Home / Actualités / Employeur, Covid-19 et gestion de crise : urgence...

Employeur, Covid-19 et gestion de crise : urgence ne doit pas rimer avec précipitation

Les grands principes de la réglementation Informatique et libertés réaffirmés

14/04/2020

Face à la crise générée par le Covid-19, l’équilibre est difficile à trouver entre lutter efficacement contre l’épidémie et protéger la vie privée des personnes concernées. Quelles sont les obligations de l’employeur en matière informatique et libertés lors de la mise en œuvre de traitements servant à limiter ou contrôler le risque d’infection ?

Maintenir un équilibre entre les mesures prises et la protection des données personnelles est particulièrement difficile dans le domaine de l’emploi. En vertu du Code du travail, l’employeur est responsable de la santé et de la sécurité de ses salariés. Pour répondre à cette obligation, de nombreux questionnaires de santé plus ou moins intrusifs ont fleuri de toutes parts, provenant principalement des employeurs mais également de certains cocontractants recevant leurs salariés chez eux. 

La Commission nationale de l’informatique et des libertés (CNIL) a, la première, publié des directives pour aider les employeurs à gérer la crise. Sa prise de position a été rapidement suivie par le Gouvernement et le Comité européen de protection de la donnée (CEPD). Les recommandations s’accordent toutes sur la même conclusion : malgré les difficultés engendrées par la situation actuelle, les employeurs ne peuvent pas prendre de mesures susceptibles de porter atteinte au respect de la vie privée de leurs salariés.

Notre analyse juridique s’applique essentiellement aux traitements mis en œuvre lorsque les salariés vont encore sur leur lieu de travail. Pour des recommandations concernant la protection des données des salariés en télétravail, vous pouvez consulter notre article  : "Work from home and data protection".

Les grands principes de la réglementation Informatique et libertés réaffirmés

Le CEPD affirme, en introduction de sa position récente, que les règles de protection des données personnelles ne doivent pas entraver les mesures prises dans le cadre de la lutte contre la pandémie. Néanmoins, il tempère son propos : si l’urgence peut légitimer des restrictions des droits et des libertés individuelles, ces restrictions doivent rester proportionnées et limitées à cette urgence. Par conséquent, les principes essentiels du RGPD doivent être respectés.

Licéité du traitement. Les traitements mis en œuvre par un employeur dans le cadre de la crise doivent toujours être fondés sur une base légale. Le premier réflexe serait de se tourner vers le consentement. Or, la relation hiérarchique entre un employeur et ses salariés exclut toute possibilité de recueillir un consentement libre. Partant de ce constat, le CEPD estime que les bases légales appropriées peuvent être :

  • l’exécution d’une mission d’intérêt public (art. 6 e) du RGPD) ou
  • le respect d’une obligation légale (art. 6 c) du RGPD).

En France, l’article L.4121-1 du Code du travail pose l’obligation pour l’employeur de prendre les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs. Si le traitement envisagé poursuit de telles finalités et qu’il ne comporte aucune donnée de santé, il sera alors possible de se fonder, notamment, sur le respect de cette obligation.

Concernant la collecte de catégories particulières de données, au premier plan desquelles se trouvent les données de santé, le CEPD rappelle que le RGPD prévoit des dérogations spéciales à l’interdiction de leur collecte. En effet, il est possible de traiter de telles données en raison d’un intérêt public dans le domaine de la santé publique (art. 9 2) i. du RGPD) ou lorsque e traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée (art. 9 2) c. du RGPD). S’agissant de cette dernière exception, le considérant 46 du RGPD fait explicitement référence aux contrôles en cas de pandémie.

Information des salariés. Il demeure essentiel que les personnes concernées reçoivent une information transparente sur les activités de traitement réalisées et sur leurs caractéristiques principales, à savoir l’identité du responsable, les finalités poursuivies, la base légale du traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des données, la durée de conservation, les droits de personnes, les coordonnées du DPO et le droit d’introduire une plainte auprès de la CNIL. Le CEPD et la CNIL rappellent que ces informations doivent être facilement accessibles et fournies dans un langage clair et simple. L’employeur devra donc veiller à insérer à la fin de chaque formulaire de collecte soit une mention d’information complète, soit une mention contenant a minima ses informations essentielles, et renvoyant vers une politique de confidentialité aisément accessible pour des informations complètes.

