Le 23 septembre 2020, la CNIL a publié un article rappelant aux employeurs les conditions dans lesquelles ils peuvent mettre en oeuvre des traitements de données personnelles aux fins de lutter contre la propagation du virus COVID-19.La CNIL rappelle qu’il existe une obligation de sécurité pour les employeurs et salariés/agents, les principes applicables au traitement de données de santé et rappelle les principes applicables aux pratiques les plus courantes (ex : relevés de température, tests sérologiques, questionnaires, plan de continuité de l’activité, réorganisation du travail) ainsi que les recommandations des autorités sanitaires.Il ressort de ces recommandations que :
- les salariés/agents ont une obligation de signaler de toute contamination ou suspicion de contamination s’ils sont en contact avec d’autres personnes dans le cadre de leur travail;
- L’employeur doit se limiter à prendre des mesures préventives globale et traiter les signalements de ses salariés, sans diffuser l’information au sein de l’entreprise ;
- A l’exception du traitement des signalements et de ces conséquences, il ne peut pas mettre en place de traitements systématiques des données de santé des salariés ou prendre de mesures individuelles spécifiques. Il doit, dans ce cas, s’appuyer sur les services de santé compétents en la matière qui seuls peuvent décider d’un arrêt de travail ou de conditions de travail particulières.
1. L’obligation de signalement des salariés/agents à leur employeur
Chaque salarié/agent doit veiller à préserver sa propre santé/sécurité mais également celles des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle (article L.4122-1 du Code du travail).
Dans un contexte de pandémie du COVID-19, un salarié travaillant au contact d’autres personnes (collègues et public) doit, à chaque fois qu’il a pu exposer une partie de ses collègues ou du public au virus, informer son employeur en cas de contamination ou de suspicion de contamination.
En revanche, un salarié qui travaillerait de manière isolée sans contact avec ses collègues ou du public (ex: télétravail) n’a pas à faire remonter cette information à son employeur.
Ainsi, en l’absence de mise en danger d’autres personnes, un arrêt de travail qui en découlerait, devrait être traité conformément à la procédure normale des arrêts de travail (i.e. la maladie n’a pas être indiquée).
2. Les droits et obligations des employeurs
Obligation de sécurité de leur salariés
Les employeurs sont responsables de la santé et de la sécurité de leurs employés/agents (cf. en particulier les articles L. 4121-1 et R. 4422-1 du Code du travail ou le décret n°82-453 du 28 mai 1982 modifié).
Cette obligation implique la mise en œuvre d’ actions de prévention des risques professionnels, d’information et de formation, ainsi qu’une organisation du travail et des moyens adaptés aux conditions de travail (cf. les informations sont mises en ligne par le ministère du Travail (direction générale du travail – DGT)).
Conditions de traitement des données de santé
Les employeurs ne doivent pas mettre en place de traitement de données qui porterait une atteinte disproportionnée à la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus aux fins de protéger les employés et le public (cf. RGPD et article 4121-1 du Code du travail).
Les données de santé peuvent, dans le contexte du travail, être traitées sur les bases légales suivantes :
- la nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale : c’est le cas du traitement des signalements par les employés ;
- la nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation (sanitaire) de la capacité de travail du travailleur, de diagnostics médicaux etc.
Lorsqu’elles sont traitées, ces données doivent faire l’objet de mesures de sécurité et de confidentialité très fortes de sécurité et de confidentialité.
Obligation d’information/de transparence
L’information des personnes et le dialogue social (également une obligation en droit du travail) sont une composante essentielle de la gestion de la crise sanitaire et participe à rassurer les personnes concernées.
3. Les traitements que l’employeur peut mettre en place afin de lutter contre la propagation du COVID-19
Dans le contexte du COVID-19, l’employeur est légitime :
- à demander aux salariés travaillant au contact d’autres personnes de lui signaler s’ils sont ou suspectent qu’ils ont été contaminés auprès de lui ou des autorités sanitaires compétentes, aux seules fins de lui permettre d’adapter les conditions de travail ;
- à favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
La seule situation qui suppose pour l’employeur de prendre des mesures individuelles est le signalement effectué par le salarié lui-même lorsque ce dernier a pu être exposé ou exposer une partie de ses collègues ou du public au virus.
