Protection des données personnelles

Covid-19 : Conciliation de l’obligation de sécurité de l’employeur et des obligations en matière de protection des données personnelles

 

   Télécharger les recommandations en PDF   

 

Rappel sur l'obligation de sécurité de l'employeur et du salarié

L'employeur a une obligation de sécurité vis-à-vis de l'ensemble de ses salariés, c'est-à-dire, dans le cadre d'une menace d'épidémie, qu'il doit mettre en œuvre toutes les mesures nécessaires afin d'éviter une contamination et donc éloigner les salariés à risque.

 

  • Cependant, l'employeur ne peut pas demander à l'un de ses salariés de ne pas venir travailler en raison d'une simple suspicion de contamination. Dans ce cas, il pourrait être accusé de discrimination en raison de l'état de santé.

Les salariés ne restent pas moins responsables de leurs actes vis-à-vis notamment d'eux-mêmes et de leurs collaborateurs. En d'autres termes, chaque salarié demeure un citoyen responsable et, à ce titre, doit mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui ou, à tout le moins, doit s'abstenir de mettre en danger les tiers comme lui-même. Le droit au silence n’existe pas en matière de santé et de risque infectieux. Cette obligation impose de prévenir son employeur en cas de risque sérieux de contamination et de contamination avérée. Dès lors la connaissance par l’employeur de l’identité de son salarié contaminé, la conservation et l’utilisation de cette information s’analysent comme des traitements de données à caractère personnel.

 

Et l’employeur est tenu de respecter les principes applicables aux traitements des données à caractère personnel.

 

Respect des principes applicables aux traitements de données à caractère personnel

La CNIL a publié le 6 mars 2020 des recommandations concernant la collecte de données à caractère personnel dans le contexte du Coronavirus1. En effet, ce contexte de crise sanitaire peut entrainer le traitement par l’employeur d’un certain nombre de données à caractère personnel et notamment des données de santé qui font l’objet d’une protection particulière, que ce soit dans le Règlement Général sur la Protection des Données (RGPD) ou par des dispositions du Code de la santé publique.

 

La CNIL rappelle aux employeurs qu’ils « ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus ». En effet, les données de santé sont, par nature, des données dites sensibles dont le traitement est par principe interdit, sauf si le responsable du traitement peut se baser sur l’une des exceptions prévues par l’article 9 du RGPD.

 

Les recommandations de la CNIL sont également l’occasion pour cette dernière de rappeler ce que l’employeur est en droit de faire et les pratiques prohibées.

 

Ce qu’il ne faut pas faire :

 

Les employeurs doivent ainsi s'abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un salarié/agent et ses proches. Il n’est donc pas possible de mettre en œuvre, par exemple :

  • des relevés obligatoires des températures corporelles de chaque salarié/agent/visiteur à adresser quotidiennement à sa hiérarchie ;

  • ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des salariés/agents.

 

Ce qu’il est possible de faire :

 

 L’employeur peut :

  • sensibiliser et inviter ses salariés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;

  • faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;

  • favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

En cas de signalement, un employeur peut consigner :

  • la date et l’identité de la personne suspectée d’avoir été exposée ;

  • les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact

    avec le médecin du travail, etc.).

L’employeur pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

 

La position et les recommandations exprimées par la CNIL sont assez similaires aux positions prises par les autorités de protection italienne et espagnole sur le sujet.

 

Ce besoin de protéger la vie privée des salariés et leurs données à caractère personnel, y compris dans ce contexte de crise sanitaire, a d’ailleurs été rappelé le 16 mars dernier par le président du Comité Européen de la Protection des Données (CEPD), Andrea Jelinek. En effet, dans une déclaration publiée sur le site du CEPD, il affirme que « les règles de protection des données (telles que le RGPD) n'entravent pas les mesures prises dans le cadre de la lutte contre la pandémie de coronavirus. Toutefois, je tiens à souligner que, même en ces temps exceptionnels, le responsable du traitement doit assurer la protection des données à caractère personnel des personnes concernées. Par conséquent, un certain nombre de considérations doivent être prises en compte pour garantir la licéité du traitement des données à caractère personnel ». 

 

La délicate conciliation de l’obligation de sécurité de l’employeur et de la protection de la vie privée des salariés

Concernant la transmission de l’information sur l’état de santé du salarié contaminé aux autres salariés, et notamment de son identité, la CNIL et l’autorité espagnole n’apportent aucun éclairage précis. Les autorités anglaiseet irlandaiseprécisent quant à elles qu’une information générale sur la présence d’un cas suffit et qu’il conviendrait d’éviter la divulgation du nom du salarié contaminé aux autres salariés sans justification claire.

 

Aussi, dans le contexte actuel, il est selon nous important de concilier le droit au respect de la vie privée et la protection des données à caractère personnel des salariés et l’obligation de sécurité pesant sur l’employeur. Ainsi, l’employeur doit se contenter de transmettre uniquement les informations nécessaires à la bonne exécution de ses obligations :

 

  • Il peut prévenir les salariés qu’un collègue est contaminé.

  • Il est recommandé de prévenir les salariés dans le cadre d’une information générale ne mentionnant pas le nom du salarié.

​En effet, dans la plupart des cas, il ne sera pas nécessaire de dévoiler l’identité du salarié contaminé aux autres salariés. Dans des cas relativement restreints, liés à la nature de l’emploi ou aux circonstances particulières, transmettre l’identité du salarié contaminé à certains salariés pourrait s’avérer nécessaire pour contenir les risques de transmission. Il s’agira néanmoins d’une analyse au cas par cas qu’il conviendra de documenter précisément. Si à l’issue de l’analyse, il semble indispensable à l’employeur de dévoiler l’identité du salarié à un nombre restreint de collaborateurs, alors nous conseillons à l’employeur d’en informer le salarié contaminé.

 

Enfin et dans la mesure où il s’agit de traitements de données à caractère personnel mis en œuvre par l’employeur, ils devront être consignés dans le registre des activités de traitement, en mentionnant les informations obligatoires au titre de l’article 30 du RGPD, mais également en prenant le soin de préciser la base légale du traitement (article 6 du RGPD) ainsi que l’exception sur laquelle l’employeur se fonde pour traiter les données de santé (article 9 du RGPD).

 

Sur ces derniers points, la déclaration du président du CEPDapporte quelques précisions puisqu’il y rappelle que le RGPD fournit les bases juridiques permettant aux employeurs et aux autorités de santé publique compétentes de « traiter des données à caractère personnel dans le contexte d’épidémies, sans qu’il ne soit nécessaire d’obtenir le consentement de la personne concernée. C’est notamment le cas lorsque le traitement de données à caractère personnel est nécessaire pour les employeurs pour des motifs d’intérêts public dans le domaine de la santé publique, pour protéger des intérêts vitaux (articles 6 et 9 du RGPD) ou pour se conformer à une obligation légale ». A cet égard, le rapport de l’autorité de contrôle espagnole est très complet sur les bases légales de traitement et les exceptions auxquelles recourir pour traiter des données de santé5.

 

Sabine de Paillerets et l’équipe Droit Social Sandra Tubert et l’équipe IT/Data

 

https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelleshttps://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/03/covid-19-general-data-protection-advice-for- data-controllers/
https://dataprotection.ie/en/news-media/blogs/data-protection-and-covid-19
https://edpb.europa.eu/sites/edpb/files/files/news/edpb_covid-19_20200316_press_statement_en.pdf
https://www.aepd.es/es/documento/2020-0017-en.pdf