01

Coronavirus & RGPD : attention à la protection des données de santé des salariés

L’épidémie de Covid-19 ne dispense pas l’employeur de son obligation de vigilance lors de la gestion des données personnelles de ses salariés.

A l’heure de la crise sanitaire, se font face deux impératifs, sinon contraires, au moins délicats à concilier. En effet, alors que des entreprises de toutes tailles cherchent à retrouver la cadence économique qu’elles ont vu s’amenuiser pendant le confinement, leur obligation de sécurité les contraint parallèlement à prendre quantité de précautions afin de limiter la propagation du virus.

Outre le fait que cet arbitrage confine à un exercice d’équilibrisme, la Commission Nationale de l’Informatique et des Libertés (CNIL) a jugé utile de rappeler certains principes quant à la protection des données de santé, nécessairement charriées à cette occasion.

En effet, le contexte exceptionnel auquel se trouvent confrontés les employeurs de tous bords ne les affranchit pas du respect du Règlement Général sur la Protection des Données (RGPD), et c’est ce qu’a tenu à mettre en évidence la CNIL.

 

1. Le traitement des données de santé des salariés par les employeurs

 

La CNIL souligne, conformément à l’article 9 dudit Règlement, que le traitement des données concernant la santé d’une personne physique est en principe interdit.

Néanmoins, et c’est heureux dans le cas présent, ce même article prévoit qu’il peut en aller autrement :

→ Si le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de sécurité sociale ou de protection sociale ;

→ Si le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation (sanitaire) de la capacité de travail du travailleur, de diagnostics médicaux, etc.

Ainsi, l’employeur se doit d’être particulièrement précautionneux dans le traitement qu’il entend faire des données se rattachant à la santé de ses salariés.

En effet, si en l’état actuel des choses, il a la possibilité de mettre en place un traitement relatif aux signalements par les employés, il ne peut pas, à défaut d’un texte l’autorisant expressément :

→ Enregistrer dans un traitement automatisé ou dans un registre papier les relevés de températures des employés ou des visiteurs qui auraient été réalisés ;

→ Recourir à des procédés automatiques de prise de température (comme par exemple à l’aide de caméras thermiques) ;

→ Mettre en œuvre des campagnes de dépistage sur les salariés (conformément aux instructions émanant de la Direction générale du travail).

 

2. La nécessaire coopération  de l’employeur avec les Services de Santé au Travail

 

Dans ce contexte, et au regard des exigences très lourdes (mais également très sécurisantes) qui entourent la protection des données de santé, la CNIL recommande aux employeurs de fonctionner en synergie avec les Services de Santé au Travail, qui doivent être les principaux acteurs de la gestion de la crise sanitaire dans le monde de l’entreprise.

En d’autres termes, si l’employeur dispose, dans les faits, d’une marge de manœuvre non négligeable dans la protection de ses salariés face au virus (en encourageant le travail à distance et le rapprochement avec la Médecine du travail, en enjoignant aux salariés de faire des remontées individuelles d’information en cas de contamination ou de « cas contact », etc.), il ne lui appartient pas d’empiéter sur le champ de compétence des services de santé au travail.

C’est d’ailleurs bien légitime, car bien qu’ils poursuivent le même objectif, ils n’œuvrent pas avec les mêmes armes pour les atteindre.

Si le contexte sanitaire actuel entraîne des conséquences inédites à bien des égards, la CNIL affirme sans ambiguïté qu’il ne sera pas un prétexte à la méconnaissance des principes directeurs de la protection des données personnelles d’une particulière sensibilité.

Il convient que les employeurs le gardent à l’esprit s’ils ne souhaitent pas s’exposer au risque de l’une des sanctions venant réprimer la méconnaissance du RGPD… qui, pour rappel, peuvent s’élever jusqu’à 4% du chiffre d’affaires annuel mondial.

En savoir plus

Contact

Maître Pauline RAYNAUD

60 bd. Lazare Carnot
31000 TOULOUSE
Voir sur Google Map

06 47 61 77 19
paulineraynaud.avocat@outlook.fr

+ Prendre RDV en ligne

Logo Maitre Pauline Raynaud, Toulouse