Afin de limiter la propagation du virus de Covid-19 et d’assurer en toute sécurité la reprise de l’activité, la CNIL rappelle les principes applicables à la collecte et à l’utilisation des données de santé par les employeurs.
Les employeurs sont responsables de la santé et de la sécurité de leurs employés conformément au Code du travail et aux textes régissant la fonction publique (particulièrement les articles L. 4121-1 et R. 4422-1 du Code du travail).
À ce titre, il leur appartient de mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, ainsi qu’une organisation du travail et des moyens adaptés aux conditions de travail.
La CNIL invite à cet égard les employeurs à consulter régulièrement les informations mises en ligne par le ministère du Travail, afin de connaître leurs obligations en cette période de crise.
Les employeurs ont en effet, conformément au RGPD, le droit de traiter des données personnelles lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales.
Dans ce contexte, l’employeur est notamment légitime :
- à rappeler à ses employés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination, auprès de lui ou des autorités sanitaires compétentes, aux seules fins de lui permettre d’adapter les conditions de travail ;
- à faciliter leur transmission par la mise en place, au besoin, de canaux dédiés et sécurisés ;
- à favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
L’obligation de sécurité des employés
Pour sa part, chaque employé doit veiller à préserver sa propre santé/sécurité mais également celles des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle (article L.4122-1 du Code du travail).
Le traitement par les employeurs de ces signalements
Les employeurs ne sauraient ainsi traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales et conventionnelles, c’est-à-dire nécessaires pour prendre des mesures organisationnelles (mise en télétravail, orientation vers le médecin du travail, etc.), de formation et d’information, ainsi que certaines actions de prévention des risques professionnels.
C’est pourquoi seuls peuvent être traités par l’employeur les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou suspecter de l’être ainsi que les mesures organisationnelles prises.
En cas de besoin, l’employeur sera en mesure de communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée. En tout état de cause, l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres employés.
Rappel sur les traitements de données relatives à la santé et le champ d’application du RGPD
S’il appartient à chacun de mettre en œuvre des mesures adaptées à la situation, les employeurs ne sauraient prendre de mesures susceptibles de porter une atteinte disproportionnée à la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus aux fins de protéger les employés et le public.
Ce principe est également rappelé par l’article L. 1121-1 du Code du travail qui dispose que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».
En raison du caractère sensible qu’elles revêtent, les données relatives à l’état de santé d’une personne font en effet l’objet d’une protection juridique toute particulière : elles sont en principe interdites de traitement.
Pour pouvoir être traitées, leur utilisation doit nécessairement s’inscrire dans l’une des exceptions prévues par le RGPD, garantissant ainsi l’équilibre entre la volonté d’assurer la sécurité des personnes, et le respect de leurs droits et libertés fondamentales. De plus, leur sensibilité justifie qu’elles soient traitées dans des conditions très fortes de sécurité et de confidentialité et uniquement par ceux qui sont habilités à le faire.
Les exceptions mobilisables dans le contexte du travail sont limitées et peuvent globalement relever soit de :
- la nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale : c’est le cas du traitement des signalements par les employés ;
- la nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation (sanitaire) de la capacité de travail du travailleur, de diagnostics médicaux etc.
Pour ces raisons, les employeurs qui voudraient initier d’éventuelles démarches visant à s’assurer de l’état de santé de leurs employés doivent s’appuyer sur les services de santé au travail dont c’est la compétence et qui sont au cœur de la gestion de la crise sanitaire. Ils ne peuvent eux-mêmes mettre en place des fichiers relatifs à la température corporelle de leurs employés ou à certaines pathologies (les « comorbidités ») susceptibles de constituer des troubles aggravants en cas d’infection au COVID-19.
La CNIL rappelle par ailleurs que la règlementation sur les traitements de données ne s’applique qu’aux traitements automatisés (notamment informatiques) ou aux traitements non automatisés qui permettent de constituer des fichiers. Ainsi, la seule vérification de la température au moyen d’un thermomètre manuel (tel que par exemple de type infrarouge sans contact) à l’entrée d’un site, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée (tels que des relevés de ces températures, des remontées d’informations, etc.), ne relève pas de la règlementation en matière de protection des données.
Quel que soit le dispositif utilisé ou le traitement de données mis en œuvre, la CNIL rappelle l’importance d’assurer une parfaite transparence à l’égard des personnes concernées.
L’information des personnes comme le dialogue social, au-delà d’être une obligation résultant tant de la législation du travail que des textes relatifs à la protection des données, est une composante essentielle de la gestion de la crise sanitaire et participe à rassurer les personnes concernées.
La CNIL propose des exemples de mentions d’information sur son site web.
– Ce site est protégé par reCAPTCHA et Google