COVID-19 : les bonnes pratiques à suivre en matière de protection des données à caractère personnel

1- La collecte des données de santé des employés

Les données à caractère personnel concernant la santé d’une personne physique relèvent d’une catégorie particulière de données et bénéficient en tant que telles d’une protection renforcée notamment en raison de leur caractère sensible.

Ainsi, en principe l’employeur n’a pas à traiter des données médicales du personnel, excepté dans le cadre d’un accident du travail ou d’une maladie professionnelle dont il serait responsable.

Toutefois, dans la situation actuelle de pandémie, l’employeur peut être amené à collecter certaines données de santé sur la base de son obligation de sécurité, notamment dans le cadre de l’exercice du droit de retrait des salariés ou de la mise en place d’un dispositif de signalement des salariés exposés au virus.

Le cadre légal du traitement des données de santé dans le cadre du COVID-19 :

LICEITE : Le traitement des données à caractère personnel concernant la santé est interdit, selon l’article 9 du RGPD. Toutefois, dans le cas du COVID-19 , les autorités publiques sont autorisées à traiter les données sur le fondement prévu par l’article 9 (i) du RGPD, lorsque le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique.

Les employeurs ont l’obligation légale de protéger leurs employés. Cette obligation, combinée à l’article 9, paragraphe 2, point b) du RGPD, fournit une base juridique pour le traitement des données à caractère personnel, y compris les données de santé, lorsque cela est jugé nécessaire et proportionné. Toutes les données traitées doivent être traitées de manière confidentielle, c’est-à-dire que toute communication au personnel concernant la présence éventuelle de COVID-19 sur le lieu de travail ne devrait généralement identifier aucun employé individuel.

Il est également permis de traiter des données à caractère personnel pour protéger les intérêts vitaux d’une personne concernée ou d’autres personnes si nécessaire. Les données de santé d’une personne peuvent être traitées à cet égard lorsqu’elles sont physiquement ou juridiquement incapables de donner leur consentement. Cela ne s’applique généralement qu’aux situations d’urgence, où aucune autre base juridique ne peut être identifiée.

TRANSPARENCE : Les organisations qui traitent des données personnelles doivent être transparentes concernant les mesures qu’elles mettent en œuvre dans ce contexte, y compris l’objectif de la collecte des données personnelles et la durée de leur conservation. Ils doivent fournir aux individus des informations concernant le traitement de leurs données personnelles dans un format concis, facilement accessible, facile à comprendre et dans un langage clair et simple.

CONFIDENTIALITÉ : Tout traitement de données dans le cadre de la prévention de la propagation de COVID-19 doit être effectué de manière à garantir la sécurité des données, en particulier en ce qui concerne les données de santé. L’identité des personnes concernées ne doit pas être divulguée à des tiers ou à leurs collègues sans justification claire.

MINIMISATION DES DONNÉES : Comme pour tout traitement de données, seule la quantité minimale nécessaire de données doit être traitée pour atteindre l’objectif de mettre en œuvre des mesures visant à prévenir ou à contenir la propagation de COVID-19.

RESPONSABILITE : Les responsables du traitement doivent également veiller à documenter tout processus décisionnel concernant les mesures mises en œuvre pour gérer COVID-19, qui impliquent le traitement de données à caractère personnel.

Point de vigilance RGPD :

  • Dans le cadre d’un dispositif de signalement, l’employeur peut consigner uniquement : – La date et l’identité de la personne suspectée d’avoir été exposée, – Les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail)
  • L’employeur est autorisé à communiquer uniquement aux autorités sanitaires, sur demande, les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.
  • Le(s) Traitement(s) doivent être inscrits dans le registre des traitements du DPD par personne morale
  • La conservation de ces données doit être limitée à la durée de cette crise sanitaire. Au terme de l’épidémie, les données doivent être effacées de la base active et éventuellement conservées en base intermédiaire pour répondre aux éventuels obligations sociales, fiscales et comptables de l’employeur.

2. Quelles sont les mesures que l’employeur doit prendre ?

Chaque employeur est tenu de prendre les mesures nécessaires pour assurer la sécurité et la santé de ses employés (l’article L4121-1 du Code du travail). A ce titre, dans le cadre de la crise sanitaire actuelle liée au COVID-19 , l’employeur :

→ doit procéder à une évaluation du risque professionnel (article R 4121-2 du Code du travail)
→ doit mettre en œuvre des mesures adéquates pour prévenir au maximum toute contagion sur le lieu de travail ou à l’occasion de l’accomplissement de leur travail par les salariés.
→ doit prendre en considération les instructions des pouvoirs publics et les éventuels changements des circonstances.

