Le 7 mai dernier, la CNIL a actualisé ses recommandations concernant la collecte de données personnelles par les employeurs dans le cadre de la crise sanitaire liée au COVID-19.
Depuis le début de la crise sanitaire un grand nombre d’employeurs a souhaité mettre en place des mesures afin d’obtenir des informations sur l’état de santé des personnes souhaitant accéder à ses locaux et ainsi, minimiser la propagation du virus au sein de ses salariés. Or, l’instauration de tels contrôles, sous couvert de craintes relatives à la santé et la sécurité des personnes visitant les locaux, soulève la problématique de la légalité du traitement de leurs données de santé par l’employeur.
-
Le traitement de données sensibles par l’employeur dans le cadre de la crise sanitaire
Pour mémoire, il résulte de l’article 6 du Règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (ci-après le « RGPD ») que tout traitement de données personnelles doit être fondé sur l’une des bases légales listées dans cet article. Il s’agit notamment du respect d’une obligation légale à laquelle le responsable du traitement est soumis ou de la nécessité du traitement pour l’exécution d’une mission d’intérêt public.
De plus, au terme de l’article 9 du RGPD, les données de santé sont des données « sensibles » qui obéissent à un régime de protection de sorte que leur traitement est en principe prohibé, sauf à ce que le responsable de traitement justifie qu’il bénéficie de l’une des exceptions prévues par le deuxième paragraphe de cet article.
Ainsi, l’employeur qui souhaiterait traiter des données de santé de ses salariés ou des visiteurs de ses locaux doit donc s’assurer que le traitement de données personnelles est fondé sur l’une des bases légales prévues par l’article 6 du RGPD, et qu’il entre dans le champ des exceptions à l’interdiction du traitement de données sensibles de l’article 9 du RGPD.
Aussi, la CNIL rappelle que la légalité du traitement de données de santé par l’employeur doit également tenir compte de l’absence d’atteinte disproportionnée aux libertés individuelles des salariés (article L.1121-1 du code du travail).
-
Le traitement des données issues des signalements des salariés
Dans son communiqué, la CNIL considère que les employeurs pourraient justifier la collecte de données de santé par la nécessité de traiter ces données pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale.
A cet égard, la CNIL rappelle que tant les employeurs que les salariés sont tenus à une obligation de sécurité puisque :
- Les employeurs sont tenus d’assurer la sécurité et de protéger la santé de leurs salariés et ainsi, prendre toutes les mesures nécessaires à cet égard (article L4121-1 du code du travail), et
- Les salariés sont tenus de préserver leur propre santé et sécurité ainsi que celles des autres salariés (article L4122-1 du code du travail).
Ainsi, la CNIL estime que les salariés ont l’obligation de signaler à leur employeur toute contamination ou suspicion de contamination à chaque fois qu’ils ont pu exposer une partie de leurs collègues au virus. Cependant la CNIL estime que les salariés placés en télétravail ou travaillant de manière isolée, sans contact avec leurs collègues ou le public ne sont pas tenus à une telle obligation.
Les employeurs peuvent donc mettre en œuvre le traitement de données de santé dans le cadre de ces signalements.
A ce titre, la CNIL précise que ne doivent être traitées que les données strictement nécessaires pour « prendre des mesures organisationnelles (mise en télétravail, orientation vers le médecin du travail, etc.), de formation et d’information, ainsi que certaines actions de prévention des risques professionnels », soit : (i) la date, (ii) l’identité de la personne concernée, (iii) sa contamination ou suspicion de contamination et (iv) les mesures organisationnelles prises.
Etant précisé que ces données pourront être transmises aux autorités sanitaires compétentes afin d’assurer la prise en charge sanitaire ou médicale de la personne concernée.
-
Précisions de la position de la CNIL sur certaines pratiques
Dans le prolongement de ses recommandations du 6 mars dernier, la CNIL a précisé sa position sur la mise en œuvre de certaines pratiques par l’employeur.
- S’agissant des relevés de température
La CNIL estime « qu’en l’état du droit, et sauf à ce qu’un texte en prévoit expressément la possibilité sont interdits :
- La constitution par les employeurs de fichiers conservant des données de températures de leurs salariés ou de visiteurs,
- La mise en œuvre d’opérations automatisées de captation de température, notamment via des caméras thermiques. »
S’agissant des contrôles de températures « manuels » mis en œuvre sans qu’aucune donnée ne soit conservée, la CNIL estime que ces opérations ne relèvent pas de la règlementation en matière de protection des données personnelles et renvoie sur ce point aux recommandations du Ministère du travail et notamment à son protocole de déconfinement à destination des entreprises.
Depuis le début de la crise sanitaire, le Ministère du travail indique que cette mesure n’est pas recommandée puisqu’elle ne permet pas de répondre en totalité à l’objectif de détection des symptômes du virus.
Si début avril le Ministère du travail énonçait que les entreprises « dans le cadre d’un dispositif d’ensemble de mesures de précaution, peuvent mettre en œuvre un contrôle systématique de la température des personnes entrant sur leur site », cette position semble avoir été renversée dans le cadre du déconfinement.
Désormais, le Ministère du travail estime que les contrôles de la température à l’entrée des locaux ne sauraient avoir un caractère obligatoire. Ainsi, les salariés comme les visiteurs doivent pouvoir refuser de s’y soumettre et l’employeur qui refuserait l’accès aux locaux au salarié réfractaire pourra être tenu de lui verser le salaire correspondant à la journée perdue.
- S’agissant des tests sérologiques et de questionnaires sur l’état de santé
Tout d’abord, la CNIL relève que le Ministère du travail estime que « les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées ».
De plus, selon la CNIL, seuls les personnels de santé compétents, soumis au secret médical, peuvent collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux qui contiendraient des données relatives à l’état de santé de la personne concernée, y compris le résultat d’un éventuel test de dépistage du COVID-19, ainsi que des données relevant de leur sphère privée.
Liens des communiqués cités :
https://travail-emploi.gouv.fr/IMG/pdf/protocole-national-de-deconfinement.pdf