Par Frédéric Chhum, Avocat et Annaelle Zerbib, Juriste.
 
  • 618 lectures
  • Parution : 6 octobre 2020

  • 4.97  /5
Guide de lecture.
 

CNIL et Covid-19 : rappel des règles de collecte des données personnelles des salariés.

Pour guider les entreprises dans la gestion de la crise sanitaire liée à la pandémie Covid-19, la Commission Nationale de l’Informatique et des Libertés (CNIL) avait déjà, le 7 mai 2020, publié une fiche pratique relative à la collecte de données personnelles par les entreprises.

La crise sanitaire se poursuivant, la CNIL a mis à jour sa fiche pratique le 23 septembre 2020 [1].

Ainsi, en plus des rappels sur les relevés de températures à l’entrée des locaux, la réalisation de tests sérologiques et de questionnaires sur l’état de santé et les plans de continuité de l’activité, la CNIL traite désormais la réorganisation du travail, notamment via des solutions logicielles.

1) Les relevés de température à l’entrée des locaux.

La CNIL rappelle qu’en l’état actuel du droit, il est interdit aux employeurs de constituer des fiches conservant les données de températures de leurs salariés.

Il est de même interdit de relever la température de visiteurs et de l’enregistrer dans un traitement automatisé ou dans un registre papier.

Il leur est également interdit de mettre en place des outils de captation automatique de température.

La Commission renvoie aux recommandations de la Direction générale du travail pour les prises manuelles de température à l’entrée d’un site et sans constitution d’un fichier ni remontée d’information.

Ces prises manuelles de température à l’entrée d’un site ne sont pas soumises à la réglementation sur la protection des données personnelles, mais le Ministère du travail les déconseille, les réservant à des cas particuliers.

2) La réalisation de tests sérologiques et de questionnaires sur l’état de santé.

Sur le souhait de certains employeurs de pouvoir apprécier l’exposition au virus et l’état de santé des salariés au moment de la reprise du travail, la CNIL relève que selon la direction générale du travail, « les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées ».

La CNIL rappelle ainsi que

« seuls les personnels de santé compétents (notamment la Médecine du travail) peuvent collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des employés/agents concernant des données relatives à leur état de santé ou des informations relatives notamment à leur situation familiale, leurs conditions de vie ou encore, leurs éventuels déplacements ».

Elle ajoute qu’il

« en va de même pour les tests médicaux, sérologiques ou de dépistage de la Covid-19 dont les résultats sont soumis au secret médical : l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé.

Il ne pourra alors traiter que cette seule information, sans autre précision relative à l’état de santé de l’employé, d’une façon analogue au traitement des arrêts de maladie qui n’indiquent pas la pathologie dont l’employé est atteint ».

3) Les plans de continuité de l’activité (ou « PCA »).

Le plan de continuité de l’activité a pour objectif de maintenir l’activité essentielle de l’organisation en période de crise.

La CNIL rappelle que ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

Elle affirme qu’il

« est alors possible de créer un fichier nominatif pour l’élaboration et la tenue du plan qui ne doit contenir que les données nécessaires à la réalisation de cet objectif ».

La CNIL rappelle que

« l’employeur doit veiller à assurer en toute hypothèse la sécurité et la confidentialité des données qu’il traite : tel est par exemple le cas, lors de l’envoi des justificatifs de déplacement professionnel, qui contiennent des données personnelles et ne doivent être communiquées qu’aux seules personnes individuellement concernées ».

4) La réorganisation du travail, notamment via des solutions logicielles.

Dans la mise à jour publiée le 23 septembre 2020 des rappels de la CNIL sur la collecte de données personnelles par les employeurs, une nouvelle pratique est évoquée, celle de la réorganisation du travail, notamment via des solutions logicielles.

La CNIL rappelle ainsi les trois points suivants :

4.1) L’employeur est responsable de la santé et de la sécurité de ses salariés et doit prendre des mesures de protection collective.

La CNIL rappelle que si l’employeur a une obligation de moyens renforcée dans la protection de la santé et de la sécurité des salariés, celle-ci est néanmoins circonscrite à l’élaboration de mesures de prévention.

Ainsi,

« il appartient uniquement à l’employeur de prendre des mesures de protection collective (ex : rappel des mesures barrière et de la distanciation sociale, fourniture des équipements de protection individuelle, de solution hydro-alcoolique, etc.), des mesures de protection liées aux signalements qui lui sont adressés, ainsi que de relayer les messages des autorités sanitaires ».

