La Cnil rappelle les précautions que doivent prendre les entreprises dans le traitement des données de santé de leurs salariés en cette période d’épidémie.
Le Règlement général de protection des données fixe un cadre qui doit être respecté même face à l’urgence sanitaire.
Les obligations sanitaires des employeurs et des salariés
En application de leur obligation de sécurité et de prévention, la Cnil rappelle que les employeurs ont le droit de traiter des données personnelles lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales.
Ainsi, ils peuvent :
• Rappeler à leurs salariés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination, auprès de lui ou des autorités sanitaires compétentes, aux seules fins de leur permettre d’adapter les conditions de travail;
• Faciliter leur transmission par la mise en place, au besoin, de canaux dédiés et sécurisés;
• Favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
Le salarié a lui aussi des obligations particulières pendant cette crise sanitaire.
Ainsi, si en principe, le salarié malade ne doit communiquer à son employeur que l’éventuel arrêt de maladie dont il pourrait bénéficier, sans qu’aucune autre précision sur son état de santé ou la nature de la pathologie ne soit transmise, il en va différemment dans le contexte de la pandémie. Le salarié qui travaille au contact d’autres personnes doit, à chaque fois qu’il a pu exposer une partie de ses collègues au virus, informer son employeur en cas de contamination ou de suspicion de contamination au virus, rappelle la Cnil.
La Cnil précise que le salarié qui télétravaille ou qui travaille de manière isolée sans contact avec ses collègues ou du public n’a pas à faire remonter cette information à son employeur.
Le traitement par les employeurs des signalements
Les employeurs ne peuvent traiter «que les données strictement nécessaires à la satisfaction de leurs obligations légales et conventionnelles, c’est-à-dire nécessaires pour prendre des mesures organisationnelles (mise en télétravail, orientation vers le médecin du travail, etc.), de formation et d’information, ainsi que certaines actions de prévention des risques professionnels», insiste la Cnil.
Seuls les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou suspecter de l’être ainsi que les mesures organisationnelles prises peuvent être traités par l’employeur.
L’employeur peut, le cas échéant, communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée. Mais la Cnil prévient : l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres salariés. .
Le respect du règlement général de protection des données de santé
Si l’employeur doit prendre des mesures sanitaires pour limiter la circulation du virus, «ils ne sauraient prendre de mesures susceptibles de porter une atteinte disproportionnée à la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus aux fins de protéger les employés et le public», rappelle la Cnil. «En raison du caractère sensible qu’elles revêtent, les données relatives à l’état de santé d’une personne font en effet l’objet d’une protection juridique toute particulière : elles sont en principe interdites de traitement».
Ainsi, pour pouvoir être traitées, leur utilisation doit nécessairement s’inscrire dans l’une des exceptions prévues par le RGPD. De plus, leur sensibilité justifie qu’elles soient traitées dans des conditions très fortes de sécurité et de confidentialité et uniquement par ceux qui sont habilités à le faire.
La Cnil précise que les exceptions peuvent relever soit de :
• La nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale : c’est le cas du traitement des signalements par les employés;
• La nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation (sanitaire) de la capacité de travail du travailleur, de diagnostics médicaux etc.
Les employeurs doivent en tous les cas s’appuyer sur les services de santé au travail. Ils ne peuvent eux-mêmes mettre en place des fichiers relatifs à la température corporelle de leurs employés ou à certaines pathologies (les comorbidités) susceptibles de constituer des troubles aggravants en cas d’infection au Covid-19.
La réalisation de tests sérologiques
La Cnil rappelle que la direction générale du travail interdit les campagnes de dépistage organisées par les entreprises pour leurs salariés.
Elle rappelle ensuite que «les tests médicaux, sérologiques ou de dépistage du Covid-19 dont les résultats sont soumis au secret médical : l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé.
Il ne pourra alors traiter que cette seule information, sans autre précision relative à l’état de santé de l’employé, d’une façon analogue au traitement des arrêts de maladie qui n’indiquent pas la pathologie dont l’employé est atteint».
Les données thermiques
S’agissant du contrôle systématique de la température des employés et visiteurs à l’entrée de leurs locaux, la Cnil rappelle que, lorsqu’elle fait l’objet d’un traitement, la température corporelle d’un individu constitue une donnée sensible relative à sa santé, justifiant qu’elle fasse l’objet d’une protection particulière.
En l’état du droit (notamment de l’article 9 du RGPD), et sauf à ce qu’un texte en prévoit expressément la possibilité, sont ainsi interdits aux employeurs :
• Les relevés de températures des employés ou visiteurs dès lors qu’ils seraient enregistrés dans un traitement automatisé ou dans un registre papier;
• Les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques.
La Cnil précise bien que la règlementation sur les traitements de données ne s’applique qu’aux traitements automatisés (notamment informatiques) ou aux traitements non automatisés qui permettent de constituer des fichiers. Ainsi, la seule vérification de la température au moyen d’un thermomètre manuel (tel que par exemple de type infrarouge sans contact) à l’entrée d’un site, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée (tels que des relevés de ces températures, des remontées d’informations, etc.), ne relève pas de la règlementation en matière de protection des données.
Comments