En substance, la CNIL rappelle :
- les dispositions applicables au regard du Code du travail, mais précise bien qu’il ne lui appartient pas d’interpréter les dispositions du Code du travail. Pour ces aspects, elle renvoie aux informations mises en ligne par la Direction Générale du Travail,
- que les employeurs ont, conformément au RGPD, le droit de traiter des données personnelles lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales.
La CNIL décline ensuite sa position sur différents types de traitements que les employeurs peuvent être tentés de mettre en œuvre de la crise sanitaire :
1. L’obligation de sécurité des employeurs
Rappel des obligations des employeurs | Les employeurs sont responsables de la santé et de la sécurité de leurs employés/agents conformément au Code du travail et aux textes régissant la fonction publique [1] |
En conséquence, l’employeur peut :
|
|
2. L’obligation des salariés/agents DU SECTEUR PUBLIC
Rappel des obligations des employés | Chaque employé/agent de la fonction publique doit veiller à préserver sa propre santé/sécurité mais également celles des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle [2]. |
La position de la CNIL | Dans un contexte de pandémie, un employé qui travaille au contact d’autres personnes (collègues et public) doit, à chaque fois qu’il a pu exposer une partie de ses collègues au virus, informer son employeur en cas de contamination ou de suspicion de contamination au virus. |
Les salariés/agents en télétravail doivent-il informer leur employeur qu’ils ont été contaminés par la Covid 19 ? | Un salarié qui est placé en télétravail ou qui travaillerait de manière isolée sans contact avec ses collègues ou du public n’a pas à informer son employeur sur sa contamination (ou suspicion de contamination).
En effet, en l’absence de mise en danger d’autres personnes, les évènements en lien avec une éventuelle exposition, particulièrement un arrêt de travail qui en découlerait, devront être traités conformément à la procédure normale des arrêts de travail. |
3. Le traitement par les employeurs des signalements des salariés/agents
Les employeurs peuvent traiter les informations suivantes : | informations liées à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou suspecter de l’être ainsi que les mesures organisationnelles prises. |
En cas de besoin, les employeurs peuvent : | communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée. |
En tout état de cause, l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres employés. |
4. Les relevés de température à l’entrée des locaux [3]
Ce que le RGPD interdit : | Ce qui ne relève pas du RGPD : |
En l’état du droit (notamment de l’article 9 du RGPD), et sauf à ce qu’un texte en prévoit expressément la possibilité, sont ainsi interdits aux employeurs :
|
La seule vérification de la température au moyen d’un thermomètre manuel (tel que par exemple de type infrarouge sans contact) à l’entrée d’un site, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée (tels que des relevés de ces températures, ou des remontées d’informations internes ou externes, etc.), ne relève pas de la règlementation en matière de protection des données.
Mais CNIL renvoie aux instructions données par la DGT, qui déconseille ces vérifications, sauf dans certains cas particuliers. |
5. La réalisation de tests sérologiques et de questionnaires sur l’état de santé
La CNIL rappelle que : |
|
6. Les plans de continuité de l’activité ou « PCA »
Qu’est-ce qu’un PCA ? |
Un « plan de continuité de l’activité » permet de maintenir l’activité essentielle de l’organisation en période de crise. |
La position de la CNIL |
|
7. La réorganisation du travail, notamment via des solutions logicielles
L’employeur est responsable de la santé et de la sécurité de ses salariés et doit prendre des mesures de protection collective |
La CNIL rappelle que : |
|
|
|
|
|
|
L’employeur n’a pas à organiser la collecte de données de santé de l’ensemble des salariés |
L’employeur peut prendre des mesures individuelles quand le signalement est effectué par le salarié lui-même lorsque ce dernier a pu:
|
Dans ce cas, l’employeur est notamment :
|
|
Par conséquent, l’employeur n’a pas à systématiser seul l’évaluation du niveau de risque individuel d’exposition au virus COVID-19 de chacun de ses salariés | |
Seul le service de santé au travail peut proposer des conditions individualisées de travail | L’employeur qui souhaiterait aller au-delà de ses obligations en s’assurant de l’état de santé de ses salariés pour mettre en place des conditions individualisées de travail doit nécessairement s’appuyer sur le service de santé au travail[4], seul compétent en la matière |
Le service de santé au travail est en principe seul autorisé à traiter les données de santé des salariés, sauf exceptions limitativement énumérées par les textes (exemples : arrêt de travail, déclarations d’accidents du travail comportant le siège et la nature des lésions, déclarations de grossesse). | |
Tout dispositif de représentation de la vulnérabilité ou du risque d’exposition d’un salarié au COVID-19 (ex. : indicateur chiffré, QR code de couleur, etc.) est une donnée de santé à caractère personnel (article 4-15 du RGPD) : seul le service de santé au travail peut collecter ou accéder à une telle donnée. | |
De surcroît, il appartient au médecin du travail de proposer des mesures individuelles d’aménagement, d’adaptation ou de transformation du poste de travail ou du temps de travail justifiées par des considérations relatives notamment à l’âge ou à l’état de santé physique ou mental du travailleur[5].
Seule la nature des mesures préconisées a vocation à être transmise à l’employeur. Le rôle de l’employeur consiste alors à appliquer ces mesures. |
[1] Articles L. 4121-1 et R. 4422-1 du Code du travail ou le décret n°82-453 du 28 mai 1982 modifié. À ce titre, il leur appartient de mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, ainsi qu’une organisation du travail et des moyens adaptés aux conditions de travail.
[2] Article L.4122-1 du Code du travail
[3] Dans une démarche de prévention des contaminations visant à écarter du milieu de travail des employés qui auraient de la fièvre, certains employeurs souhaitent mettre en place un contrôle systématique de la température des employés et visiteurs à l’entrée de leurs locaux.
Bien qu’il n’appartienne pas à la CNIL d’apprécier la légalité au regard du droit social de ce qu’un employeur peut imposer à ses employés ni de ce qui relève d’une éventuelle discrimination, elle relève que l’efficacité et l’opportunité de la prise de température est contestée dans la mesure où elle n’est pas un symptôme systématique du COVID-19, ou peut témoigner d’une autre infection. Elle constate à cet égard que le Haut Conseil de la Santé Publique recommande de ne pas mettre en place un dépistage du COVID-19 par prise de température dans la population.
[4] La CNIL rappelle que le rôle du service de santé au travail a été précisé au regard de la situation sanitaire actuelle (décret n° 2020-549 du 11 mai 2020).
[5] Article L. 4624-3 du Code du travail