03 66 72 26 33

Déconfinement : les rappels de la CNIL sur la collecte de données personnelles par les employeurs

Le déconfinement est enclenché en France depuis le 11 mai 2020 et la CNIL a souhaité rappeler, dans une publication du 7 mai 2020, les conditions de traitement des données personnelles (notamment de santé) par les employeurs.

Morceaux choisis  :

  • Les employeurs sont responsables de la santé et de la sécurité de leurs employés/agents. Ainsi, l’employeur est notamment légitime :
    • à rappeler à ses employés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination, auprès de lui ou des autorités sanitaires compétentes, aux seules fins de lui permettre d’adapter les conditions de travail ;
    • à faciliter leur transmission par la mise en place, au besoin, de canaux dédiés et sécurisés ;
    • à favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
  • Les seules catégories de données personnelles pertinentes sont les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou suspecter de l’être ainsi que les mesures organisationnelles prises.
  • Le traitement exceptionnel de données de santé peut globalement relever soit de  :
    • la nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale : c’est le cas du traitement des signalements par les employés ;
    • la nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation (sanitaire) de la capacité de travail du travailleur, de diagnostics médicaux etc.
  • Les employeurs ne peuvent eux-mêmes mettre en place des fichiers relatifs à la température corporelle de leurs employés ou à certaines pathologies (les « comorbidités ») susceptibles de constituer des troubles aggravants en cas d’infection au COVID-19.
  • La seule vérification de la température au moyen d’un thermomètre manuel (tel que par exemple de type infrarouge sans contact) à l’entrée d’un site, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée (tels que des relevés de ces températures, des remontées d’informations, etc.), ne relève pas de la règlementation en matière de protection des données.
  • Les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques sont interdites.
  • L’information des salariés doit être effectuée avant la mise en œuvre du traitement et de façon transparente.
  • Les résultats des questionnaires sur l’état de santé des salariés, des tests médicaux, sérologiques ou de dépistage du COVID-19 sont soumis au secret médical. L’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé. Il ne pourra alors traiter que cette seule information, sans autre précision relative à l’état de santé de l’employé, d’une façon analogue au traitement des arrêts de maladie qui n’indiquent pas la pathologie dont l’employé est atteint.
  • Il est possible pour l’employeur de créer un fichier nominatif pour l’élaboration et la tenue du plan de continuité de l’activité (PCA) qui ne doit néanmoins contenir que les données nécessaires à la réalisation de cet objectif.
  • Enfin, la CNIL rappelle que des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation, dans les limites de leurs compétences respectives.

Raphaël Rault, avocat associé

Source