Le 19 mars 2020, le Comité européen à la protection des données (CEPD) a adopté une déclaration sur la manière dont les employeurs et les autorités publiques peuvent traiter les données personnelles dans le contexte de l’épidémie de Covid-19.
La CNIL s’est également positionnée sur les traitements mises en oeuvre par les employeurs dans ce contexte.
En effet, les employeurs et les autorités publiques jouent un rôle important dans l’endiguement de l’épidémie de COVID-19 et ont envisagé différents types de traitement des données pour surveiller et contenir l’évolution de l’épidémie (par exemple, l’utilisation de données de localisation mobile, etc.). Dans ce contexte, le CEPD a proposé une analyse de la licéité globale des activités de traitement envisagées.
1. Les principes fondamentaux du RGPD s’appliquent toujours aux traitements des données mis en oeuvre dans le contexte des épidémies
Une situation d’urgence peut légitimer des restrictions de libertés à condition que ces restrictions soient proportionnées et limitées à la période d’urgence.
À cet égard, le responsable du traitement doit continuer à respecter les principes de protection des données et, en particulier, ils doivent:
- traiter ces données à des fins spécifiques et explicites ;
- fournir aux personnes une notice d’information comprenant les principales caractéristiques du traitement, telles que la période de conservation et les finalités du traitement ;
- mettre en œuvre des mesures de sécurité et des politiques de confidentialité pour empêcher tout accès non autorisé ;
- documenter les mesures mises en œuvre pour gérer l’urgence actuelle et le processus décisionnel sous-jacent.
2. Droits et obligations des employeurs dans le cadre de l’épidémie de Covid-19
2.1. Les employeurs doivent se référer aux lois nationales spécifiques
Le CEPD rappelle aux employeurs de ne traiter les données personnelles que dans la mesure prévue par les lois nationales spécifiques.
En effet, les bases légales des traitements des données mis en oeuvre dans le contexte de l’épidémie de COVID-19 sont le respect d’une obligation légale telles que les obligations relatives à la santé et à la sécurité sur le lieu de travail, ou à l’intérêt public, comme le contrôle des maladies et autres menaces pour la santé.
En outre, si des données relatives à la santé sont nécessaires, elles peuvent être traitées sur la base de:
- l’article 9.2.i, qui permet le traitement de catégories particulières de données pour des raisons d’intérêt public important dans le domaine de la santé publique, sur la base du droit de l’Union ou du droit national ; ou
- l’article 9.2.c. lorsqu’il est nécessaire de protéger l’intérêt vital de la personne concernée.
2.2. Quels sont les traitements de données qu’un employeur peut envisager de mettre en oeuvre dans le cadre de l’épidémie de COVID-19 ?
Il n’y a pas de réponse uniforme applicable à toute l’Union Européenne. Il est donc nécessaire de se référer aux lois nationales pour comprendre ce qu’un employeur peut faire dans le contexte du COVID-19.
Toutefois, lorsque les lois nationales sur le travail ou la santé et la sécurité l’exigent ou le permettent, l’employeur peut envisager de :
- demander des informations sur la santé des salariés ou des visiteurs ;
- effectuer des contrôles médicaux (par exemple, vérification de la température, etc.) ;
- collecter des informations de santé ;
- communiquer le nom des salariés infectés aux autres salariés. Toutefois, l’EDPB souligne l’obligation pour les employeurs d’informer au préalable l’employé concerné et de protéger sa dignité et son intégrité ;
- d’obtenir les informations personnelles traitées dans le cadre de la COVID-19 pour remplir leurs obligations et organiser le travail.
2.3. La position de la CNIL en France
La CNIL rappelle que l’employeur est responsable de la santé et la sécurité de ses salariés (cf. article L. 4121-1 du Code du travail) mais ne peut pas collecter de données de santé qui iraient au delà de la gestion des suspicions d’exposition au virus.
Elle rappelle également que le salarié a une obligation d’informer son employeur s’il suspecte avoir été en contact avec le virus (cf. article L.4122-1 du Code du travail).
En pratique, la CNIL rejette les pratiques impliqant la recherche systématique de symptômes des salariés et de leurs proches et privilégie la remontée individuelle d’information lorsqu’un risque est identifié.
