Dans le contexte de crise sanitaire liée au coronavirus, particuliers et professionnels s’interrogent sur les mesures à mettre en œuvre aux fins de limiter la propagation du virus, et sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées.
La CNIL rappelle quelques principes.
Ce qu’il ne faut pas faire
Si chacun doit mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect de mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font en effet l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique.
Par exemple, les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches. Il n’est donc pas possible de mettre en œuvre, par exemple :
- des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ;
- ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents.
Ce qu’il est possible de faire rappels CNIL collecte données personnelles
L’employeur est responsable de la santé et de la sécurité des salariés/agents conformément au Code du travail et des textes régissant la fonction publique (particulièrement l’article L. 4121-1 du Code du travail). Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés.
Dans ce contexte, l’employeur peut :
- sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
- faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
- favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
En cas de signalement, un employeur peut consigner :
- la date et l’identité de la personne suspectée d’avoir été exposée ;
- les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).
Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.
Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.
Chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même (article L.4122-1 du Code du travail) : il doit informer son employeur en cas de suspicion de contact avec le virus.
Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.
Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.
Suivez et relayez les recommandations sanitaires sur le site du Gouvernement
Questions/réponses pour les entreprises et les salariés sur travail-emploi.gouv.fr
note
La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’organisme français chargé de veiller au respect des lois sur la protection des données personnelles. En tant que telle, la CNIL publie régulièrement des rappels et des guides pour aider les entreprises et les organisations à respecter les règles en matière de collecte de données personnelles.
En général, la CNIL recommande aux entreprises et aux organisations de suivre ces principales règles en matière de collecte de données personnelles :
- Respecter la légalité, la loyauté et la transparence dans la collecte de données personnelles.
- Collecter uniquement les données personnelles nécessaires à la réalisation des finalités poursuivies.
- Traiter les données personnelles de manière adéquate, pertinente et non excessive en regard des finalités poursuivies.
- Conserver les données personnelles pour une durée limitée à celle nécessaire à la réalisation des finalités poursuivies.
- Veiller à la sécurité et à la confidentialité des données personnelles.
- Respecter les droits des personnes concernées en matière de protection de leurs données personnelles.
En outre, la CNIL recommande aux entreprises et aux organisations de mettre en place des mesures de sécurité adéquates pour protéger les données personnelles qu’elles collectent et de respecter les droits des personnes concernées en matière de protection de leurs données personnelles.