Dans cette situation, l’employeur est amené à définir les premières mesures individuelles (ex : télétravail) le temps que le salarié concerné prenne contact avec un professionnel de santé, seul en mesure d’agir et de prescrire ou de renouveler un arrêt de travail (cf. Rappel sur les traitements de données relatives à la santé et le champ d’application du RGPD).
L’employeur n’a pas à systématiser seul l’évaluation du niveau de risque individuel d’exposition au virus COVID-19.
S’il souhaite aller au delà de ses obligations, l’employeur doit s’appuyer sur les services de santé compétent qui sont seuls habilités à prendre des mesures individuelles spécifiques à chaque salariés (médecine du travail).
4. Position de la CNIL sur certaines pratiques
Le suivi de l’état de santé des salariés doit être confié aux service de santé compétent
Les employeurs qui voudraient s’assurer de l’état de santé de leurs salariés doivent s’appuyer sur les services de santé au travail compétents et qui sont au cœur de la gestion de la crise sanitaire. Ces pratiques sont permises par une ordonnance « adaptant les conditions d’exercice des missions des services de santé au travail à l’urgence sanitaire et modifiant le régime des demandes préalables d’autorisation d’activité partielle », a été prise en Conseil des ministres le 1er avril 2020.
Ainsi, les employeurs ne peuvent eux-mêmes mettre en place des fichiers relatifs à la température corporelle de leurs employés ou à certaines pathologies (les « comorbidités ») susceptibles de constituer des troubles aggravants en cas d’infection au COVID-19.
Le traitement des signalements des salariés
L’employeur peut traiter les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou suspecte de l’être ainsi que les mesures organisationnelles prises.
En cas de besoin, l’employeur peut communiquer les informations aux autorités sanitaires compétente, si une prise en charge sanitaire ou médicale de la personne exposée est nécessaire.
L’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres salariés. En pratique, notamment dans les petits services/organisations, il sera difficile de le cacher mais il est important que l’employeur ou la personne en charge de recevoir ce type d’information ne diffuse pas l’information. En principe le médecin et la CPAM identifient les cas contacts et les invitent à passer un test en priorité.
Les relevés de température à l’entrée des locaux
Sauf à ce qu’un texte en prévoit expressément la possibilité, il est interdit aux employeurs de constituer des fichiers conservant des données de températures de leurs salariés ou de mettre en place des outils de captation automatique de température (caméras thermiques).
Les prises manuelles de température à l’entrée d’un site et sans constitution d’un fichier ni remontée d’information ne sont pas soumises au RGPD.
Toutefois, la CNIL rappelle que le Haut Conseil de la Santé Publique recommande de ne pas mettre en place un dépistage du COVID-19 par prise de température dans la population. Les instructions données par la DGT, indiquent également que la prise de température doivent être réservé à des cas particuliers.
La CNIL rappelle également qu’en cas de suspicion d’infection, la personne concernée doit se mettre en rapport avec un professionnel de santé (services de santé au travail, médecin traitant, services d’urgence…), qui est seul en mesure d’apprécier la capacité d’une personne à travailler ou de décider de sa prise en charge.
La réalisation de tests sérologiques et de questionnaires sur l’état de santé
Selon la direction générale du travail, « les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées ».
Seuls les personnels de santé compétents (notamment la médecine du travail) peuvent collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des employés/agents contenant des données de santé ou des informations relatives notamment à leur situation familiale, leurs conditions de vie ou encore, leurs éventuels déplacements ou vulnérabilités.
Il en va de même pour les tests médicaux, sérologiques ou de dépistage du COVID-19 dont les résultats sont soumis au secret médical.
Les plans de continuité de l’activité ou « PCA »
Les « plan de continuité de l’activité » ont pour objectif de maintenir l’activité essentielle de l’organisation en période de crise. Il consiste à décider de toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles et également les personnes nécessaires à la continuité du service.
Dans ce cadre, la création d’un fichier nominatif pour l’élaboration et la tenue du plan qui ne doit contenir que les données nécessaires à la réalisation de cet objectif.
La sécurité et la confidentialité des données doivent être assurées.
Cette publication est également disponible en en_GB.