COVID-19 : Protection des données relatives à la santé des collaborateurs

Entretien avec Sarah Taïeb, Data Protection Officer chez UGI International (fournisseur de gaz et GPL avec la marque Antargaz en France)

Alors que l'Europe est confrontée à une augmentation exponentielle des cas de COVID-19, la plupart des autorités de contrôle européennes a publié des orientations d'intérêt public sur les limites de la collecte, du partage et de l'utilisation des données personnelles relatives à la santé des collaborateurs. Dans l’ensemble, elles soulignent que la législation sur la protection des données (RGPD / GDPR) n'est en aucun cas un obstacle à la santé publique.

Elles conseillent cependant aux organisations de ne pas procéder à une surveillance et à une collecte "systématique et généralisée" des données relatives à la santé de leurs collaborateurs en dehors des mesures officielles des autorités de santé publique.

Sarah Taïeb, Data Protection Officer chez UGI International, nous propose de partager son analyse relative à la protection de la vie privée en cette période de crise sanitaire. UGI International est l’un des principaux fournisseurs de gaz et GPL en Europe. La société opère en France sous la marque Antargaz.

Les entreprises peuvent-elles rendre obligatoire le contrôle de la température de leurs collaborateurs ?

Les autorités en France, au Luxembourg, aux Pays-Bas, en Hongrie et en Suède ont indiqué que la prise de température d'un collaborateur n'est pas autorisée, malgré la pandémie de COVID-19.

La récente déclaration du Comité Européen de la Protection des Données (CEPD) n’apporte aucune recommandation sur ce sujet, elle indique que le recours aux "examens médicaux" relève principalement des "lois nationales relatives à l'emploi, à la santé et à la sécurité".

Le CEPD semble toutefois suggérer que les contrôles de température sans analyse par la suite des résultats obtenus ne sont pas couverts par le RGPD.

Une alternative pourrait être de placer des thermomètres sans contact à l’entrée des locaux de l’entreprise, permettant ainsi aux collaborateurs de s’assurer qu’ils n’ont pas de fièvre avant d’aller travailler.

Les informations concernant un collaborateur malade peuvent-elles être partagées avec ses collègues et à quelles fins ?

La plupart des autorités de contrôle permettent aux employeurs d'informer leurs collaborateurs d'un cas positif au COVID-19, par exemple pour prendre des mesures de protection à l'égard de collègues qui auraient pu être exposés. Toutefois dans la mesure du possible, le nom ou d'autres informations permettant d'identifier le collaborateur ne doivent pas être divulgués "pour ne pas porter atteinte à la dignité de l’individu".

En effet, le CEPD a précisé que "les employeurs doivent informer le personnel sur les cas de COVID-19 et prendre des mesures de protection, mais ne doivent pas communiquer plus d'informations que nécessaire. Dans les cas où il est impératif de révéler le nom du ou des collaborateurs ayant contracté le virus (par exemple dans un contexte préventif) et si la législation nationale le permet, les personnes concernées doivent être prévenues à l'avance, leur dignité et leur intégrité doivent être protégées".

Les entreprises peuvent-elles questionner leurs fournisseurs ou leurs visiteurs sur leur potentiel contact avec une personne diagnostiquée positive au COVID-19 ou sur la possibilité qu’ils se soient rendus dans une zone à risque ?

Les avis des autorités de contrôle sur ce point sont partagés. Certaines considèrent que ces questionnements sont disproportionnés et inutiles (en Belgique, en France et au Luxembourg par exemple). D’autres, de plus en plus nombreuses, adoptent une approche plus souple et l'autorisent (au Royaume-Uni, au Danemark et en Hongrie par exemple), généralement en se basant sur le respect d'une obligation légale. Ces enquêtes ne doivent pas comporter de questions sur les antécédents concernant la santé de la personne et ne doivent pas exiger de documents médicaux à l'appui.

Les délais de réponse imposés par le RGPD (par exemple, une demande de droit d’accès aux données personnelles) sont-ils impactés en raison du COVID-19 ?

Les autorités de contrôle restent silencieuses sur ce sujet, mais on s'attend à ce qu’elles fassent preuve de souplesse à l'égard des entreprises qui pourraient devoir répondre à une demande d’une personne concernant ses données personnelles, tout en devant gérer l'épidémie de COVID-19. Les autorités britanniques ont été claires à ce sujet, déclarant qu'elles comprenaient que les ressources des entreprises puissent être détournées de leur conformité habituelle. De plus, bien que les délais légaux ne puissent pas être prolongés, les entreprises doivent informer séparément les personnes concernées qu'elles peuvent subir des retards au sujet de leurs demandes de droits d'information.

Les autorités néerlandaises, par exemple, ont, quant à elles, publié une déclaration selon laquelle elles donneront aux entreprises le temps de se concentrer sur la lutte contre le virus et prolongeront les délais le cas échéant.

Evidemment, il faudrait pouvoir justifier d’un problème de ressources dû à l’épidémie et ne pas utiliser cette dernière comme une excuse.

Quelles sont les obligations qui incombent aux collaborateurs ?

Dans certains pays européens comme l’Italie, la France, la Hongrie et le Danemark, les collaborateurs sont tenus d’informer leur employeur s’ils sont atteints du COVID-19. Ce dernier ayant l’obligation de signaler à tous les membres de l’organisation les risques pouvant entraver leur santé et leur sécurité. Les autorités françaises et italiennes ont encouragé les entreprises à déployer des canaux de communication spécifiques liés à ce type d'information. 

Qu’en est-il chez UGI International ? Avez-vous un conseil à donner aux DPO/DPD ?

En dépit des circonstances exceptionnelles liées la pandémie de COVID-19, les obligations en matière de protection des données continuent de s’appliquer. Chez UGI, nous en sommes pleinement conscients, d'autant plus que la quantité de données sensibles que le groupe peut détenir sur ses collaborateurs est à même d'augmenter, et que le télétravail présente de nouveaux défis en matière de sécurité de l'information. Comme le rythme des changements induits par le COVID-19 ne cesse de croître, d'autres évolutions et recommandations édictées par les autorités de contrôle devraient voir le jour. Il est donc primordial que les DPO se tiennent informés des dernières mesures législatives afin qu’ils conseillent au mieux le responsable de traitement et les équipes.

covid19-mazars-france-1600x700.png

COVID-19 - Cybersécurité

Face à cette crise sans précédent, Mazars propose ses conseils aux entreprises en difficulté concernant les enjeux de cybersécurité.