Alerte sociale

Le traitement des données de santé dans un contexte de crise sanitaire

Le Covid-19 et sa progression sont une source de préoccupation et de confusion pour les employeurs et leurs salariés. Le Président Emmanuel Macron a annoncé le 16 mars à 20 heures, un renforcement des mesures de précaution sanitaire sans précédent. En effet, à compter du 17 mars, midi, « seuls doivent demeurer les trajets nécessaires ». Cependant et contrairement à la rumeur de confinement qui circulait sur les réseaux sociaux, le renforcement de ces mesures n’exclut pas la faculté pour certains salariés de se rendre sur leur lieu de travail, lorsque leur activité est incompatible avec le télétravail. Bien au contraire le ministre de l’économie envisage une prime de 1 000 € pour encourager les salariés qui continuent à travailler. Dans ce contexte, les mesures annoncées conduisent l’employeur à se poser de nouvelles questions.

En effet, si les employeurs sont soucieux d'assurer la sécurité et la santé de leurs salariés, les mesures destinées à favoriser un environnement de travail sain sont susceptibles d’accroitre le nombre de traitements des données à caractère personnel des employés qui relèvent du secret médical et de la vie privée : puis-je imposer la prise de température de mes salariés à l’entrée de mes locaux, ou demain, la réalisation de test Covid-19, à l’image des tests systématiques pratiqués en Corée du sud, puis-je leur imposer de m’informer de l’apparition de tout symptôme, puis-je demander à mes salariés de m’informer de l’état de leur déplacements hors du bureaux, etc. ?

Afin de répondre à ces problématiques, la Commission Nationale de l'Informatique et des Libertés (CNIL) a rendu un avis le 6 mars dernier, contenant des orientations relatives aux conditions dans lesquelles les données personnelles de santé peuvent être utilisées.

Le cadre légal : quelles sont les règles ?

Les données de santé sont définies par le RGPD comme « l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée ».1

Ces données relèvent des catégories dites « particulières » de données à caractère personnel. A ce titre, tout traitement de ces données est par principe interdit2.

Des exceptions sont néanmoins prévues. Ainsi, pour pouvoir collecter et utiliser licitement les données de santé de ses employés, l'employeur devra veiller à ce que ses traitements répondent à l’une des dix conditions de l’article 9.2 du règlement. A certaines de ces conditions, s’ajoutent un système d’autorisation de la CNIL. Ces autorisations sont notamment requises pour les traitements de données sensibles présentant une finalité d’intérêt public.

Or les traitements de données de santé effectués par l’employeur, dans le cadre de la prévention et/ou gestion de la crise du Covid-19, pourraient bien se justifier par l’intérêt public et impliqueraient à ce titre pour l’employeur d’obtenir une autorisation préalable de la CNIL, alors même que les employeurs seraient confrontés à une situation urgente.

Les conseils de la CNIL

En raison de la propagation exponentielle du Covid-19, la CNIL a formulé, le 6 mars 2020, des recommandations concernant la gestion de la crise sanitaire en matière de protection des données à caractère personnel. La CNIL rappelle en premier lieu que l’employeur est responsable de la santé et de la sécurité de ses salariés3.

L’employeur devra donc arbitrer entre ses obligations en matière de sécurité et en matière de sauvegarde des droits fondamentaux et des intérêts de ses salariés.

Ainsi, les employeurs doivent s'abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes, tests, ou demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un employé et/ou ses proches.

Les employeurs ne sont par conséquent pas autorisés, à date, y compris pour les salariés qui sont contraints de se rendre sur leur lieu de travail, malgré les mesures de confinement obligatoire organisées par le décret n° 2020-260 du 16 mars 2020 portant réglementation des déplacements dans le cadre de la lutte contre la propagation du virus Covid-19, à recueillir de manière systématique la température corporelle des employés ou des visiteurs à l'entrée de leurs locaux, ou à réaliser de façon systématique des tests Covid-19 sur leurs employés ou visiteurs.

Toutefois, les employeurs peuvent sensibiliser leurs employés afin de les encourager à signaler à leur employeur ou aux autorités sanitaires leur possible exposition au virus. La CNIL rappelle que les salariés sont eux aussi tenus d’une obligation de sécurité et ont ainsi l’obligation d’informer leur employeur de leur possible exposition au virus4.

Enfin, à la demande des autorités sanitaires, les employeurs peuvent transmettre des informations relatives à la santé des employés et à la nature de l'exposition au virus.

Les problématiques en suspens

Au regard de l’ensemble de ces éléments, il conviendrait de s’interroger sur la possibilité pour l’employeur de collecter et traiter des informations relatives aux déplacements de ses salariés dans les zones dites « à risque ».