La Commission affirme ainsi qu’il n’est

« pas possible pour l’employeur d’établir un diagnostic, une analyse de la vulnérabilité ou toute autre analyse médicale ».

4.2) L’employeur n’a pas à organiser la collecte de données de santé de l’ensemble des salariés.

La CNIL affirme que la seule situation qui suppose pour l’employeur de prendre des mesures individuelles est le signalement effectué par le salarié lui-même lorsque ce dernier a pu être exposé ou exposer une partie de ses collègues ou du public au virus.

Dans cette situation, l’employeur est notamment amené à définir une mesure individuelle, tel que le télétravail, pendant une courte période, le temps que le salarié concerné prenne contact avec un professionnel de santé, seul en mesure d’agir et de prescrire ou de renouveler un arrêt de travail.

La CNIL en conclut que

« l’employeur n’a pas à systématiser seul l’évaluation du niveau de risque individuel d’exposition au virus Covid-19 de chacun de ses salariés ».

4.3) Seul le service de santé au travail peut proposer des conditions individualisées de travail.

La CNIL affirme que

« l’employeur qui souhaiterait aller au-delà de ses obligations en s’assurant de l’état de santé de ses salariés pour mettre en place des conditions individualisées de travail doit nécessairement s’appuyer sur le service de santé au travail, seul compétent en la matière.

Le service de santé au travail est en principe seul autorisé à traiter les données de santé des salariés, sauf exceptions limitativement énumérées par les textes ».

La Commission précise ainsi que

« tout dispositif de représentation de la vulnérabilité ou du risque d’exposition d’un salarié à la Covid-19 (ex. : indicateur chiffré, QR code de couleur, etc.) est une donnée de santé à caractère personnel [2] : seul le service de santé au travail peut collecter ou accéder à une telle donnée ».

En outre,

« il appartient au médecin du travail de proposer des mesures individuelles d’aménagement, d’adaptation ou de transformation du poste de travail ou du temps de travail justifiées par des considérations relatives notamment à l’âge ou à l’état de santé physique ou mental du travail [3].

Seule la nature des mesures préconisées a vocation à être transmise à l’employeur ».

La CNIL rappelle alors que le rôle de l’employeur consiste à appliquer ces mesures.

5) Récapitulatif.

Action :Autorisé : oui ou non ?
Constitution de fichiers conservant des données de température Non
Mise en place d’outils de captation automatique de température Non
Prise manuelle de température à l’entrée d’un site sans constitution d’un fichier ni remontée d’information Déconseillé
Campagnes de dépistages organisées par les entreprises pour leurs salariés Non
Collecte, mise en œuvre et accès à d’éventuels fiches ou questionnaires médicaux Seulement par les personnels de santé compétents
Réception de tests médicaux, sérologiques ou de dépistage de la Covid-19 Non, l’employeur peut avoir accès seulement aux éventuels avis d’aptitude ou d’inaptitude sans précision du motif
Création d’un fichier nominatif pour l’élaboration et la tenue du plan de continuité de l’activité Oui, mais ne doit contenir que les données nécessaires a la réalisation de l’objectif
Prise de mesures de protection collective Oui
Prise de mesures de protection liées aux signalements adressés à l’employeur Oui
Relayer les messages des autorités sanitaires Oui
Établissement d’un diagnostic, d’une analyse de la vulnérabilité ou de toute autre analyse médicale Non
Définition d’une mesure individuelle pendant une courte période, le temps que le salarié prenne contact avec un professionnel de santé Oui, en cas de signalement effectué par le salarié ayant pu être exposé ou exposer une partie de ses collègues ou du public au virus

Source :

Coronavirus (Covid-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs [4].

Notes :

[2Article 4-15 du RGPD.

[3Article L4624-3 du Code du travail.

[4Voir note 1.

Frédéric CHHUM avocat et membre du conseil de l’ordre des avocats de Paris (mandat 2019-2021)
Annaelle ZERBIB Juriste
CHHUM AVOCATS (Paris, Nantes, Lille)
e-mail : chhum chez chhum-avocats.com
Site internet : www.chhum-avocats.com
Blog : www.chhum-avocats.fr
http://twitter.com/#!/fchhum

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

1 vote

A lire aussi dans la même rubrique :

LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs