Dans ce contexte et afin de limiter la propagation du virus, le parlement a adopté le 26 mars 2020 la loi n°2020-290 d’urgence sanitaire pour faire face au coronavirus donnant ainsi une base légale à l’état de confinement décrété par le Premier ministre le 23 mars 2020. La mise en place d’un tel dispositif visant notamment à restreindre au maximum les déplacements de la population a de facto impacté le fonctionnement des acteurs économiques du pays ainsi que les missions de certaines administrations publiques.

Des professionnels ont dû suspendre leurs activités tandis que d’autres, en mesure de les poursuivre, ont dû mettre en œuvre les mesures organisationnelles nécessaires à l’exécution à domicile des missions de leurs salariés ou selon les cas, les mesures de sécurité suffisantes et adéquates pour assurer la sécurité sanitaire du personnel présent dans leurs locaux impliquant le traitement de leurs données médicales.

Les agences régionales de santé se sont vues attribuées de nouvelles missions d’aide au repérage des patients contaminés et d’accompagnement des hôpitaux dans leur gestion de l’afflux des malades du coronavirus les amenant à collecter leurs données personnelles.

Les États européens les plus touchés ont enfin mis en place des dispositifs de géolocalisation des appareils électroniques visant à contrôler le respect des règles du confinement par les citoyens et, le cas échéant, à ajuster les mesures déjà prises.

I. De telles collectes de données personnelles sont légitimées par le contexte de crise sanitaire impliquant une menace grave pour la santé de la population.

Pour être licite un traitement de données doit, en effet, être fondé sur l’une des bases légales énoncées à l’article 6 du Règlement nᵒ 2016/679 général sur la protection des données personnelles (RGPD) repris à l’article 5 de la loi n°78-17 « informatique et libertés » (LIL) parmi lesquelles figurent le consentement de la personne, l’exécution d’un contrat, le respect d’une obligation légale par le responsable de traitement, l’exécution d’une mission d’intérêt public ou encore, les intérêts légitimes poursuivis par le responsable du traitement.

S’agissant des données de santé, leur collecte est prohibée par l’article 9 du RGPD qui assortit dans le même temps des dérogations à ce principe. Ainsi, le consentement explicite de la personne, l’exécution d’obligations dans le domaine du droit du travail par le responsable de traitement, la sauvegarde des intérêts vitaux, des motifs d’intérêt public importants ou encore des traitements de prise en charge sanitaire constituent autant de motifs licites à un traitement de données de santé.

La collecte des données de localisation est régie par la directive 2002/58/CE du 12 juillet 2002 (et l’article L.34-1 V du Code des Postes en France) qui permet l’utilisation de ces données à condition qu’elles soient anonymisées ou si les personnes concernées ont consenti au traitement.

Les traitements des informations relatives à la santé des salariés dans le contexte de la crise du coronavirus peuvent ainsi être fondés en premier lieu sur l’exécution des obligations des entreprises en droit du travail. Les entreprises ont, en effet, l’obligation, d’assurer la sécurité et de protéger la santé physique et mentale de leurs salariés sur leur lieu de travail en application de l’article L.4121-1 du Code du travail. Ils peuvent être également fondés sur des motifs d’intérêt public importants dans le cadre de surveillance et d’alerte sanitaire, de prévention ou de contrôle de maladies transmissibles et d’autres menaces graves pour la santé tel que précisé au considérant 52 du RGPD.

Les traitements réalisés par les agences régionales de santé peuvent être fondés sur une mission d’intérêt public sans qu’il soit non plus nécessaire de requérir le consentement de la personne concernée tandis que ceux réalisés par les gouvernements à des fins de localisation des personnes impliqueront leur consentement ou une anonymisation des données.

II. Les règles de protection des données personnelles demeurent, en tout état de cause, applicables aux traitements réalisés dans ces circonstances exceptionnelles.

De tels traitements doivent être réalisés de façon proportionnée, pertinente, limitée et transparente et pour des finalités déterminées et légitimes. La Commission nationale informatique et libertés (CNIL) et le Comité européen de la protection des données (CEPD) indiquent dans leurs déclarations respectives des 6 et 19 mars 2020 que cette situation d’urgence sanitaire justifie des mesures restrictives des libertés à condition d’être proportionnées et limitées dans le temps et mises en œuvre dans le respect des législations applicables.

