sociale, fourniture des équipements de protection individuelle, de solution hydro alcoolique, etc.), des mesures de protection liées à aux signalements qui lui sont adressés, ainsi que de relayer les messages des autorités sanitaires.

La CNIL rappelle qu’il n’est donc pas possible pour l’employeur d’établir un diagnostic, une analyse de la vulnérabilité ou toute autre analyse médicale.

  • L’employeur n’a pas à organiser la collecte de données de santé de l’ensemble des salariés.

La seule situation qui suppose pour l’employeur de prendre des mesures individuelles est le signalement effectué par le salarié lui-même lorsque ce dernier a pu être exposé ou exposer une partie de ses collègues ou du public au virus. Dans cette situation, l’employeur est notamment amené à définir une mesure individuelle (ex : télétravail) pendant une courte période, le temps que le salarié concerné prenne contact avec un professionnel de santé, seul en mesure d’agir et de prescrire ou de renouveler un arrêt de travail.

Par conséquent, l’employeur n’a pas à systématiser seul l’évaluation du niveau de risque individuel d’exposition au virus COVID-19 de chacun de ses salariés.

  • Seul le service de santé au travail peut proposer des conditions individualisées de travail

La CNIL précise que l’employeur qui souhaiterait aller au-delà de ses obligations en s’assurant de l’état de santé de ses salariés pour mettre en place des conditions individualisées de travail doit nécessairement s’appuyer sur le service de santé au travail, seul compétent en la matière.

Tout dispositif de représentation de la vulnérabilité ou du risque d’exposition d’un salarié au COVID-19 est une donnée de santé à caractère personnel : seul le service de santé au travail peut collecter ou accéder à une telle donnée.

De surcroît, il appartient au médecin du travail de proposer des mesures individuelles d’aménagement, d’adaptation ou de transformation du poste de travail ou du temps de travail justifiées par des considérations relatives notamment à l’âge ou à l’état de santé physique ou mental du travailleur (article L. 4624-3 du Code du travail). Seule la nature des mesures préconisées a vocation à être transmise à l’employeur.

Le rôle de l’employeur consiste alors à appliquer ces mesures.

Les demandes et recommandations des autorités sanitaires

Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation, dans les limites de leurs compétences respectives. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.

Sur toutes ces questions le Cabinet ACCENS est en mesure de vous accompagner.

Ces articles pourraient vous intéresser