En effet, les données relatives à la santé des personnes sont des données « sensibles » au sens de l’article 9 du RGPD. La collecte et le traitement de ce type de données sont donc interdits, sauf si une ou plusieurs exceptions prévues par les textes s’appliquent.
La CNIL et le Comité Européen pour la Protection des Données (CEPD) ont bien entendu publié leurs recommandations. Ces autorités se sont prononcées sur 2 types de traitements bien différents que sont les traitements mis en œuvre par les employeurs ainsi que les traitements des données provenant des terminaux mobiles par les autorités publiques, que nous avons traités dans 2 newsletters distinctes.
Les recommandations du Comité Européen sur la Protection des Données (CEPD)
Les recommandations du CEPD ont été adoptées le 16 mars 2020 et mises à jour le 19.
En matière de droit du travail, l’article 9 2 b) du RGPD prévoit que l’employeur peut collecter et traiter des données sensibles (dont les données de santé) lorsque le « traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail ». C’est le cas de l’obligation qui pèse sur l’employeur de veiller à la santé et à la sécurité de ses salariés. Dans ce cas, le consentement de la personne concernée n’est pas nécessaire.
Par ailleurs, l’article 88 du RGPD dispose qu’en matière de traitement des données dans le cadre des relations de travail les lois nationales des Etats membres de l’Union Européenne peuvent prévoir des règles spécifiques.
Le CEPD indique donc en toute logique que les employeurs doivent s’assurer que cette collecte et ce traitement sont bien conformes à la loi nationale.
Concernant la possibilité pour l’employeur de vérifier la santé de ses salariés via des examens (comme la prise de la température), là encore, le CEPD renvoie vers la loi nationale.
Concernant la possibilité pour l’employeur de communiquer l’information selon laquelle tel ou tel salarié est infecté. Une nouvelle fois, le CEPD renvoie vers la loi nationale, mais indique que si celle-ci prévoit une telle communication, les salariés concernés doivent en être informés au préalable.
La communication doit se borner aux données strictement nécessaires.
Le CEPD en profite pour rappeler que les principes généraux du RGPD s’appliquent en tout état de cause, y compris en situation d’urgence.
Ainsi, il précise que les données collectées et traitées doivent être nécessaires pour atteindre les objectifs poursuivis dans le cadre de finalités spécifiques.
Il rappelle également le principe de minimisation des données selon lequel les données traitées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (art. 5.1.c du RGPD).
Les personnes dont les données sont traitées doivent être informées dans un langage clair et compréhensible sur les traitements mis en œuvre, et notamment sur leur(s) finalité(s), les durées de conservation.
S’agissant de données sur la santé des personnes, le CEPD rappelle qu’il est indispensable de mettre en œuvre des mesures de sécurité adéquates.
Les recommandations publiées par la CNIL
La CNIL a publié, le 6 mars dernier, la liste de ce qu’il est possible de faire et ce qu’il ne faut pas faire dans le secteur du travail.
En effet, le Code du travail fait peser sur l’employeur l’obligation de mettre en place des mesures de prévention des risques professionnels, des actions d’information, de formation, ainsi qu’une organisation et des moyens adaptés.
Ce qui est contraire au RGPD | Ce qui est conforme au RGPD |
Collecter des données sur d’éventuels symptômes du salarié, de l’agent (pour le secteur public), ou de ses proches de façon systématique et généralisée, par exemple par le biais d’enquêtes et demandes individuelles. Il n’est donc pas possible :
|
L’employeur peut :
En cas de signalement, un employeur peut collecter :
En cas de demande des autorités sanitaires l’employeur peut communiquer les données nécessaires à une éventuelle prise en charge sanitaire ou médicale des salariés ou agents exposés. |
Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » (PCA). Dans ce cas, il convient d’être particulièrement vigilant sur la sécurité des employés, et des agents. |
La CNIL rappelle également que les salariés et agents doivent également préserver la santé et la sécurité d’autrui et de lui-même (article L.4122-1 du Code du travail) : il doit informer son employeur en cas de suspicion de contact avec le virus.
Il est possible de retrouver les recommandations des différentes autorités de protection des données sur le site du Global Privacy Assembly.