Face à la crise générée par le Covid-19, l’équilibre est difficile à trouver entre lutter efficacement contre l’épidémie et protéger la vie privée des personnes concernées. Quelles sont les obligations de l’employeur en matière informatique et libertés lors de la mise en œuvre de traitements servant à limiter ou contrôler le risque d’infection ?
Maintenir un équilibre entre les mesures prises et la protection des données personnelles est particulièrement difficile dans le domaine de l’emploi. En vertu du Code du travail, l’employeur est responsable de la santé et de la sécurité de ses salariés. Pour répondre à cette obligation, de nombreux questionnaires de santé plus ou moins intrusifs ont fleuri de toutes parts, provenant principalement des employeurs mais également de certains cocontractants recevant leurs salariés chez eux.
La Commission nationale de l’informatique et des libertés (CNIL) a, la première, publié des directives pour aider les employeurs à gérer la crise. Sa prise de position a été rapidement suivie par le Gouvernement et le Comité européen de protection de la donnée (CEPD). Les recommandations s’accordent toutes sur la même conclusion : malgré les difficultés engendrées par la situation actuelle, les employeurs ne peuvent pas prendre de mesures susceptibles de porter atteinte au respect de la vie privée de leurs salariés.
Notre analyse juridique s’applique essentiellement aux traitements mis en œuvre lorsque les salariés vont encore sur leur lieu de travail. Pour des recommandations concernant la protection des données des salariés en télétravail, vous pouvez consulter notre article : "Work from home and data protection".
Les grands principes de la réglementation Informatique et libertés réaffirmés
Le CEPD affirme, en introduction de sa position récente, que les règles de protection des données personnelles ne doivent pas entraver les mesures prises dans le cadre de la lutte contre la pandémie. Néanmoins, il tempère son propos : si l’urgence peut légitimer des restrictions des droits et des libertés individuelles, ces restrictions doivent rester proportionnées et limitées à cette urgence. Par conséquent, les principes essentiels du RGPD doivent être respectés.
Licéité du traitement. Les traitements mis en œuvre par un employeur dans le cadre de la crise doivent toujours être fondés sur une base légale. Le premier réflexe serait de se tourner vers le consentement. Or, la relation hiérarchique entre un employeur et ses salariés exclut toute possibilité de recueillir un consentement libre. Partant de ce constat, le CEPD estime que les bases légales appropriées peuvent être :
- l’exécution d’une mission d’intérêt public (art. 6 e) du RGPD) ou
- le respect d’une obligation légale (art. 6 c) du RGPD).
En France, l’article L.4121-1 du Code du travail pose l’obligation pour l’employeur de prendre les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs. Si le traitement envisagé poursuit de telles finalités et qu’il ne comporte aucune donnée de santé, il sera alors possible de se fonder, notamment, sur le respect de cette obligation.
Concernant la collecte de catégories particulières de données, au premier plan desquelles se trouvent les données de santé, le CEPD rappelle que le RGPD prévoit des dérogations spéciales à l’interdiction de leur collecte. En effet, il est possible de traiter de telles données en raison d’un intérêt public dans le domaine de la santé publique (art. 9 2) i. du RGPD) ou lorsque e traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée (art. 9 2) c. du RGPD). S’agissant de cette dernière exception, le considérant 46 du RGPD fait explicitement référence aux contrôles en cas de pandémie.
Information des salariés. Il demeure essentiel que les personnes concernées reçoivent une information transparente sur les activités de traitement réalisées et sur leurs caractéristiques principales, à savoir l’identité du responsable, les finalités poursuivies, la base légale du traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des données, la durée de conservation, les droits de personnes, les coordonnées du DPO et le droit d’introduire une plainte auprès de la CNIL. Le CEPD et la CNIL rappellent que ces informations doivent être facilement accessibles et fournies dans un langage clair et simple. L’employeur devra donc veiller à insérer à la fin de chaque formulaire de collecte soit une mention d’information complète, soit une mention contenant a minima ses informations essentielles, et renvoyant vers une politique de confidentialité aisément accessible pour des informations complètes.