Les mesures de prévention qui découlent de cette évaluation doivent être portées à la connaissance des employés pour permettre leur pleine application.

Cette démarche doit être conduite selon une procédure faisant intervenir les instances représentatives du personnel (le CSE), ainsi que le service de santé au travail.

Ainsi, pour faire face au risque de propagation du virus, les entreprises peuvent être amenées de mettre en place certaines actions telles que :

→ l’information des employés,
→ l’adaptation des conditions/des modalités de travail,
→ des restriction des accès à ses locaux ou d’éviter les déplacements professionnels dans les zones à risque

Toutefois, ces mesures ne peuvent pas être prises de manière arbitraire, elles doivent être prises avec précaution car elles sont strictement encadrées par le Code du travail et par le RGPD.

Les mesures prises en réponse au COVID-19 impliquant l’utilisation de données personnelles, y compris des données de santé, devraient être nécessaires et proportionnées. Les décisions à cet égard devraient être éclairées par les orientations et / ou les directives des autorités de santé publique ou d’autres autorités compétentes.

3. Information

Pour faire face à cette situation, l’employeur doit mettre en œuvre certaines actions d’information et notamment :

→ Sensibiliser ses employés aux gestes d’hygiène à adapter pour limiter le risque d’exposition au COVID-19 o par le biais des panneaux d’affichage comportant les règles d’hygiène et les consignes à respecter, o par le biais de messages d’information destinées aux salariés, o par la publication de cette information sur l’Intranet de l’entreprise, etc.

→ Inviter ses employés à lui remonter ou remonter auprès des autorités sanitaires toute information les concernant en lien avec une éventuelle exposition. → Tenir informés ses employés des éventuels cas de COVID-19 au sein de l’entreprise pour leur permettre de prendre les mesures nécessaires et notamment de se faire dépister.

Point de vigilance RGPD :

Attention, dans cette hypothèse, l’employeur n’a pas à communiquer les noms des personnes ayant contracté le virus mais uniquement signaler le risque d’exposition au virus aux salariés.

L’employeur doit veiller à divulguer le minimum d’informations quant aux personnes touchées par le virus.

Aucune information susceptible de permettre l’identification des personnes touchées par le virus ne doit pas être communiquée aux salaries.

4. Télétravail

Afin de prévenir le risque de contamination et de propagation du COVID-19 , les entreprises peuvent être amenées, voire être obligées, à organiser du télétravail lorsque leur activité le permet.

Cette modalité d’organisation du travail requiert habituellement l’accord du salarié et de l’employeur, ce qui est la solution préférable. Toutefois, l’article L. 1222-11 du code du travail mentionne le risque épidémique comme pouvant justifier le recours au télétravail sans l’accord du salarié.

Toutefois, même si le RGPD ne constitue pas un obstacle au télétravail, celui-ci impose un certain nombre d’obligations à l’employeur souhaitant recourir à cette organisation du travail.

Point de vigilance RGPD :
Ainsi, l’employeur doit veiller à :

  • Rappeler aux salariés les règles organisationnelles et de sécurité à respecter en cas de télétravail (la charte informatique, charte télétravail, etc.) car même si cette situation reste temporaire, le salarié doit s’engager à respecter les consignes de sécurité même en dehors de son bureau
  • Fournir au télétravailler un service d’assistance informatique technique pendant les heures ouvrées de bureau (en cas de panne ou de mauvais fonctionnement des équipements de travail mis à disposition)
  • Rappeler au télétravailleur temporaire que l’usage du matériel fourni est exclusivement réservé au télétravailleur dans le cadre de son activité professionnelle à domicile.

Chaque employé doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même (article L.4122-1 du Code du travail) : il doit informer son employeur en cas de suspicion de contact avec le virus.

QUESTIONS / RÉPONSES

Est-il possible de dire aux collaborateurs qu’un collègue a peut-être contracté COVID-19 ?

Oui. Vous devez tenir le personnel informé des cas dans votre organisation. N’oubliez pas, vous n’avez probablement pas besoin de nommer des personnes et vous ne devriez pas fournir plus d’informations que nécessaire. Vous avez l’obligation d’assurer la santé et la sécurité de vos employés, ainsi qu’un devoir de vigilance.