Ainsi, elle interdit :
- des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ;
- la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des salariés/agents.
Mais elle permet à l’employeur de :
- sensibiliser et inviter ses salariés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
- faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
En cas de signalement, la CNIL indique qu’un employeur peut consigner :
- la date et l’identité de la personne suspectée d’avoir été exposée ;
- les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).
La CNIL rappelle également que l’employeur pourra transmettre aux autorités sanitaires qui le demanderaient, les éléments liés à la nature de l’exposition nécessaires à la prise en charge sanitaire ou médicale de la personne. Ceci implique que cette information peut également être collectée.
3. Les autorités publiques et la surveillance de l’épidémie de COVID-19
3.1. Le RGPD permet aux autorités publiques de collecter des données dans le cadre de l’épidémie
Le RGPD permet aux autorités de santé publique compétentes de traiter des données personnelles dans le contexte d’une épidémie.
Elles peuvent s’appuyer sur les articles 6 et 9 du RGPD pour traiter des données à caractère personnel dans ce contexte (par exemple, l’intérêt public, l’intérêt vital de la personne concernée, etc.).
Sur ce point la CNIL précise qu’en France, les autorités sanitaires peuvent collecter des données de santé peuvent pour prendre les mesures adaptées à la situation. Cela peut impliquer l’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes.
Toutefois, des conditions légales supplémentaires s’appliquent lorsque les autorités publiques envisagent d’utiliser des données de localisation mobile, car la directive « vie privée et communications électroniques » s’applique également.
3.2. Peuvent-elles utiliser des données de localisation mobile pour surveiller et contenir l’épidémie de COVID-19 ?
Dans certains États membres, les gouvernements envisagent d’utiliser des données de localisation mobile pour surveiller, contenir ou atténuer la propagation de COVID-19 (par exemple pour géolocaliser des personnes ou envoyer des messages de santé publique à des personnes dans une zone spécifique par téléphone ou par SMS).
Le CEPD encourage les pouvoirs publics à d’abord traiter les données de localisation de manière anonyme, car elles peuvent suffire à générer une cartographie et le RGPD ne s’appliquerait pas dans ce cas.
Toutefois, il existe des cas où les données anonymes ne sont pas suffisantes pour atteindre les objectifs envisagés.
Une loi spécifique est nécessaire pour collecter les données de localisation sans le consentement des personnes concernées
En vertu de la directive « vie privée et communications électroniques », les données de localisation ne peuvent être utilisées par l’opérateur que lorsqu’elles sont rendues anonymes ou avec le consentement des personnes concernées.
Lorsque les données anonymes ne sont pas suffisantes pour atteindre les objectifs poursuivis, les États membres peuvent introduire des mesures législatives pour assurer la sécurité publique (voir l’article 15 de la directive « vie privée et communications électroniques »).
Une telle législation exceptionnelle n’est possible que si les mesures envisagées :
- constituent une mesure nécessaire, appropriée et proportionnée dans une société démocratique ;
- sont conformes à la Charte des droits fondamentaux et à la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ;
- sont mises en œuvre pour une durée n’excédant pas celle de la periode d’urgence en question ;
- sont soumises à des garanties adéquates (par exemple, les individus disposent d’un droit de recours judiciaire).
En outre, ces mesures sont soumises au contrôle juridictionnel de la Cour de justice européenne et de la Cour européenne des droits de l’homme.
Le suivi des personnes demeure soumis à des conditions strictes
Le CEPD encourage les autorités publiques à préférer les solutions les moins intrusives.
Lorsque des mesures plus invasives sont envisagées, telles que le « suivi » des personnes (c’est-à-dire le traitement de données de localisation historiques non anonymes), elles pourraient être autorisées dans des circonstances exceptionnelles et en fonction des modalités concrètes du traitement.
Le CEPD recommande que cette activité fasse l’objet d’un contrôle renforcé et que les autorités publiques mettent en place des garanties pour assurer le respect des principes de protection des données (proportionnalité de la mesure en termes de durée et de portée, limitation de la conservation des données et de la finalité).
