Covid-19 : la CNIL rappelle à nouveau aux employeurs les règles d’utilisation des données de santé des salariés.

Rédigé le 25/09/2020


S’il est un sujet sensible, c’est l’utilisation par les employeurs des données personnelles des salariés, et notamment de santé, dans le contexte de la crise sanitaire liée au covid-19. La CNIL, qui avait déjà apporté des précisions au printemps 2020, enrichit aujourd’hui ses recommandations, s’agissant en particulier des tests.

Traitement des signalements « covid-19 »

Les salariés doivent signaler une contamination ou une suspicion de contamination. - Comme elle l’avait déjà fait courant mai 2020, la CNIL rappelle aujourd’hui que l’employeur et le salarié ont chacun une obligation de sécurité en application du code du travail (c. trav. art. L. 4121-1 et L. 4122-1).

Côté salarié, la CNIL souligne que celui-ci est tenu, à chaque fois qu’il a pu exposer ses collègues au virus, d’informer son employeur en cas de contamination ou de suspicion de contamination, précisément en application de son obligation de sécurité. Attention toutefois : les résultats des tests de dépistage du covid-19 relèvent du secret médical (voir ci-après). En d’autres termes, si le salarié a une obligation d’informer son employeur, il n’est pas pour autant tenu, à notre sens, de révéler les résultats de son test à son employeur, même si cela peut surprendre certains.

En revanche, un salarié qui serait en télétravail, ou qui travaillerait de manière isolée sans contact avec ses collègues ou du public, n’aurait pas selon la CNIL à faire remonter cette information à son employeur.

Mise en place par l’employeur d’un traitement des signalements « covid-19 ». - Côté employeur, la CNIL indique de nouveau que celui-ci peut :

-rappeler aux salariés leur obligation de signalement et ce, afin de lui permettre d’adapter les conditions de travail (ex. : mise en télétravail) ;

-organiser la transmission de ces remontées par la mise en place, au besoin, de canaux dédiés et sécurisés.

Dans le cadre d’un tel traitement des signalements, l’employeur peut uniquement exploiter les données suivantes :

-les éléments liés à la date et à l’identité de la personne ;

-ceux liés au fait qu’elle ait indiqué être contaminée ou suspecter de l’être ;

-ainsi que les mesures organisationnelles prises.

Mais attention : l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres salariés.

En cas de besoin, l’employeur pourra communiquer aux autorités sanitaires compétentes les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Tout l’enjeu pour l’employeur est de répondre à son obligation légale de sécurité tout en respectant le RGPD. Pour mémoire, le RGPD protège les données personnelles, en particulier les données de santé qui sont dites « sensibles ». Le traitement de ces dernières est en principe interdit sauf exceptions (loi 78-17 du 6 janvier 1978, art. 8, JO du 7 ; règlt UE 2016/679 du 27 avril 2016, art. 9, JOUE 4 mai 2016).

Vérification de la température des salariés et autres dispositifs

Vérification de la température : oui, mais…- Se référant aux règles du RGPD, en particulier celles protégeant les données de santés des salariés, la CNIL indique de nouveau ce qui est interdit et ce qui est permis aux employeurs. Ainsi, les employeurs ne doivent :

-ni constituer des fichiers, informatique ou papier, conservant des données de températures de leurs salariés (ou relatifs à certaines pathologies susceptibles de constituer des troubles aggravants en cas d’infection au covid-19) ;

-ni mettre en place des outils de captation automatique de température (ex. : caméras thermiques).

En revanche, des prises manuelles de température à l’entrée d’un site (ex. : au moyen d’un thermomètre manuel de type infrarouge sans contact) et sans constitution d’un fichier ni remontée d’information sont possibles au regard du RGPD. Néanmoins, elles ne sont pas recommandées par le nouveau protocole national sanitaire (protocole pour assurer la santé et la sécurité des salariés en entreprise face à l’épidémie de covid-19, § VI, p. 14).

Pour ce type de contrôle, la CNIL se réfère d’ailleurs aux préconisations de l’administration du travail et du Haut Conseil de Santé Publique.

Pas de collecte généralisée des données de santé. - De façon plus générale, la CNIL souligne fermement que l’employeur n’a pas à organiser une collecte générale des données de santé de l’ensemble des salariés.

Par exemple, l’employeur ne pourrait pas mettre en place un dispositif de représentation de la vulnérabilité ou du risque d’exposition d’un salarié au covid-19 (ex. : indicateur chiffré, QR code de couleur, etc.), car il s’agit là d’une donnée de santé que seul le service de santé au travail peut traiter.

Non-accès aux résultats des tests de dépistage du covid-19

La CNIL rappelle que les résultats des tests médicaux, sérologiques ou de dépistage du covid-19 relèvent du secret médical.

Ainsi, l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé. Il ne pourra alors traiter que cette seule information, sans autre précision relative à l’état de santé du salarié, comme pour n’importe quel arrêt maladie (pour mémoire, un arrêt maladie n’indique pas la pathologie dont le salarié est atteint).

Adoption d’un plan de continuité d’activité

La CNIL renouvelle ses préconisations à propos des plans de continuité de l’activité que les employeurs peuvent adopter, si ce n’est déjà fait.

Le cas échéant, l’employeur peut créer un fichier nominatif pour l’élaboration et la tenue de son plan, lequel ne doit contenir que les données nécessaires à la réalisation de son objectif, à savoir permettre la continuité de l’activité tout en assurant la sécurité des salariés.

La CNIL rappelle aussi que l’employeur doit veiller à assurer la sécurité et la confidentialité des données qu’il traite : tel est par exemple le cas, lors de l’envoi des justificatifs de déplacement professionnel qui contiennent des données personnelles et ne doivent être communiquées qu’aux seules personnes individuellement concernées.

« Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs », 23 septembre 2020, www.cnil.fr

(source revue fiduciaire)