Covid-19 : les données relatives à la santé et le RGPD

Dans le contexte de la crise sanitaire liée au coronavirus, en particulier depuis le déconfinement, les employeurs doivent prendre toutes les mesures nécessaires pour assurer la sécurité des salariés. Dans ce cadre, ils peuvent être amenés à collecter des données personnelles. La CNIL rappelle dans quelles conditions, les données personnelles, notamment de santé, peuvent être utilisées.

Une obligation légale de sécurité pèse sur chaque employeur (Art. L. 4121-1 CT). Elle se traduit notamment par une obligation de prévention du risque biologique (Art. R. 4422-1 CT) dont le coronavirus fait partie.

La CNIL souligne que, conformément au RGPD (règlement UE 2016/679 du 27 avril 2016, art. 6), les employeurs ont le droit de traiter des données personnelles. Notamment lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales. Ici l’obligation de sécurité.

L’employeur est également légitime à rappeler à ses employés travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information concernant leur santé. En cas de contamination ou suspicion de contamination.

En revanche, les employeurs ne sauraient prendre des mesures pouvant porter «à une atteinte disproportionnée à la vie privée des personnes concernées. Notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus aux fins de protéger les employés et le public ».

Quels que soient le dispositif utilisé ou le traitement de données mis en œuvre, la CNIL rappelle l’importance d’assurer une parfaite transparence à l’égard des personnes concernées et de les informer.

La CNIL propose des exemples de mentions d’information sur son site web.

Traitements autorisés 

Les employeurs peuvent seulement traiter les données strictement nécessaires à la satisfaction de leurs obligations légales et conventionnelles. C’est-à-dire nécessaires pour prendre des mesures :

  • organisationnelles (mise en télétravail, orientation vers le médecin du travail, etc.),
  • de formation,
  • d’information,
  • ainsi que certaines actions de prévention des risques professionnels.

C’est pourquoi, les données traitées par l’employeur doivent être des éléments liés :

  • à la date,
  • à l’identité de la personne,
  • au fait qu’elle ait indiqué être contaminée ou suspectée de l’être
  • ainsi que les mesures organisationnelles prises.

En cas de besoin, l’employeur sera en mesure de communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée. En tout état de cause, l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux :

  • collègues,
  • supérieurs,
  • entreprises tierces, etc.

Relever la température à l’entrée des locaux

En l’état du droit, et sauf à ce qu’un texte en prévoie expressément la possibilité, il est interdit aux employeurs de constituer des fichiers conservant des données de températures de leurs salariés. Il leur est de même interdit de mettre en place des outils de captation automatique de température. Par exemple les caméras thermiques.

En revanche, la réglementation sur les traitements de données ne s’applique qu’aux traitements automatisés (notamment informatiques) ou aux traitements non automatisés qui permettent de constituer des fichiers.

Ainsi, la seule vérification de la température au moyen d’un thermomètre manuel (tel que par exemple de type infrarouge sans contact) à l’entrée d’un site, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée (tels que des relevés de ces températures, ou des remontées d’informations internes ou externes, etc.), ne relève pas de la réglementation en matière de protection des données.

La CNIL renvoie sur ce point aux recommandations de la DGT question n°4, qui déconseille ces vérifications, lesquelles doivent être réservées à des cas particuliers.

En cas de suspicion d’infection, la personne concernée doit se mettre en contact avec un professionnel de santé (services de santé au travail, médecin traitant, services d’urgence…), seul en mesure d’apprécier la capacité d’une personne à travailler ou de décider de sa prise en charge.

Questionnaires sur l’état de santé

La CNIL rappelle que seuls les personnels de santé compétents (notamment la médecine du travail) peuvent collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des salariés contenant des données relatives à :

  • leur état de santé ou des informations relatives notamment à leur situation familiale,
  • leurs conditions de vie ou encore,
  • leurs éventuels déplacements.

Tests sérologiques

Il en va de même pour les tests médicaux, sérologiques ou de dépistage du COVID-19 dont les résultats sont soumis au secret médical. L’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé. Il ne pourra alors traiter que cette seule information. Cela sans aucune autre précision relative à l’état de santé du salarié ou au traitement des arrêts de maladie qui n’indiquent pas la pathologie dont il est atteint.

Emploi de personnes vulnérables

Enfin, vous pouvez demander à vos salariés intérimaires s’ils sont identifiés comme des personnes dites « vulnérables » au regard du décret n° 2020-521 du 5 mai 2020 listant ces personnes.

Ces salariés sont en droit de bénéficier, s’ils le souhaitent, du dispositif d’activité partielle en lieu et place d’un arrêt indemnisé par l’assurance maladie depuis le 1er mai 2020. Cependant, l’état de santé ne peut être une raison d’écarter une personne d’un processus de recrutement pendant cette période de déconfinement. En effet, si une personne « vulnérable » souhaite travailler, il ne doit pas y avoir de restriction à son embauche, à défaut cela pourrait être considérée comme discriminatoire et sanctionné à ce titre (art. L. 1132-1 CT).