Puis-je collecter des données sur la santé concernant COVID-19 des employés ou des visiteurs de mon organisation ?
Qu’en est-il de l’information sur la santé avant une conférence ou un événement ?

Sous certaines conditions. Vous avez l’obligation de protéger la santé de vos employés, mais cela ne signifie pas que vous devez collecter de nombreuses informations à leur sujet.

Il est raisonnable de demander aux personnes concernées de vous dire s’ils ont visité récemment un pays à risque ou présentent des symptômes de COVID-19.

Vous pouvez prévenir les visiteurs de prendre en considération les conseils du gouvernement avant de décider de venir sur place.

Vous pouvez conseiller les personnes concernées d’appeler le 15 si elles présentent des symptômes ou si elles ont visité des pays à risque. Cette approche devrait vous aider à minimiser les informations que vous devez collecter.

Si cela ne suffit pas et que vous devez toujours collecter des données de santé spécifiques, ne collectez pas plus que ce dont vous avez besoin et assurez-vous que toutes les informations collectées sont traitées avec les garanties appropriées.

Puis-je partager les informations sur la santé des employés avec les autorités à des fins de santé publique?

Oui. L’employeur est autorisé à communiquer uniquement aux autorités sanitaires, sur demande, les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Peut-on réaliser des relevés obligatoires des températures corporelles systématiques de chaque employé/agent/visiteur ?

Non. Les organisations doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches. Il n’est donc pas possible de mettre en œuvre, par exemple :

Un employeur peut-il demander des détails plus précis sur la maladie de son employé à travers des certificats médicaux concernant le COVID-19?

Demander l‘avis des autorités de santé compétentes. Alors que les employeurs ont l’obligation légale de protéger la santé de leurs employés, les employés ont également le devoir de prendre des précautions raisonnables pour protéger leur santé et celle de toute autre personne sur le lieu de travail. À cet égard, les employeurs seraient justifiés d’exiger des employés qu’ils les informent s’ils ont un diagnostic médical de COVID-19 afin de permettre les mesures nécessaires.

Cependant, il est important de garder à l’esprit que l’enregistrement de toute information sur la santé doit être justifié et factuel, et doit être limité à ce qui est nécessaire pour permettre à un employeur de mettre en œuvre des mesures de santé et de sécurité.

Les employeurs devraient suivre les conseils et les directives des autorités de santé publique, qui peuvent exiger la divulgation de données personnelles dans l’intérêt public pour se protéger contre les menaces graves pour la santé publique.

Les employés doivent suivre les conseils de leurs professionnels de la santé et des autorités de santé publique dans ces circonstances, qui leur indiqueront ce qu’ils doivent faire s’ils présentent des symptômes de COVID-19.

Un employeur peut-il renvoyer des employés à la maison s’il est confirmé qu’ils ont le virus?

Demander l‘avis des autorités de santé compétentes. Les employeurs ont le devoir de prendre soin des employés de fournir un lieu de travail sûr, ce qui peut les obliger à faire preuve de discrétion concernant l’accès aux locaux. Dans une situation où un employé a confirmé qu’il a du COVID-19, un avis doit être demandé d’urgence aux autorités de santé publique sur les mesures à prendre.

La décision de renvoyer des employés chez eux n’est pas une question de protection des données et peut avoir d’autres conséquences pour les employeurs en matière de droit du travail, par exemple le droit à l’indemnité de maladie.

Les employés doivent suivre les conseils de leurs professionnels de la santé et des autorités de santé publique dans ces circonstances, qui leur indiqueront ce qu’ils doivent faire s’ils présentent des symptômes de COVID-19.

Un employeur peut-il renvoyer des employés à la maison s’il est confirmé qu’ils ont le virus?

Demander l‘avis des autorités de santé compétentes. Les employeurs ont le devoir de prendre soin des employés de fournir un lieu de travail sûr, ce qui peut les obliger à faire preuve de discrétion concernant l’accès aux locaux. Dans une situation où un employé a confirmé qu’il a du COVID-19, un avis doit être demandé d’urgence aux autorités de santé publique sur les mesures à prendre.

La décision de renvoyer des employés chez eux n’est pas une question de protection des données et peut avoir d’autres conséquences pour les employeurs en matière de droit du travail, par exemple le droit à l’indemnité de maladie.