retour

La guerre contre le coronavirus justifie-t-elle tous les traitements de données personnelles notamment sur le lieu de travail ?

Article Technologies - Média - Propriété Intellectuelle | 06/03/20 | 4 min. | Florence Chafiol Roxane Blanc-Dubois

Santé

Même en situation de crise, tout responsable de traitement doit s’interroger sur la légalité du traitement de données personnelles qu’il envisage.

Il ne peut procéder au traitement de données personnelles que s’il peut le fonder sur l’une des bases légales prévues par le Règlement Général sur la Protection des Données Personnelles (« RGPD » - article 6) et, en cas de données sensibles (comme les données de santé), s’il peut se prévaloir de l’une des exceptions à l’interdiction de traiter des données sensibles prévues par le RGPD (article 9).

Nombreux sont les responsables de traitement tels que les employeurs, qui souhaiteraient collecter (par voie de questionnaire par exemple) des données personnelles de toute personne accédant à leurs locaux (employés, visiteurs, consultants, etc.) et, plus particulièrement, des données sur les dates et destinations des voyages professionnels et personnels effectués depuis le début de l’épidémie, les symptômes éventuellement ressentis par les personnes concernées ou leurs proches (fièvre) ou autres renseignements de santé.

L’autorité italienne de protection des données personnelles (« Garante per la protezione dei dati personali ») s’est prononcée sur la question le 2 mars dernier. Elle indique que les employeurs doivent s’abstenir de procéder à des traitements systématiques et généralisés portant notamment sur des données de santé ou relevant de la sphère privée (la prévention du coronavirus relevant des institutions compétentes). Néanmoins, les employés en Italie auraient l’obligation de signaler à leurs employeurs toute situation de danger concernant la santé sur le lieu de travail. Elle précise à cet égard que les employeurs peuvent inviter leurs employés à signaler ce type d’évènement, en leur fournissant des moyens dédiés. Des visites extraordinaires chez le médecin compétent pour les travailleurs les plus exposés sont également mentionnées par l’autorité.

La prudence est donc de mise en la matière et la collecte systématique et généralisée de données de santé par les entités privées accueillant du public (y compris des employés) semble être à proscrire. Cela peut sembler déroutant pour les employeurs qui, au titre de l’article L4121-1 du Code de travail, sont tenus de prendre des mesures nécessaires pour assurer la sécurité et protéger la santé des travailleurs.

Il nous paraît en revanche possible pour l’employeur, lorsque l’un de ses employés est contaminé par le Coronavirus (le ministère du travail ayant recommandé aux employés d’informer leurs employeurs de tout voyage dans une zone à risque), d’informer ses autres employés de l’existence d’un cas de contamination détecté. S’agissant de la révélation de l’identité du malade auprès des autres employés, la question est plus épineuse : l’employeur peut-il divulguer le nom de l’intéressé sous réserve d’avoir obtenu son consentement explicite, sachant qu’un consentement donné par le salarié à son employeur n’est par définition pas « libre » ?

La CNIL devrait publier des recommandations sur le sujet sur son site Internet dans les prochaines heures.

MISE A JOUR - le 06/03/2020

La CNIL vient de publier ses recommandations concernant le traitement de données personnelles dans le contexte de la crise sanitaire liée au coronavirus.

La CNIL confirme le fait que « les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employés/agent et ses proches ». La CNIL indique que le salarié a néanmoins l’obligation d’informer son employeur en cas de suspicion de contact avec le virus. Elle précise également que l’employeur peut inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition et faciliter leur transmission par la mise en place, au besoin, de canaux dédiés.

La CNIL et l’autorité de protection des données personnelles italienne ont ainsi adopté des approches similaires.

Liens utiles

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117 (en italien)

https://travail-emploi.gouv.fr/IMG/pdf/coronavirus_entreprises_et_salaries_q-r.pdf

https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles
 


Articles recommandés