Coronavirus (COVID-19) et Protection des données personnelles : ce qu’il faut retenir

Mis à jour le 24 Mars 2020, par David Luponis

Des mesures de limitation de la propagation du virus sont actuellement prises par de nombreux organismes, privés ou publics, et vont impliquer, pour certaines d’entre elles, le traitement de données personnelles.

Il pourra s’agir de données d’identification (nom, prénom), de données relatives à la vie professionnelle (lieu de travail) ou à la vie personnelle (déplacements et évènements en France ou à l’étranger) ou de données de santé des salariés, agents ou visiteurs.

Plusieurs autorités de protection des données se sont exprimées sur leur site internet pour préciser les règles applicables en matière de protection des données personnelles dans ce contexte du COVID-19. Voici les principaux enseignements :

 

Quelles mesures peuvent prendre les organismes à l’égard de leurs employés ?

Dans la mesure où ils sont responsables de la santé et de la sécurité des salariés/agents, la CNIL a précisé, dans un communiqué en date du 6 mars, que les employeurs pouvaient :

  • Sensibiliser et inviter les salariés/agents à effectuer des remontées individuelles d’information les concernant en cas d’éventuelle exposition, auprès de l’employeur ou des autorités sanitaires compétentes ;

La CNIL rappelle que le salarié doit, conformément au code du travail, signaler à son employeur s’il pense qu’il y a risque pour sa santé et celles des autres qu’il ait été en contact avec le virus. L’employeur peut faciliter la remontée de ces signalements par la mise en place, si besoin, de canaux dédiés.

  • Favoriser les modes de travail à distance et encourager le recours à la médecine de travail.

 

Quelles données personnelles peuvent-être collectées ?

En cas de signalement par l’employé de la présence de symptômes ou d’un contact avec une personne atteinte du COVID-19, la CNIL précise que l’employeur peut consigner à des fins de gestion des suspicions d’exposition au virus :

-          la date et l’identité de la personne suspectée d’avoir été exposée ;

-          les mesures organisationnelles prisées à l’égard de l’employé (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).

Il n’est pas possible de collecter des données de santé, qui sont des données sensibles, en dehors de toute prise en charge médicale, qui iraient au-delà de la gestion des suspicions d’exposition au virus. Par exemple, il est prohibé de procéder à des relevés obligatoires des températures corporelles de chaque salarié/agent/visiteur et de collecter des questionnaires médicaux auprès de ces derniers.

Ainsi, même dans le contexte actuel de la pandémie, les employeurs doivent s’abstenir de collecter des données de santé si leur collecte ne fait pas suite à des recommandations ou des directives d’autorités sanitaires compétentes. Cette position adoptée en France peut varier dans d’autres pays, le règlement général sur la protection des données (RGPD) permettant aux Etats-membres de déroger à l’interdiction de traiter des données de santé (considérant 52).

Ces collectes ne peuvent s’effectuer que sur le fondement d’une base juridique. L’autorité de protection des données d’Irlande précise, dans un article sur son site internet du 6 mars, qu’il peut s’agir notamment du :

-          traitement nécessaire au respect d’une obligation légale, article 6.1 c) du RGPD ;

Les obligations légales sont l’article L. 4121-1 du Code du travail ou les textes régissant la fonction publique.

-          traitement nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, article 9.2 i) du RGPD ;

Cette base légale pourrait s’appliquer dans le cas où le professionnel agit sous la directive d’autorités sanitaires compétentes.

-          traitement nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable de traitement où à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, article 9.2 b) du RGPD.

 

D’autres actions de protection des données à mettre en œuvre ?

Les données doivent être traitées de manière confidentielle. Ainsi, toute communication au personnel concernant la présence éventuelle d’une personne suspectée d’avoir été exposée sur les lieux de travail ne devrait pas permettre d’identifier l’employé concerné.

Les mesures de confinement et de télétravail ne doivent pas conduire au délaissement des aspects de cybersécurité. Il importe ainsi de sensibiliser les employés sur le risque que des cybercriminels cherchent à tirer profit du contexte actuel en ayant notamment recours au phishing ou hameçonnage qui reste l’un des premiers vecteurs d’attaque.

Enfin, les organismes peuvent établir un plan de continuité d’activité, en intégrant le scénario « pandémie » si celui-ci n’existe pas déjà, qui prépare au maintien de l’activité essentielle de l’employeur (ex : identification des activités essentielles devant être maintenues, etc.).

covid19-mazars-france-1600x700.png

COVID-19 - Aide Juridique

Face à cette crise sans précédent, Mazars propose ses conseils aux entreprises en difficulté concernant les enjeux juridiques.