Jul
07
Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs

La CNIL rappelle certains principes dans un contexte de crise sanitaire afin d’orienter particuliers et professionnels sur les mesures à mettre en œuvre afin d’assurer la sécurité de la reprise d’activité.

En effet, la CNIL reçoit de nombreuses interrogations sur les possibilités de collecter, en dehors de toute prise en charge médicale, des données concernant des employés, agents ou visiteurs afin de déterminer si des personnes présentent en particulier des symptômes du COVID-19.

L’obligation de sécurité des employeurs

Les employeurs sont responsables de la santé et de la sécurité des travailleurs conformément au Code du travail et aux textes régissant la fonction publique.

Aux termes de l’article L 4121 du code du travail modifié par ordonnance n°2017-1389 du 22 septembre 2017 - art. 2 :

« L'employeur prend les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs.

Ces mesures comprennent :

1° Des actions de prévention des risques professionnels, y compris ceux mentionnés à l'article L. 4161-1 ;

2° Des actions d'information et de formation ;

3° La mise en place d'une organisation et de moyens adaptés.

L'employeur veille à l'adaptation de ces mesures pour tenir compte du changement des circonstances et tendre à l'amélioration des situations existantes. ».

De même aux termes de l’ article R 4422-1, créé par décret n°2008-244 du 7 mars 2008 - art. (V) l'employeur prend des mesures de prévention visant à supprimer ou à réduire au minimum les risques résultant de l'exposition aux agents biologiques, conformément aux principes de prévention énoncés à l'article L. 4121-2.

Les employeurs doivent donc mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, ainsi qu’une organisation du travail et des moyens adaptés aux conditions de travail.

La CNIL invite à cet égard les employeurs à consulter régulièrement les informations mises en ligne par le ministère du Travail (direction générale du travail – DGT), afin de connaître leurs obligations en cette période de crise.

Dans ce contexte, l’employeur peut légitimement :

  • rappeler à ses employés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination, auprès de lui ou des autorités sanitaires compétentes, aux seules fins de lui permettre d’adapter les conditions de travail ;
  • faciliter la transmission des données recueillies par la mise en place, au besoin, de canaux dédiés et sécurisés ;
  • Favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

L’obligation de sécurité des employés/agents

Il appartient également pour chaque employé/agent de veiller à préserver sa propre santé/sécurité mais également celles des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle selon les dispositions du code du travail.

Aux termes de l’article L 4122-1du code du travail, « conformément aux instructions qui lui sont données par l'employeur, dans les conditions prévues au règlement intérieur pour les entreprises tenues d'en élaborer un, il incombe à chaque travailleur de prendre soin, en fonction de sa formation et selon ses possibilités, de sa santé et de sa sécurité ainsi que de celles des autres personnes concernées par ses actes ou ses omissions au travail.

Les instructions de l'employeur précisent, en particulier lorsque la nature des risques le justifie, les conditions d'utilisation des équipements de travail, des moyens de protection, des substances et préparations dangereuses. Elles sont adaptées à la nature des tâches à accomplir.

Les dispositions du premier alinéa sont sans incidence sur le principe de la responsabilité de l'employeur. »

Il résulte de ces dispositions qu’en période de pandémie telle que celle du COVID-19, un employé qui travaille au contact d’autres personnes (collègues et public) doit, à chaque fois qu’il a pu exposer une partie de ses collègues au virus, informer son employeur en cas de contamination ou de suspicion de contamination au virus.

En temps normal lorsqu’un employé est malade, il ne doit communiquer à son employeur que l’éventuel arrêt de maladie dont il pourrait bénéficier, sans qu’aucune autre précision sur son état de santé ou la nature de la pathologie ne soit transmise.

De même un salarié placé en télétravail ou travaillant de manière isolée sans contact avec ses collègues ou du public n’est pas tenu à cette information vis-à-vis de son employeur.

Les limites du traitement par les employeurs de ces signalements

Les employeurs ne sont autorisés à traiter que les données strictement nécessaires à la satisfaction de leurs obligations.

Aussi, seuls peuvent être traités par l’employeur les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou suspecter de l’être ainsi que les mesures organisationnelles prises.

En cas de besoin, l’employeur sera en mesure de communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires à une éventuelle prise en charge de la personne exposée.

En tout état de cause, l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres employés.

Le traitement de données relatives à la santé et le champ d’application du RGPD

Aux termes de l’article L. 1121-1 du Code du travail « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

En raison du caractère sensible qu’elles revêtent, les données relatives à l’état de santé d’une personne font en effet l’objet d’une protection juridique toute particulière : elles sont en principe interdites de traitement.

Les exceptions mobilisables professionnellement peuvent limitativement résulter de la nécessité:

  • pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale : c’est le cas du traitement des signalements par les employés ;
  • pour un professionnel de santé, de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation (sanitaire) de la capacité de travail du salarié, de diagnostics médicaux etc.

Les employeurs qui voudraient réaliser des démarches de façon à s’assurer de l’état de santé de leurs employés devront recourir aux  services de santé de l’entreprise .

Aux termes de l’article 1 l’ordonnance n° 2020-386 du 1er avril 2020 :

« Dans le cadre de leurs missions et prérogatives les services de santé au travail participent à la lutte contre la propagation du covid-19, notamment par :

1° La diffusion, à l'attention des employeurs et des salariés, de messages de prévention contre le risque de contagion ;

2° L'appui aux entreprises dans la définition et la mise en œuvre des mesures de prévention adéquates contre ce risque ;

3° L'accompagnement des entreprises amenées, par l'effet de la crise sanitaire, à accroître ou adapter leur activité. »

La CNIL rappelle par ailleurs que la règlementation sur les traitements de données ne s’applique qu’aux traitements automatisés (notamment informatiques) ou aux traitements non automatisés qui permettent de constituer des fichiers.

Ainsi, la seule vérification de la température au moyen d’un thermomètre manuel (tel que par exemple de type infrarouge sans contact) à l’entrée d’un site, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée (tels que des relevés de ces températures, des remontées d’informations, etc.), ne relève pas de la règlementation en matière de protection des données.

La CNIL renvoie sur ce point aux instructions données par la DGT, qui déconseille ces vérifications, lesquelles doivent être réservées à des cas particuliers.

La réalisation de tests sérologiques et de questionnaires sur l’état de santé

Devant le souhait de certains employeurs agissant dans le souci de protéger leurs employés et pouvoir apprécier leur exposition au virus au moment de la reprise du travail, la CNIL relève tout d’abord que selon la direction générale du travail, « les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées ».

Concernant les tests médicaux, sérologiques ou de dépistage du COVID-19 dont les résultats sont soumis au secret médical : l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé.

Les plans de continuité de l’activité ou « PCA »

La CNIL rappelle, en cas d’établissement d’un plan de continuité de l’activité, que ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

Il est alors possible de créer un fichier nominatif pour l’élaboration et la tenue du plan qui ne  doit contenir que les données nécessaires à la réalisation de cet objectif.

Ajouter un commentaire

Image CAPTCHA