EMPLOYEUR ET PROTECTION DES DONNÉES PERSONNELLES DANS LE CONTEXTE DU COVID-19
Dans le cadre de l'épidémie de Covid-19, le ministère du Travail et la CNIL (autorité de protection des données) ont publié une série de recommandations à l'intention des employeurs concernant les mesures à prendre pour la sécurité des employés et le traitement des données personnelles en pareilles circonstances.
Petit rappel de la législation
Le Code du travail prévoit une obligation générale pour les employeurs de prendre toutes les mesures nécessaires pour assurer la sécurité et protéger la santé des travailleurs (L4121-1). Ces mesures comprennent des actions de prévention des risques professionnels, des actions d’information et de formation ainsi que la mise en place d’une organisation et de moyens adaptés. Il est précisé que l’employeur veille à l’adaptation de ces mesures pour tenir compte du changement des circonstances et tendre à l’amélioration des situations existantes.
La pandémie de COVID-19 nécessite que l’employeur mette en œuvre des mesures adaptées afin d’assurer au mieux la sécurité et la santé du personnel.
Mise à jour du document unique d’évaluation des risques professionnels
Dans ces circonstances, l’employeur doit procéder à une actualisation du document unique d’évaluation des risques professionnels et consigner les mesures prises en réponse à ces risques. Si l’entreprise en compte, les instances représentatives du personnel et le médecin du travail sont impliqués, et les salariés sont informés de la mise à jour et des mesures à mettre en place au sein des établissements et/ou en télétravail.
Les employeurs sont-ils autorisés à informer leurs employés du fait qu'un collègue est suspecté d’être contaminé par le COVID-19 ?
Sous réserve du respect de la protection des données personnelles, les employeurs peuvent en effet, et doivent, informer leurs employés des risques liés au COVID-19 au sein de leur entreprise, sans révéler l'identité de l'employé concerné.
A cet égard, il convient de noter qu'il est du devoir de l'employé d'informer l'employeur en cas de suspicion d'exposition au virus. Une fois informé, l'employeur doit mettre en œuvre toutes les mesures nécessaires pour protéger les employés (y compris l'information) et inviter l'employé à appeler son médecin habituel. L'employeur doit également informer le médecin du travail de l'entreprise.
Dans le cas d'une telle notification, l'employeur peut enregistrer la date et l'identité de la personne suspectée d'avoir été exposée et les mesures organisationnelles prises (confinement, télétravail, orientation et contact avec le médecin du travail, etc.). L'employeur pourra ainsi communiquer aux autorités sanitaires, à leur demande, les informations relatives à la nature de l'exposition, nécessaires à toute prise en charge sanitaire ou médicale de la personne exposée.
Afin de se conformer à leurs obligations de sécurité, les employeurs peuvent donc communiquer au sein de l’entreprise sur la suspicion d’exposition du virus d’un employé, (i) à condition qu'ils préservent l'anonymat de l'employé et (ii) dans la limite de la nécessité de ces informations pour protéger les autres employés.
Quel est le traitement des données personnelles dans le cadre du COVID-19 ?
Dans la mise en œuvre des mesures susmentionnées, et comme l'a précisé la CNIL, les employeurs doivent veiller à ne pas porter atteinte au droit à la vie privée des salariés, y compris lors de la collecte de données médicales, qui bénéficient de la protection de la RGPD (règlement général sur la protection des données) et du code de la santé publique.
Les données collectées ne doivent concerner que la "gestion de la suspicion d'exposition au virus".
Concrètement, il est conseillé aux employeurs de collecter la date et l'identité de la personne qui a pu être exposée ainsi que les actions entreprises en conséquence (confinement, travail à domicile, contact avec le médecin du travail...).
L'employeur ne peut cependant pas collecter de manière systématique et générale des données concernant les symptômes potentiels d'un employé et/ou de ses proches, comme la consignation obligatoire de la température corporelle ou la collecte de dossiers médicaux auprès de tous les employés.
Ainsi, les employeurs peuvent préparer une liste de personnes susceptibles d'être concernées par le COVID-19, mais cette liste doit contenir le minimum de données à caractère personnel nécessaires pour protéger la santé des employés. La collecte de données personnelles doit être strictement limitée et proportionnée à l’objectif de santé et de sécurité poursuivi.
La réalisation et le maintien de cette liste doivent respecter les principes de la protection des données. Aussi, l’employeur doit limiter l'accès à ce fichier au personnel qui a strictement besoin de connaître les informations et ne doit pas utiliser les données à d'autres fins que celles indiquées ci-dessus.
Les données de santé collectées pourraient être requises par les autorités de santé publique
Le guide publié par la CNIL précise que les autorités de santé publique peuvent collecter des données de santé personnelles. Ces autorités sont seules responsables de l'évaluation et de la collecte des informations relatives aux symptômes de la COVID-19 et aux mouvements récents des individus.
Dans ce cas, la licéité de cette collecte de données serait fondée sur "les traitements nécessaires pour des raisons d'intérêt public dans le domaine de la santé publique, telles que la protection contre les menaces transfrontières graves pour la santé" (Article 9(2)(i) du RGPD).
Il est donc possible que les données recueillies par les employeurs soient requises par les autorités sanitaires gouvernementales afin de consolider les réponses et mesures mises en place à l’échelle nationale pour limiter la pandémie.
Article rédigé par Rebecca Guyot, Avocat, et Adélaïde Hello, Elève-avocat.
