Rédigé par Olivier NICOLAS, Directeur SOFTEAM Software.
Une crise sanitaire sans précédent
Depuis que la crise sanitaire du Covid-19 (Coronavirus) a débuté tout le monde s’accorde à dire qu’il s’agit d’une menace mondiale auquel il faut répondre avec les mesures appropriées. Depuis les annonces du Président de la République le 12 mars 2020 ordonnant de fermer crèches, écoles et universités et du Premier Ministre le 14 mars 2020 fermant tous les lieux non indispensables (salles de spectacles, bars, restaurants…) la France se trouve dans une situation inédite. Situation à laquelle la population réagit parfois de manière psychotique : les réseaux sociaux regorgent de rumeurs farfelues et certains consommateurs se ruent dans les supermarchés alors que rien n’annonce une pénurie.
Tout est-il alors permis ?
Par soucis de bien faire, pour préserver la santé de leurs employés, des employeurs privés et publics surréagissent parfois en collectant des données de santé qui sont des données personnelles sensibles.
C’est pourquoi la CNIL rappelle quelques principes.
Bien sûr que non
La CNIL rappelle que les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte à la vie privée des personnes concernées (leurs employés, leurs clients, leurs fournisseurs) : les entreprises et administrations ne doivent pas collecter des données de santé pour une finalité autre que la gestion des suspicions d’exposition au virus. Le RGPD s’applique ainsi que le Code de la santé publique.
Ainsi,
- Il ne faut pas obliger chaque employé ou agent à communiquer des données de santé (telles que des relevés quotidiens de température corporelle)
- Il ne faut pas collecter des fiches ou questionnaires médicaux auprès de tous les employés ou agents
Pas de collecte généralisée et systématique ou de demandes individuelles pour rechercher d’éventuels symptômes de contamination au virus pour l’employé, l’agent et ses proches.
Mais raisonnablement oui
Cependant, les employeurs sont responsables de la sécurité et de la santé de leurs salariées et agents. C’est le Code du travail qui le dit. Ainsi il est de son obligation de mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation. Il doit aussi mettre en place une organisation et des moyens adaptés à la maitrise de la sécurité et de la santé des employés et agents.
Ainsi il peut collecter des informations personnelles :
- En sensibilisant et en invitant ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition au virus, auprès de lui ou des autorités sanitaires compétentes. Il s’agit donc d’une démarche volontaire de l’employé ou de l’agent.
- En facilitant la transmission de ces informations par la mise en place, au besoin, de canaux dédiés.
- En favorisant le télétravail (par exemple avec le support de la DIRRECTE Occitanie et du cluster Digital 113)
L’employeur peut stocker des données personnelles (date et identité de la personne suspectée d’exposition au virus) si cette personne lui a signalé volontairement ces informations.
Puis l’employeur peut consigner ces informations qui lui ont été signalées :
- Date et identité de la personne suspectée d’avoir été exposée
- Mesures organisationnelles prises en conséquence : confinement, télétravail, orientation vers le médecin du travail…
Ces informations pourront être mises à disposition des autorités sanitaires sur leur demande afin de faciliter une éventuelle prise en charge sanitaire ou médicale de la personne concernée exposée. Il convient donc pour l’employeur de ne collecter que les données de santé qui seront demandées par ces autorités.
Enfin les organisations employeuses, pour maintenir leur activité essentielle, peuvent établir un Plan de Continuité d’Activité (PCA). Il doit comprendre toutes les mesures pour protéger la sécurité des employés et identifier ces activités essentielles et les personnes nécessaires à la continuité de service.
Et obligatoirement oui
Mais aussi les employés et agents doivent tout mettre en œuvre pour préserver la santé et la sécurité d’autrui (les autres employés, les clients, les fournisseurs etc.) et de lui-même comme le précise le code du travail. Ainsi il doit informer son employeur en cas de suspicion de contact avec le virus (de lui-même ou de son entourage professionnel ou personnel).
De plus, les autorités de santé peuvent aussi collecter des données de santé dans la finalité de prendre les mesures adaptées à la situation.
Conclusion
Le RGPD protège les données personnelles des employés et agents dont, en premier lieu, les données sensibles que sont les données de santé. L’employeur ne peut pas systématiser et généraliser la collecte d’informations de santé. Mais le RGPD tient compte des obligations de l’employeur et de l’employé inhérentes au Code du Travail, en particulier l’obligation des employés et agents de signaler une suspicion de contamination à leur employeur.
La lutte contre cette pandémie est l’affaire de tous, en responsabilité.
Nous rappellerons pour finir les recommandations sanitaires du Gouvernement :