Sécurité des données. L’employeur devra veiller à adopter des mesures de sécurité adaptées aux risques que représente le traitement. En cas de recours à des sous-traitants, il devra s’assurer de la conclusion d’accords de confidentialité adaptés pour que les données à caractère personnel ne soient pas divulguées à des tiers non autorisés. Le CEPD rappelle également qu’il est important de documenter les mesures prises pour gérer l’urgence et tracer le processus décisionnel.

Proportionnalité des mesures. Bien que ce principe soit moins évident à cerner en période de crise sanitaire, il continue néanmoins de s’appliquer. L’employeur devra donc privilégier les solutions les moins intrusives au regard de l’objectif à atteindre.

Le principe de minimisation appliqué aux données traitées

Limitation à la finalité poursuivie. En vertu du principe de proportionnalité, les données collectées par un employeur doivent être strictement nécessaires à la gestion d’une exposition suspectée au virus. La CNIL rappelle ainsi qu’il n’est pas possible d’imposer aux salariés des relevés obligatoires des températures corporelles ou d’organiser la collecte de fiches médicales.

Absence de contrainte. La CNIL considère que l’employeur ne peut mettre en place que des processus de signalement des salariés. Ce signalement sera réalisé par le biais de canaux dédiés permettant aux salariés de se manifester auprès de leur employeur. Ce signalement reste fondé sur le volontariat et il est impossible d’y contraindre un salarié. De plus, les seules données pouvant être collectées sont la date, l’identité de la personne suspectée d’avoir été exposée et les mesures organisationnelles prises, telles que le confinement, le télétravail, la prise de contact avec le médecin du travail, etc.

Interdiction de collecte des données de santé. Seule la médecine du travail est compétente pour collecter les données de santé des salariés. Ces données recouvrent autant la pathologie en elle-même que ses symptômes. La CNIL considère donc que les employeurs ne doivent pas collecter de manière systématique et généralisée des informations relatives à d’éventuels symptômes du salarié ou de ses proches ou encore l’existence de maladies susceptibles d’être qualifiées de comorbidité. Cependant, après une analyse approfondie et au cas par cas et pour faire face à un risque élevé d’infection, l’employeur peut inviter les personnes présentant de telles pathologies à se signaler auprès de lui pour qu’il puisse aménager leurs conditions de travail pour limiter le risque d’infection, par exemple, allonger la période de télétravail.

Anonymat ? Si l’employeur a l’obligation d’informer les autres salariés d’un cas possible d’infection, il doit le faire sans divulguer l’identité de la personne contaminée et sans mettre en place un suivi particulier des employés qui auraient été en contact avec cette personne.

Cependant, en cas de risque élevé d’infection, une telle divulgation pourrait se justifier pour en informer les personnes exposées. Tel qu’exposé ci-dessus dans le paragraphe "licéité du traitement", il sera nécessaire de déterminer la base légale pertinente à cette divulgation puisqu’une telle appréciation ne peut se faire qu’au cas par cas.

En cette période où il est essentiel d’agir vite, il reste ainsi nécessaire de faire preuve de modération et de réflexion afin de ne pas porter une atteinte disproportionnée et irréversible aux droits et aux libertés des personnes. La balance entre efficacité et contraintes est délicate et peut varier d’un pays à un autre. Il est donc essentiel d’étudier les règles et recommandations nationales et de réaliser une étude approfondie et au cas par cas lors de la mise en place de traitement de données personnelles.


Dossier : les impacts du Covid-19 (Coronavirus)

Notre cabinet d'avocats vous propose son assistance juridique pour appréhender tous les impacts du Covid-19 (Coronavirus) sur votre entreprise. Découvrez notre dossier dédié ci-dessous.

coronavirus covid19 FR 800x300

Bouton inscription newsletter - 800x90

En savoir plus sur notre cabinet d'avocats :

Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Notre enracinement local, notre positionnement unique et notre expertise reconnue nous permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.

cabinet avocats CMS en France

A propos de notre cabinet d'avocats

expertise tmc 330x220

Expertise : Technologie, Media et Communication

nous contacter 330x220

Nous contacter

Avocats

Anne Laure Villedieu
Anne-Laure Villedieu
Associée
Paris
Favero Eleonore
Eléonore Favero
Avocat
Paris