La CNIL rappelle aux entreprises les conditions de traitement des données des salariés en particulier, celles relatives à leur état de santé. Seules les données nécessaires à la gestion des suspicions d’exposition du virus doivent, en effet, être collectées par l’employeur excluant, par voie de conséquence, toute collecte systématique et généralisée d’informations relatives à la recherche d’éventuels symptômes présentés par un salarié et ses proches notamment par la mise en place de relevés obligatoires de températures corporelles de chaque salarié ou d’une collecte de fiches ou de questionnaires médicaux auprès de l’ensemble du personnel.

L’employeur pourra concrètement établir un fichier recensant les salariés ayant été exposé au virus ainsi que ceux ayant été contaminé sans avoir besoin de requérir leur consentement à conditions de ne collecter que leur identité et la date à laquelle l’information leur a été transmise. Ce fichier pourra uniquement être utilisé aux fins de prévenir la propagation du virus et de mettre en place les mesures nécessaires et ne devra être accessible qu’aux seules personnes en charge de la protection de la santé des salariés.

Les autorités sanitaires devront également respecter les principes de proportionnalité et de minimisation des données collectées dans leurs traitements de suivi des cas d’infection. Seules les données des personnes présentant des symptômes de la maladie ou déjà infecté seront collectées et limitées aux données cliniques et biologiques en lien avec le virus, aux données d’exposition à l’infection et, le cas échéant, aux données d’identification des personnes avec qui elles ont pu être en contact. Leur durée de conservation, comme le précise l’Agence nationale de santé publique, ne devra pas aller au-delà de la fin des investigations nécessaires à la maîtrise de l’épidémie et il appartiendra ensuite de les anonymiser dans un délai maximal d’un an après la fin de ces investigations.

Les autorités publiques amenées à recenser le déplacement des personnes dans le cadre de la période de confinement devront le faire dans le respect de la vie privée en limitant, comme le précise le CEPD, leur traitement à l’établissement de cartographies détaillant la concentration d’appareils mobiles dans un lieu déterminé. Ces traitements ne pourront intervenir qu’avec le consentement de la personne concernée ou de manière anonyme de façon à ce que la ré-identification de la personne ne soit plus possible.

Les mesures de confinement prises par le gouvernement ne permettent pas non plus d’exonérer les responsables de traitement du respect de leurs obligations vis-à-vis des personnes concernées. Les entreprises auront intérêt, par exemple, d’informer leurs salariés de ces nouveaux traitements par voie électronique dans ce contexte impliquant le recours massif au télétravail.

Les responsables de traitement devront, par ailleurs, répondre dans la mesure du possible aux demandes des personnes concernées mais pourront alléger leurs obligations dans certains cas. La situation justifiera, par exemple, la suspension de l’exercice du droit d’effacement des données par les autorités sanitaires pour des motifs impérieux d’intérêt public. Les demandes d’exercice des droits pourront également être traitées dans un délai de deux mois supplémentaires au délai initial d’un mois en raison de leur « complexité » justifiée par la situation de pandémie et à condition d’informer la personne de ce délai supplémentaire.

Les responsables de traitement doivent enfin maintenir l’intégrité et la confidentialité des données personnelles se traduisant éventuellement par un renforcement des mesures de sécurité tant techniques qu’organisationnelles justifié par la collecte de données sensibles et le recours au télétravail afin de réduire le risque de diffusion à des tiers.

La CNIL précise, à ce titre, que de telles mesures pourront être documentées dans le plan de continuité de l’activité (PCA) établi par certaines entreprises identifiant les activités essentielles, les personnes nécessaires à la continuité de ces activités ainsi que l’ensemble des mesures pour protéger la sécurité du personnel. A défaut, il appartiendra aux entreprises de documenter ces mesures dans leur registre de données ou dans tout autre document jugé adéquat.

• 
  La CNIL n’a pas autorisé la collecte des données concernant les collaborateurs "contaminés", LAMOTHE, 8 avril 2020

  Sur le site de la CNIL :

  En cas de signalement, un employeur peut consigner :
   la date et l’identité de la personne suspectée d’avoir été exposée ;

  En aucun cas on ne peut collecter une information d’un collaborateur "infecté" cette information n’est pas vérifiable en l’état actuel par l’employeur et sera uniquement confirmée par les autorités de santé ce n’est pas à l’employeur de stocker cette information ni de la traiter.

  https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles