Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs

23 septembre 2020

Dans le contexte de crise sanitaire liée au coronavirus, particulièrement dans la perspective d’une phase de « déconfinement », particuliers et professionnels s’interrogent sur les mesures à mettre en œuvre aux fins de limiter la propagation du virus et d’assurer en toute sécurité la reprise de l’activité, ainsi que sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées. La CNIL rappelle certains principes.

Illustration - données de santé

Sommaire

La CNIL reçoit de nombreuses sollicitations de la part des professionnels et des particuliers sur les possibilités de collecter, en dehors de toute prise en charge médicale, des données concernant des employés, agents ou visiteurs afin de déterminer si des personnes présentent des symptômes du COVID-19, ou des données relatives à des déplacements et évènements pouvant relever de la sphère privée.

L’obligation de sécurité

L’obligation de sécurité des employeurs

Les employeurs sont responsables de la santé et de la sécurité de leurs employés/agents conformément au Code du travail et aux textes régissant la fonction publique (particulièrement les articles L. 4121-1 et R. 4422-1 du Code du travail ou le décret n°82-453 du 28 mai 1982 modifié).

À ce titre, il leur appartient de mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, ainsi qu’une organisation du travail et des moyens adaptés aux conditions de travail.

La CNIL invite à cet égard les employeurs à consulter régulièrement les informations mises en ligne par le ministère du Travail (direction générale du travail – DGT), afin de connaître leurs obligations en cette période de crise. Les employeurs ont en effet, conformément au RGPD, le droit de traiter des données personnelles lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales.

Dans ce contexte, l’employeur est notamment légitime :

  • à rappeler à ses employés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination, auprès de lui ou des autorités sanitaires compétentes, aux seules fins de lui permettre d’adapter les conditions de travail ;
  • à faciliter leur transmission par la mise en place, au besoin, de canaux dédiés et sécurisés ;
  • à favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

L’obligation de sécurité des employés/agents

Pour sa part, chaque employé/agent doit veiller à préserver sa propre santé/sécurité mais également celles des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle (article L.4122-1 du Code du travail).

En temps normal lorsqu’un employé est malade, il ne doit communiquer à son employeur que l’éventuel arrêt de maladie dont il pourrait bénéficier, sans qu’aucune autre précision sur son état de santé ou la nature de la pathologie ne soit transmise. Cependant, dans un contexte de pandémie telle que celle du COVID-19, un employé qui travaille au contact d’autres personnes (collègues et public) doit, à chaque fois qu’il a pu exposer une partie de ses collègues au virus, informer son employeur en cas de contamination ou de suspicion de contamination au virus.

En revanche, un employé qui serait par exemple placé en télétravail ou qui travaillerait de manière isolée sans contact avec ses collègues ou du public n’a pas à faire remonter cette information à son employeur. En effet, en l’absence de mise en danger d’autres personnes, les évènements en lien avec une éventuelle exposition, particulièrement un arrêt de travail qui en découlerait, devront être traités conformément à la procédure normale des arrêts de travail.

Le traitement par les employeurs de ces signalements

Les employeurs ne sauraient ainsi traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales et conventionnelles, c’est-à-dire nécessaires pour prendre des mesures organisationnelles (mise en télétravail, orientation vers le médecin du travail, etc.), de formation et d’information, ainsi que certaines actions de prévention des risques professionnels.

C’est pourquoi seuls peuvent être traités par l’employeur les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou suspecter de l’être ainsi que les mesures organisationnelles prises.

En cas de besoin, l’employeur sera en mesure de communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée. En tout état de cause, l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres employés.

Rappel sur les traitements de données relatives à la santé et le champ d’application du RGPD

S’il appartient à chacun de mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et des réunions ou encore le respect des mesures d’hygiène et des « gestes barrières », les employeurs ne sauraient prendre de mesures susceptibles de porter une atteinte disproportionnée à la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus aux fins de protéger les employés et le public. Ce principe est également rappelé par l’article L. 1121-1 du Code du travail qui dispose que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

En raison du caractère sensible qu’elles revêtent, les données relatives à l’état de santé d’une personne font en effet l’objet d’une protection juridique toute particulière : elles sont en principe interdites de traitement.

Pour pouvoir être traitées, leur utilisation doit nécessairement s’inscrire dans l’une des exceptions prévues par le RGPD, garantissant ainsi l’équilibre entre la volonté d’assurer la sécurité des personnes, et le respect de leurs droits et libertés fondamentales. De plus, leur sensibilité justifie qu’elles soient traitées dans des conditions très fortes de sécurité et de confidentialité et uniquement par ceux qui sont habilités à le faire.

Les exceptions mobilisables dans le contexte du travail sont limitées et peuvent globalement relever soit de :

  • la nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale : c’est le cas du traitement des signalements par les employés ;
  • la nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation (sanitaire) de la capacité de travail du travailleur, de diagnostics médicaux etc.

Pour ces raisons, les employeurs qui voudraient initier d’éventuelles démarches visant à s’assurer de l’état de santé de leurs employés doivent s’appuyer sur les services de santé au travail dont c’est la compétence et qui sont au cœur de la gestion de la crise sanitaire. Ils ne peuvent eux-mêmes mettre en place des fichiers relatifs à la température corporelle de leurs employés ou à certaines pathologies (les « comorbidités ») susceptibles de constituer des troubles aggravants en cas d’infection au COVID-19.

C’est dans cet esprit qu’une ordonnance « adaptant les conditions d'exercice des missions des services de santé au travail à l'urgence sanitaire et modifiant le régime des demandes préalables d'autorisation d'activité partielle », a été prise en Conseil des ministres le 1er avril 2020 en application de l'article 11 de la loi du 23 mars 2020 d'urgence pour faire face à l'épidémie de COVID-19, et publiée au Journal officiel le 2 avril 2020.

La CNIL rappelle par ailleurs que la règlementation sur les traitements de données ne s’applique qu’aux traitements automatisés (notamment informatiques) ou aux traitements non automatisés qui permettent de constituer des fichiers. Ainsi, la seule vérification de la température au moyen d’un thermomètre manuel (tel que par exemple de type infrarouge sans contact) à l’entrée d’un site, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée (tels que des relevés de ces températures, des remontées d’informations, etc.), ne relève pas de la règlementation en matière de protection des données.

Le point sur certaines pratiques

Quel que soit le dispositif utilisé ou le traitement de données mis en œuvre, la CNIL rappelle l’importance d’assurer une parfaite transparence à l’égard des personnes concernées. L’information des personnes comme le dialogue social, au-delà d’être une obligation résultant tant de la législation du travail que des textes relatifs à la protection des données, est une composante essentielle de la gestion de la crise sanitaire et participe à rassurer les personnes concernées.

La CNIL propose des exemples de mentions d'information sur son site web.

Les relevés de température à l’entrée des locaux

En l’état du droit, et sauf à ce qu’un texte en prévoit expressément la possibilité, il est interdit aux employeurs de constituer des fichiers conservant des données de températures de leurs salariés. Il leur est de même interdit de mettre en place des outils de captation automatique de température (telles que des caméras thermiques). Les prises manuelles de température à l’entrée d’un site et sans constitution d’un fichier ni remontée d’information ne sont en revanche pas soumises à la règlementation sur la protection des données personnelles. La CNIL renvoie sur ce point aux recommandations de la direction générale du travail.

 

Dans une démarche de prévention des contaminations visant à écarter du milieu de travail des employés qui auraient de la fièvre, certains employeurs souhaitent mettre en place un contrôle systématique de la température des employés et visiteurs à l’entrée de leurs locaux.

Bien qu’il n’appartienne pas à la CNIL d’apprécier la légalité au regard du droit social de ce qu’un employeur peut imposer à ses employés ni de ce qui relève d’une éventuelle discrimination, elle relève que l’efficacité et l’opportunité de la prise de température est contestée dans la mesure où elle n’est pas un symptôme systématique du COVID-19, ou peut témoigner d’une autre infection. Elle constate à cet égard que le Haut Conseil de la Santé Publique recommande de ne pas mettre en place un dépistage du COVID-19 par prise de température dans la population.

La CNIL rappelle que, lorsqu’elle fait l’objet d’un traitement, la température corporelle d’un individu constitue une donnée sensible relative à sa santé, justifiant qu’elle fasse l’objet d’une protection particulière.

En l’état du droit (notamment de l’article 9 du RGPD), et sauf à ce qu’un texte en prévoit expressément la possibilité, sont ainsi interdits aux employeurs :

  • les relevés de températures des employés ou visiteurs dès lors qu’ils seraient enregistrés dans un traitement automatisé ou dans un registre papier ;
  • les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques.

Comme indiqué ci-dessus, la seule vérification de la température au moyen d’un thermomètre manuel (tel que par exemple de type infrarouge sans contact) à l’entrée d’un site, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée (tels que des relevés de ces températures, ou des remontées d’informations internes ou externes, etc.), ne relève pas de la règlementation en matière de protection des données. La CNIL renvoie sur ce point aux instructions données par la DGT, qui déconseille ces vérifications, lesquelles doivent être réservées à des cas particuliers.

La CNIL rappelle en tout état de cause, qu’en cas de suspicion d’infection, la personne concernée doit se mettre en rapport avec un professionnel de santé (services de santé au travail, médecin traitant, services d’urgence…), seul en mesure d’apprécier la capacité d’une personne à travailler ou de décider de sa prise en charge.

La réalisation de tests sérologiques et de questionnaires sur l’état de santé

Certains employeurs expriment le souhait, dans une logique de protection de leurs employés ou agents, de pouvoir apprécier leur exposition au virus ou leur état de santé au moment de la reprise du travail. La CNIL relève tout d’abord que selon la direction générale du travail, « les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées ».

La CNIL rappelle que seuls les personnels de santé compétents (notamment la médecine du travail) peuvent collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des employés/agents contenant des données relatives à leur état de santé ou des informations relatives notamment à leur situation familiale, leurs conditions de vie ou encore, leurs éventuels déplacements. 