Sécurité des données. L’employeur devra veiller à adopter des mesures de sécurité adaptées aux risques que représente le traitement. En cas de recours à des sous-traitants, il devra s’assurer de la conclusion d’accords de confidentialité adaptés pour que les données à caractère personnel ne soient pas divulguées à des tiers non autorisés. Le CEPD rappelle également qu’il est important de documenter les mesures prises pour gérer l’urgence et tracer le processus décisionnel.
Proportionnalité des mesures. Bien que ce principe soit moins évident à cerner en période de crise sanitaire, il continue néanmoins de s’appliquer. L’employeur devra donc privilégier les solutions les moins intrusives au regard de l’objectif à atteindre.
Le principe de minimisation appliqué aux données traitées
Limitation à la finalité poursuivie. En vertu du principe de proportionnalité, les données collectées par un employeur doivent être strictement nécessaires à la gestion d’une exposition suspectée au virus. La CNIL rappelle ainsi qu’il n’est pas possible d’imposer aux salariés des relevés obligatoires des températures corporelles ou d’organiser la collecte de fiches médicales.
Absence de contrainte. La CNIL considère que l’employeur ne peut mettre en place que des processus de signalement des salariés. Ce signalement sera réalisé par le biais de canaux dédiés permettant aux salariés de se manifester auprès de leur employeur. Ce signalement reste fondé sur le volontariat et il est impossible d’y contraindre un salarié. De plus, les seules données pouvant être collectées sont la date, l’identité de la personne suspectée d’avoir été exposée et les mesures organisationnelles prises, telles que le confinement, le télétravail, la prise de contact avec le médecin du travail, etc.
Interdiction de collecte des données de santé. Seule la médecine du travail est compétente pour collecter les données de santé des salariés. Ces données recouvrent autant la pathologie en elle-même que ses symptômes. La CNIL considère donc que les employeurs ne doivent pas collecter de manière systématique et généralisée des informations relatives à d’éventuels symptômes du salarié ou de ses proches ou encore l’existence de maladies susceptibles d’être qualifiées de comorbidité. Cependant, après une analyse approfondie et au cas par cas et pour faire face à un risque élevé d’infection, l’employeur peut inviter les personnes présentant de telles pathologies à se signaler auprès de lui pour qu’il puisse aménager leurs conditions de travail pour limiter le risque d’infection, par exemple, allonger la période de télétravail.
Anonymat ? Si l’employeur a l’obligation d’informer les autres salariés d’un cas possible d’infection, il doit le faire sans divulguer l’identité de la personne contaminée et sans mettre en place un suivi particulier des employés qui auraient été en contact avec cette personne.
Cependant, en cas de risque élevé d’infection, une telle divulgation pourrait se justifier pour en informer les personnes exposées. Tel qu’exposé ci-dessus dans le paragraphe "licéité du traitement", il sera nécessaire de déterminer la base légale pertinente à cette divulgation puisqu’une telle appréciation ne peut se faire qu’au cas par cas.
En cette période où il est essentiel d’agir vite, il reste ainsi nécessaire de faire preuve de modération et de réflexion afin de ne pas porter une atteinte disproportionnée et irréversible aux droits et aux libertés des personnes. La balance entre efficacité et contraintes est délicate et peut varier d’un pays à un autre. Il est donc essentiel d’étudier les règles et recommandations nationales et de réaliser une étude approfondie et au cas par cas lors de la mise en place de traitement de données personnelles.
Dossier : les impacts du Covid-19 (Coronavirus)
Notre cabinet d'avocats vous propose son assistance juridique pour appréhender tous les impacts du Covid-19 (Coronavirus) sur votre entreprise. Découvrez notre dossier dédié ci-dessous.
En savoir plus sur notre cabinet d'avocats :
Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Notre enracinement local, notre positionnement unique et notre expertise reconnue nous permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.