Le 23 septembre dernier, la CNIL a actualisé ses recommandations concernant la collecte de données personnelles par les employeurs dans le contexte de la crise sanitaire liée au COVID-19.
Depuis le début de la crise sanitaire, et afin de lutter contre la propagation du virus, un grand nombre d’employeurs a mis en place des mesures impliquant la collecte de données de santé de ses salariés ou des visiteurs de ses locaux. Dans ce contexte, la CNIL a mis à jour ses recommandations publiées lors du déconfinement, en mai dernier.
-
Traitement de données de santé par l’employeur dans le cadre de la crise sanitaire
Pour mémoire, il résulte de la combinaison des articles 6 et 9 du RGPD que le traitement de données de santé, en tant que données sensibles, est en principe prohibé, sauf à ce que le responsable de traitement justifie qu’il bénéficie de l’une des exceptions prévues par l’article 9 du RGPD.
A ce titre, la CNIL estime que, dans le contexte du travail, les exceptions suivantes pourraient justifier la collecte par l’employeur de données de santé :
– « la nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de droit du travail, sécurité sociale et protection sociale ;
– la nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation (sanitaire) de la capacité de travail du travailleur, de diagnostics médicaux etc. »
Aussi, la CNIL rappelle que l’employeur ne « saurait prendre de mesures susceptibles de porter une atteinte disproportionnée aux libertés individuelles des salariés » (article L.1121-1 du code du travail), telle que la collecte excessive des données de santé de ses salariés.
-
Obligations de sécurité de l’employeur et des salariés
Dans la mesure ou l’employeur est responsable de la santé et de la sécurité de ses salariés et qu’il doit ainsi, prendre toutes les mesures nécessaires à cet égard (article L4121-1 du code du travail), la CNIL estime que, dans le contexte actuel, l’employeur est notamment légitime :
– « à rappeler à ses employés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’informations en cas de contamination ou suspicion de contamination, auprès de lui ou des autorités sanitaires compétentes, aux seules fins de lui permettre d’adapter les conditions de travail ;
– à faciliter leur transmission par la mise en place, au besoin, de canaux dédiés et sécurisés ;
– à favoriser les modes de travail à distance et encourager le recours à la médecine du travail. »
La CNIL ajoute que les salariés sont tenus de préserver leur santé et sécurité ainsi que celles des autres salariés (article L4122-1 du code du travail). De cette obligation, la CNIL déduit que les salariés, à l’exception de ceux placés en télétravail ou travaillant de manière isolée, doivent signaler à leur employeur toute contamination ou suspicion de contamination, dès l’instant où ils ont pu exposer une partie de leurs collègues au virus.
De surcroît, la CNIL indique que si l’employeur peut légitimement traiter les données de santé dans le cadre de ces signalements, il doit veiller à ce que seules soient traitées les données strictement nécessaires pour « prendre des mesures organisationnelles de formation et d’information, ainsi que certaines actions de prévention des risques professionnels ».
Enfin, la CNIL précise que l’employeur ne doit, à aucun moment, communiquer aux autres employés l’identité du salarié susceptible d’être infecté.
-
Précisions sur la position de la CNIL sur certaines pratiques
Dans le prolongement de ses recommandations publiées aux mois de mars et mai derniers, la CNIL a apporté des précisions sur des pratiques mises en œuvre par de nombreux employeurs dans le contexte de la crise sanitaire.
- S’agissant des relevés de température
La CNIL estime « qu’en l’état du droit, et sauf à ce qu’un texte en prévoit expressément la possibilité, il est interdit aux employeurs de constituer des fichiers conservant des données de températures de leurs salariés ». De même, la CNIL ajoute qu’est également interdite la mise en place d’outils de captation automatique de température, telles que des caméras thermiques.
Enfin, la CNIL rappelle que les contrôles de températures « manuels » mis en œuvre sans qu’aucune donnée ne soit conservée, ne relèvent pas de la règlementation en matière de protection des données personnelles mais du droit social. La CNIL renvoie donc aux recommandations du Ministère du travail à cet égard, lequel recommande de ne pas mettre en œuvre de contrôle de la température à des fins de dépistage du COVID-19.
- S’agissant des tests sérologiques et de questionnaires sur l’état de santé
Selon la CNIL, les données relatives à l’état de santé de la personne concernée, y compris le résultat d’un éventuel test de dépistage du COVID-19, ainsi que des données relevant de leur sphère privée ne peuvent être collectées et traitées que par les professionnels de santé soumis au secret médical.
Aussi, la CNIL rappelle que le Ministère du travail n’autorise pas « les campagnes de dépistage organisées par les entreprises pour leurs salariés ».
- S’agissant des plans de continuité de l’activité (« PCA »)
Dans le contexte actuel de crise sanitaire, la CNIL souligne que l’employeur peut mettre en œuvre un PCA pour maintenir l’activité essentielle et, à ce titre, « créer un fichier nominatif pour l’élaboration et la tenue du plan qui ne doit contenir que les données nécessaires à la réalisation de cet objectif ».
- S’agissant de la réorganisation du travail
Dans le cadre du déploiement de mesures afin de protéger la santé des salariés face au risque de propagation du COVID-19, la CNIL rappelle tout d’abord qu’il résulte de son obligation de sécurité que l’employeur doit prendre des mesures de protection collective de prévention, telles que le rappel des gestes barrières et de la distanciation sociale ou encore la fourniture de solution hydroalcoolique.
Selon la CNIL, l’employeur ne doit pas organiser la collecte de données de santé de l’ensemble des salariés. L’employeur doit se contenter de prendre des mesures individuelles, comme par exemple le télétravail, à la suite d’un signalement par le salarié de sa suspicion de contamination, durant une courte période, le temps que le salarié concerné consulte un professionnel.
A ce titre, la CNIL précise que seul le service de santé au travail peut collecter des données de santé, notamment relative à la vulnérabilité ou du risque d’exposition du salarié au COVID-19. Il peut ainsi proposer des conditions individualisées de travail telles que l’aménagement ou l’adaptation du poste ou du temps de travail du salarié. Selon la CNIL, l’employeur doit se contenter d’appliquer les mesures proposées.
Liens des communiqués cités : Ici