Il en va de même pour les tests médicaux, sérologiques ou de dépistage du COVID-19 dont les résultats sont soumis au secret médical : l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé. Il ne pourra alors traiter que cette seule information, sans autre précision relative à l’état de santé de l’employé, d’une façon analogue au traitement des arrêts de maladie qui n’indiquent pas la pathologie dont l’employé est atteint.

Les plans de continuité de l’activité ou « PCA »

Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » qui a pour objectif de maintenir l’activité essentielle de l’organisation en période de crise. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service. Il est alors possible de créer un fichier nominatif pour l’élaboration et la tenue du plan qui ne doit contenir que les données nécessaires à la réalisation de cet objectif.

La CNIL rappelle que l’employeur doit veiller à assurer en toute hypothèse la sécurité et la confidentialité des données qu’il traite : tel est par exemple le cas, lors de l’envoi des justificatifs de déplacement professionnel qui contiennent des données personnelles et ne doivent être communiquées qu’aux seules personnes individuellement concernées.

La réorganisation du travail, notamment via des solutions logicielles

En période de rebond épidémique, de nombreux projets sont développés dans l’optique de limiter la propagation du virus et de protéger la santé des individus, notamment dans la sphère professionnelle. Les employeurs cherchent en effet à limiter le risque d’exposition des salariés/agents à la COVID-19 sur leur lieu de travail dans un but de prévention des risques professionnels. Le déploiement de solutions logicielles est ainsi envisagé pour faciliter la gestion par les employeurs de la crise sanitaire.

La CNIL rappelle les points suivants :

  1. L’employeur est responsable de la santé et de la sécurité de ses salariés et doit prendre des mesures de protection collective.

Conformément au code du travail et aux textes régissant la fonction publique, l’employeur doit veiller à la santé et à la sécurité des salariés/agents (cf. L’obligation de sécurité des employés/agents).

Si l’employeur a, particulièrement en cette période, une obligation de moyens renforcée, celle-ci est néanmoins circonscrite à l’élaboration de mesures de prévention. Ainsi, il appartient uniquement à l’employeur de prendre des mesures de protection collective (ex : rappel des mesures barrières et de la distanciation sociale, fourniture des équipements de protection individuelle, de solution hydro alcoolique, etc.), des mesures de protection liées à aux signalements qui lui sont adressés, ainsi que de relayer les messages des autorités sanitaires.

Il n’est donc pas possible pour l’employeur d’établir un diagnostic, une analyse de la vulnérabilité ou toute autre analyse médicale.

  1. L’employeur n’a pas à organiser la collecte de données de santé de l’ensemble des salariés.

La seule situation qui suppose pour l’employeur de prendre des mesures individuelles est le signalement effectué par le salarié lui-même lorsque ce dernier a pu être exposé ou exposer une partie de ses collègues ou du public au virus. Dans cette situation, l’employeur est notamment amené à définir une mesure individuelle (ex : télétravail) pendant une courte période, le temps que le salarié concerné prenne contact avec un professionnel de santé, seul en mesure d’agir et de prescrire ou de renouveler un arrêt de travail (cf. Rappel sur les traitements de données relatives à la santé et le champ d’application du RGPD).

Par conséquent, l’employeur n’a pas à systématiser seul l’évaluation du niveau de risque individuel d’exposition au virus COVID-19 de chacun de ses salariés.

  1. Seul le service de santé au travail peut proposer des conditions individualisées de travail

L’employeur qui souhaiterait aller au-delà de ses obligations en s’assurant de l’état de santé de ses salariés pour mettre en place des conditions individualisées de travail doit nécessairement s’appuyer sur le service de santé au travail, seul compétent en la matière (cf. Rappel sur les traitements de données relatives à la santé et le champ d’application du RGPD).

Le service de santé au travail est en principe seul autorisé à traiter les données de santé des salariés, sauf exceptions limitativement énumérées par les textes (exemples : arrêt de travail, déclarations d’accidents du travail comportant le siège et la nature des lésions, déclarations de grossesse).

Tout dispositif de représentation de la vulnérabilité ou du risque d’exposition d’un salarié au COVID-19 (ex. : indicateur chiffré, QR code de couleur, etc.) est une donnée de santé à caractère personnel (article 4-15 du RGPD) : seul le service de santé au travail peut collecter ou accéder à une telle donnée.

De surcroît, il appartient au médecin du travail de proposer des mesures individuelles d’aménagement, d’adaptation ou de transformation du poste de travail ou du temps de travail justifiées par des considérations relatives notamment à l’âge ou à l’état de santé physique ou mental du travailleur (article L. 4624-3 du Code du travail). Seule la nature des mesures préconisées a vocation à être transmise à l’employeur.

Le rôle de l’employeur consiste alors à appliquer ces mesures.

Enfin, la CNIL rappelle que le rôle du service de santé au travail a été précisé au regard de la situation sanitaire actuelle (décret n° 2020-549 du 11 mai 2020).

Les demandes et recommandations des autorités sanitaires

Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation, dans les limites de leurs compétences respectives. L'évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.

Les mots clés associés à cet article