retour

Point sur la possibilité pour les entités privées en France, dont l’activité est maintenue, de collecter des données personnelles de santé dans le cadre de la lutte contre le coronavirus – 16 mars 2020

Article Technologies - Média - Propriété Intellectuelle | 17/03/20 | 7 min. | Florence Chafiol Roxane Blanc-Dubois

Protection des données personnelles

MISE A JOUR - le 24/03/2020


Le Comité Européen de la Protection des Données (« CEPD ») a publié, le 19 mars dernier, une déclaration dans laquelle il revient plus en détails sur les bases légales (article 6 du RGPD) et les exceptions (article 9 du RGPD) sur lesquelles les responsables de traitement (dont les employeurs) pourraient fonder les traitements de données, y compris sensibles, dans le contexte de la crise du coronavirus.

En l’occurrence, s’agissant des données sensibles, le CEPD indique que les entités privées pourraient fonder de tels traitements (notamment) sur l’exception 9-2 i) du RGPD liée aux motifs d'intérêt public dans le domaine de la santé, sur la base du droit de l’Etat membre ou de l’Union.

Le CEPD précise que la possibilité pour les entités privées de collecter des données de santé des visiteurs et employés, ou de soumettre ces derniers à des vérifications de température dans le contexte du coronavirus, devrait ainsi s’apprécier, pays par pays, en fonction du droit local.

En France, comme nous le mentionnions dans notre précédent post du 16 mars dernier, il convient de rester vigilant concernant une éventuelle évolution de la position de la CNIL en la matière (évolution liée à un potentiel assouplissement de son interprétation vis-à-vis notamment de l’obligation des employeurs d’assurer la sécurité et la santé des employés et/ou liée à toute éventuelle mesure spécifique prise par l’Etat français en lien avec la protection des travailleurs dans le contexte du coronavirus).

Rappelons, à toutes fins utiles, que les employeurs ne sauraient, en principe, fonder les traitements de données sensibles de leurs salariés sur le consentement explicite de ces derniers, puisqu’un tel consentement ne serait pas considéré comme librement donné compte tenu du lien de subordination existant entre un employeur et son employé. S’agissant des visiteurs, la validité du consentement peut également être discutée si l’accès aux locaux est interdit au visiteur qui refuserait de se soumettre audit traitement de données ou qui présenterait des symptômes.

Liens utiles

Déclaration du CEPD en date du 19 mars 2020 (en anglais)

Point sur la possibilité pour les entités privées en France, dont l’activité est maintenue, de collecter des données personnelles de santé dans le cadre de la lutte contre le coronavirus – 16 mars 2020

La guerre contre le coronavirus justifie-t-elle tous les traitements de données personnelles notamment sur le lieu de travail ?

____________________________
 

Pour mémoire, un responsable de traitement ne peut procéder au traitement de données personnelles que s’il peut le fonder sur l’une des bases légales de l’article 6 du Règlement Général sur la Protection des Données (« RGPD ») et, en cas de données sensibles, sur l’une des exceptions à l’interdiction de traiter de telles données de l’article 9 du RGPD. L’importance du respect de ces principes, même en temps de crise, est rappelé par le Comité Européen de la Protection des Données dans le communiqué de presse publié le 16 mars.

Comme nous le mentionnions dans notre précédent post sur le sujet, la CNIL a publié des recommandations le 6 mars dernier dans lesquelles elle a indiqué, en substance, que « les employeurs doivent s'abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un employé/agent et ses proches ». A ce titre, elle a précisé qu’il n’était pas possible de mettre en œuvre (i) des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie, ni (ii) la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents.

La CNIL pourrait néanmoins être amenée à mettre à jour ses recommandations. En effet, en fonction des mesures concrètes prises par le gouvernement français dans les prochain(e)s heures ou jours en lien notamment avec la protection des personnes sur le lieu de travail, les entités privées pourraient éventuellement bénéficier de certaines des exceptions de l’article 9 du RGPD fondées sur l’existence d’un texte adopté par l’Etat français pour la gestion de la crise sanitaire et ainsi opérer des traitements (proportionnés) de données de santé dans ce contexte. En effet, parmi les exceptions de l’article 9 du RGPD, figure par exemple la possibilité de traiter des données sensibles si le traitement est mis en œuvre pour des motifs d’intérêt public y compris dans le domaine de la santé, sur la base du droit de l’Etat membre (cf. article 9-2 g) ou i) notamment). L’article 9-4 du RGPD prévoit également la possibilité, pour chaque Etat membre, de « maintenir ou introduire des conditions supplémentaires (…) en ce qui concerne le traitement (…) des données concernant la santé ». Cette disposition générale pourrait éventuellement permettre à l’Etat français d’édicter des mesures spécifiques en matière de traitement de données de santé.

D’ailleurs, le Comité Européen de la Protection des Données indique, dans son communiqué de presse, que les employeurs et les autorités sanitaires compétentes disposent de bases légales et d’exceptions à l’interdiction de traiter des données sensibles dans le RGPD, permettant, éventuellement, le traitement de données personnelles, y compris de santé, dans un contexte d’épidémie tel que le coronavirus. Parmi les éléments cités mais sans plus de précision, figure l’intérêt public en matière de santé et le respect d’une obligation légale.

En Italie, un décret du premier ministre en date du 11 mars dernier (le « Décret ») recommande notamment aux usines de production (lesquelles sont autorisées à poursuivre leurs activités à l’exclusion des activités non essentielles à la production) de prendre des mesures de protection nécessaires pour assurer la santé des travailleurs (travail à distance par exemple) et favorise la signature d’accords entre organisations syndicales et patronales. A la suite de ce Décret, les organisations patronales et syndicales italiennes ont établi, le 14 mars dernier, un protocole d’accord contenant des mesures complémentaires de lutte contre le coronavirus sur le lieu de travail. Ce protocole prévoit la possibilité de collecter des données de santé par voie de questionnaire et la prise de température des employés et visiteurs. Toutefois, des mesures appropriées doivent être mises en place notamment afin de garantir la confidentialité des données et la dignité du travailleur. Ce protocole d’accord semble également inviter les responsables de traitement italiens à indiquer dans la notice d’information à destination des personnes soumises aux questionnaires ou tests de température, que le fondement légal de ce traitement est le Décret en date du 11 mars 2020 visant à enrayer l’épidémie.

Les entités privées en France dont l’activité serait maintenue conformément aux instructions de l’Etat français, devront porter une attention particulière, si ce n’est pas déjà le cas, sur les mesures concrètes à venir de l’Etat français et l’évolution potentielle en résultant des recommandations de la CNIL concernant le traitement de données sensibles.

Liens utiles

https://edpb.europa.eu/sites/edpb/files/files/news/edpb_covid-19_20200316_press_statement_en.pdf (en anglais)

http://www.governo.it/it/articolo/coronavirus-conte-firma-il-dpcm-11-marzo-2020/14299 (Décret du 11 mars 2020 – en italien)

https://www.cisl.it/attachments/article/15466/Protocollo.pdf (protocole d’accord en italien)


Articles recommandés