De la même manière, l’employeur pourrait-il être autorisé à réutiliser des données déjà collectées auprès de ses salariés mais pour une finalité autre que la gestion de cette épidémie (ex : déclaration de handicap), sans demander le consentement des personnes concernées ? Autant de questions qui restent à ce jour en suspens.

A toutes fins utiles, il conviendra certainement pour les employeurs de mettre en place des analyses renforcées de ces données (Analyse D'impact relative à la Protection des Données). Les traitements de données de santé, pouvant être réalisés par l’employeur en raison de l’épidémie de Covid-19, correspondent à deux des neufs critères issus des lignes directrices du G29, à savoir (1) la collecte de données sensibles ou données à caractère hautement personnel et (2) le croisement de données. Cependant, ces AIPDs ne pourront être réalisées, au vu de l’urgence, que postérieurement à la mise en œuvre des traitements.

De même, il conviendra pour l’employeur, afin de respecter un niveau de sécurité élevé, de prévoir des droits d’accès à ces données spécifiques et stricts, ainsi que de mettre en place des durées de conservation adaptées. Sur ce dernier point, la CNIL n’a donné aucune recommandation précise : faudra-t-il obligatoirement supprimer les données à la « fin » de l’épidémie ? Ou l’employeur pourra-t-il justifier d’une durée de conservation supérieure ?

On pourra également s’interroger sur la possibilité pour l’employeur d’effectuer des transferts de ces données au sein des entités de son groupe et, des mesures à mettre en place afin d’encadrer ces transferts (information des personnes concernées, binding corporate rules, clauses contractuelles types, etc.).

Enfin, une attestation sur l’honneur similaire à celle communiquée par le gouvernement pourrait être demandée par l’employeur permettant de garantir que le salarié ne présente aucun symptôme du Covid-19 et n’a pas été en contact avec des personnes possiblement infectées. Cette attestation permettrait également à l’employeur de se conformer à ses obligations en matière d’information des personnes concernées (traitement, finalité, durée de conservation, exercice des droits, etc.) mais également de s’assurer d’une obligation de sécurité de moyens renforcés.

Le contrôle du salarié en télétravail

La crise actuelle nécessite une modification des conditions de travail, notamment afin de respecter les dispositions gouvernementales, recourir au télétravail. Une des principales problématiques qui s’ouvrira aux employeurs sera d’assurer ses prérogatives d’exécution du contrôle du temps de travail, peut-il y recourir grâce à la géolocalisation ?

Tout d’abord, il convient de rappeler que les dispositions gouvernementales requièrent des citoyens un confinement des plus stricts, ainsi les déplacements sont extrêmement limités rendant difficile les sorties des salariés en télétravail. Afin de se déplacer, une autorisation doit être préremplie faisant figurer notamment le lieu de confinement du salarié.

La CNIL autorise, dans des conditions strictes, et notamment lorsque que celui-ci est le seul moyen d’assurer le contrôle du temps de travail, l’utilisation de la géolocalisation sur les véhicules5.

Il convient également de rappeler que la Haute Juridiction considère que l’employeur peut accéder aux données d’outils technologiques (smartphone, ordinateur portable) donnés aux salariés par l’employeur dans le cadre de leur activité professionnelle. L’employeur pourrait alors s’assurer que le salarié ait été présent à son domicile de confinement pour la durée du télétravail. Mais il ne s’agit pas là d’un contrôle permanent de la localisation du salarié.

D’autant plus que ces mesures, pour être réalisées dans le respect du droit du travail doivent être précédées de la consultation des élus du personnel mais également des salariés, individuellement et collectivement6.

Enfin, il convient de rappeler que le salarié en télétravail se retrouve toujours à la disposition de son employeur et doit pouvoir à tout moment accéder aux outils informatiques lui permettant d’être en contact avec son employeur.

Ces dispositions permettent d’en déduire qu’un contrôle systématique de la localisation des salariés en télétravail n’est pas possible. Néanmoins, au vu des obligations de rester au domicile, l’employeur peut sensibiliser le salarié à communiquer son lieu de confinement et les dispositions prises pour rester à disponibilité de l’employeur.

Notes :

  1. Règlement (UE) 2016/679 du 27 avril 2016, considérant 35 du préambule.
  2. Règlement (UE) 2016/679 du 27 avril 2016, article 9.
  3. Article L. 4121-1 du Code du travail
  4. Article L.4122-1 du Code du travail
  5. Norme simplifiée n°NS-051, article 2
  6. Articles L.1222-3, L.1222-4 et L.2323-47 du Code du travail