fr

Covid-19 & RGPD

Sorry, this entry is only available in French. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Comment utiliser les données personnelles des salariés pour accompagner la levée du confinement ?

1. Quelques principes :

Les traitements de données personnelles dites sensibles, dont relèvent les informations relatives à l’état de santé des salariés, sont prohibés (art. 9§1. du RGPD). Cependant, divers aménagements sont prévus par le RGPD, en particulier :

  • les considérants 52, qui énonce que des dérogations doivent pouvoir être prévues, notamment à des fins « de surveillance et d’alerte sanitaire, de prévention ou de contrôle de maladies transmissibles et d’autres menaces graves pour la santé», et 155, qui permet aux États membres de prévoir des règles spécifiques nécessaires à protection de la santé des salariés ;
  • les articles 9§2.b), qui autorise l’employeur à procéder à des traitements de données sensibles de ses salariés lorsqu’ils sont nécessaires à l’exécution de ses obligations légales, et 9§2.g), qui légitime les traitements réalisés par quiconque « pour des motifs d’intérêt public important».

Ces textes peuvent ainsi valablement fonder les traitements qu’un employeur est amené à mettre en place pour prévenir et gérer les cas où un employé se trouverait infecté par le Covid-19. Ce d’autant plus que l’article L. 4121-1 du Code du travail requiert que l’employeur prenne les mesures nécessaires pour assurer et protéger la santé des employés, impliquant en particulier la mise en place de mesures préventives.

Ces dérogations doivent, néanmoins, toujours être mises en balance avec les impératifs de protection des données personnelles, dont les principes de minimisation des données personnelles traitées ainsi que de privacy by default, qui impliquent que les données personnelles traitées soient pertinentes, adéquates et limitées à ce qui est nécessaires pour parvenir à la finalité poursuivie, et que leur protection soit en permanence assurée.

Du côté des salariés, l’article L. 4122-1 du Code de travail les oblige à, au cours de leurs activités professionnelles, veiller à la santé et la sécurité des personnes côtoyées à cette occasion.

.

2. Les préalables à la mise en œuvre de tels traitements : 

Avant d’utiliser les données personnelles des salariés pour accompagner leur retour dans les locaux et la reprise des activités dans des conditions sécuritaires optimales, l’employeur doit impérativement :

  • concevoir les traitements de manière à limiter autant que possible les données personnelles traitées pour parvenir aux fins poursuivies ;
  • informer les salariés des traitements de leurs données personnelles effectués à ces fins ;
  • s’assurer que les traitements envisagés sont compatibles avec les exigences du droit du travail, et le cas échéant informer les instances représentatives du personnel.

.

3. Les traitements pouvant être mis en œuvre : 

.

 Ce qui est possible:

L’employeur peut utiliser les données personnelles des salariés pour :

  élaborer et appliquer un plan de reprise ou de continuité d’activités afin d’appliquer les mesures sanitaires et la distanciation sociale : accès aux locaux, modalités d’usage des outils partagés, répartition des bureaux, modalités d’accueil du public, gestes barrières, etc. ;

exiger des salariés qui ne sont pas en télétravail de l’informer en cas de suspicion ou de contamination au Covid-19 : si en principe les salariés ne sont pas tenus de révéler le motif d’un arrêt maladie, par exception ils sont dans l’obligation d’informer l’employeur dès lors qu’ils sont susceptibles d’avoir exposés leurs collègues ou la clientèle au Covid-19 ;

imposer aux salariés suspectés d’être contaminés ou contaminés par le Covid-19 de rester isoler pendant une durée de deux semaines ;

effectuer des relevés de température à l’entrée des locaux à l’aide d’un thermomètre manuel, sous réverse que les relevés obtenus ne fassent pas l’objet du moindre traitement par la suite.

 

 Ce qui est interdit:

L’employeur ne peut pas :

mettre en place des traitements automatisés de relevés de données de santé, tels que : l’installation de caméras thermiques dans les locaux, imposer aux salariés des tests de dépistage, exiger des salariés qu’ils transmettent leur température, un questionnaire de santé ou les résultats d’un test de dépistage.

tenir des fichiers informatisés relatifs à l’état de santé des salariés, tels que : recenser des relevés de température corporelle, tenir une liste de salariés à risque en raison de leur âge ou de pathologies ;

détourner les traitements mis en place à d’autres fins que préserver la santé des salariés et du public, telles que : contrôler le temps de travail, mesurer l’efficience, géolocaliser les salariés.