L’employeur, est sur un fil lorsqu’il doit mettre en œuvre les mesures nécessaires pour préserver ses salariés du Covid-19 tout en protégeant leurs données personnelles. En effet, l’employeur est responsable de la santé et de la sécurité de ses salariés.

Pour répondre à cette obligation, de nombreuses mesures ont été prises en urgence, du questionnaire de santé au relevé de température obligatoire.

La Commission nationale de l’informatique et des libertés (CNIL) a, la première, publié des directives à destination des employeurs, rapidement suivie par le Gouvernement et le Comité européen de protection de la donnée (CEPD). Les recommandations s’accordent sur une même conclusion : la crise ne justifie pas de porter atteinte au respect de la vie privée des salariés.

Les grands principes de la réglementation Informatique et libertés réaffirmés

Si la licéité des traitements est le principe, même en cas de crise, un employeur doit toujours fonder ses traitements sur une base légale. Le premier réflexe serait de se tourner vers le consentement. Or, la relation hiérarchique entre un employeur et ses salariés exclut toute possibilité de recueillir un consentement libre. Partant de ce constat, le CEPD estime que les bases légales appropriées peuvent être :

•  l’exécution d’une mission d’intérêt public ; ou

•  le respect d’une obligation légale (art. 6 e) et c) du RGPD).

En France, l’article L.4121-1 du Code du travail imposant à l’employeur de prendre les mesures nécessaires pour assurer la sécurité et la santé des travailleurs, les traitements poursuivant cette finalité peuvent se fonder, notamment, sur le respect de cette obligation.

Pourtant, la collecte de données de santé peut s’avérer particulièrement épineuse, puisqu’elle est en principe interdite, sauf dérogation en raison d’un intérêt de santé publique ou pour protéger les intérêts vitaux de la personne concernée. S’agissant de cette dernière exception, le considérant 46 du RGPD fait explicitement référence aux contrôles en cas de pandémie. Elle apparaît donc comme la base légale la plus adaptée aux traitements mis en œuvre par l’employeur.

Les salariés doivent recevoir une information transparente, claire et accessible sur les traitements réalisés (art. 13 RGPD). L’employeur devra donc veiller à insérer sur chaque formulaire de collecte soit une mention d’information complète, soit une mention contenant a minima les informations essentielles, et renvoyant vers une politique de confidentialité complète et aisément accessible.

La sécurité des données est également essentielle. L’employeur doit s’assurer que les données personnelles de ses salariés seront protégées.

Les principes essentiels du RGPD continuent donc de s’appliquer en période de crise. L’employeur devra ainsi privilégier les solutions les moins intrusives au regard de l’objectif poursuivi.

La mise en application de ces principes par les employeurs

Pour la CNIL les traitements adoptés par l’employeur ne peuvent servir un autre but que la mise en place de mesures organisationnelles. Ainsi, l’employeur ne peut mettre en place que des processus de signalement volontaire des salariés sur leur état de santé. De telles mesures ne sont autorisées que si les salariés travaillent dans les locaux et seraient jugées disproportionnées en cas de télétravail.

Les données collectées doivent être limitées au strict minimum. En effet, seule la médecine du travail peut collecter les données de santé des salariés relatives tant à la pathologie qu’à ses symptômes. La CNIL considère donc que les employeurs ne peuvent collecter des informations sur d’éventuels symptômes du salarié ou de ses proches ou encore sur l’existence de maladies susceptibles d’être qualifiées de comorbidité. Cependant, l’employeur peut inviter les personnes présentant de telles pathologies à se signaler auprès de lui afin qu’il puisse, par exemple, prolonger la période de télétravail.

L’employeur ne peut davantage constituer des fichiers des températures de ses salariés. Il est interdit de recourir à des outils de captation automatique de température, tels que des caméras thermiques. Néanmoins, l’employeur peut vérifier à l’aide d’un thermomètre manuel la température de ses salariés à l’entrée des locaux, tant qu’aucune trace du résultat n’est conservée. Mais, le ministère du Travail déconseille cette pratique qui ne doit être mise en place qu’après une étude au cas par cas et en respectant le droit du travail. De plus, ces contrôles de température ne sont pas obligatoires et tout salarié est en droit de les refuser. Si l’employeur lui refuse l’accès à son poste pour ce motif, il pourra être tenu au versement du salaire correspondant à la journée de travail perdue.

Les campagnes de dépistage organisées par les entreprises ne sont pas non plus autorisées. La CNIL rappelle que seuls les personnels de santé compétents sont habilités à mettre en œuvre de tels tests et à créer les traitements qui en découlent. Les résultats de ces tests sont protégés par le secret médical : l’employeur ne peut avoir accès qu’à l’avis d’aptitude ou d’inaptitude à reprendre le travail.

Par ailleurs, si l’employeur a l’obligation d’informer les autres salariés d’un cas possible d’infection, il doit le faire sans divulguer l’identité de la personne contaminée. Il ne peut davantage mettre en place un suivi particulier des employés qui auraient été en contact avec cette personne. Cependant, en cas de risque élevé d’infection, une telle divulgation pourrait se justifier pour en informer les personnes exposées. Cela ne peut se faire qu’au cas par cas, en veillant à choisir la base légale pertinente.

Malgré l’urgence, modération et réflexion s’imposent afin de ne pas porter une atteinte disproportionnée et irréversible aux droits et libertés des personnes. La balance entre efficacité et contraintes est délicate et peut varier d’un pays à un autre. Il est donc essentiel d’examiner les règles et recommandations nationales et de réaliser une étude approfondie et spécifique avant toute mise en place de traitements de données.

Article paru dans Option Finance le 09/05/2020