menu
retour

Newsletters

COVID-19 et protection des données de santé

Frédéric Sardain , Claire Allavena

1. L'EMPLOYEUR NE PEUT PAS, EN PRINCIPE, COLLECTER DE DONNÉES DE SANTÉ RELATIVES AU COVID-19

En principe l’employeur ne peut pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée de ses salariés, notamment par la collecte de ses données de santé ou d’informations relatives à la recherche d’éventuels symptômes (art. 9 du RGPD et art 6 de la loi Informatique et Libertés).

À cet égard, la CNIL vient de préciser, dans ses recommandations relatives au Covid-19 publiées le 6 mars 2020, qu’il est impossible pour l’employeur de mettre en œuvre, par exemple :

–  des relevés de températures corporelles de ses salariés ;

–  la collecte d’informations médicales via des fiches ou questionnaires.

Ces interdictions concernent également les visiteurs.

2. LA COLLECTE DE DONNÉES DE SANTÉ PAR L'EMPLOYEUR DEMEURE TOUTEFOIS POSSIBLE DANS LES CAS SUIVANTS

a) Lorsque les données sont volontairement communiquées par le salarié

En tant que responsable de la santé et la sécurité de ses salariés (art. L. 4121-1 du Code du travail), l’employeur peut sensibiliser ses salariés et les inviter à lui communiquer, au besoin via des canaux de communication dédiés, des informations personnelles en lien avec une éventuelle exposition au Covid-19. Dans cette hypothèse, il est recommandé à l’employeur de recueillir le consentement exprès du salarié, afin de légitimer la collecte de ses données de santé (art. 9.2, a) du RGPD).

En tout état de cause, dans la mesure où il incombe au salarié de préserver la santé et la sécurité d’autrui et de lui-même sur le lieu de travail (art. L. 4122-1 du Code du travail), le salarié est tenu d’informer spontanément son employeur en cas de suspicion de contact avec le Covid-19.

Le traitement de ces informations doit alors être limité à la seule gestion des suspicions d’exposition au virus.

b) Lorsque la collecte est sollicitée par les autorités sanitaires

Si les autorités sanitaires venaient à solliciter la collecte de données de santé des salariés auprès des employeurs, ces derniers pourraient alors fonder la licéité de leur collecte en se prévalant d’un « traitement nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé » (cf. art. 9.2, i du RGPD ainsi que ses considérants 46 et 52).

3. RECOMMANDATIONS

En cas de signalement d’une éventuelle exposition au Covid-19 par un salarié, il est recommandé à l’employeur :

–  de consigner (1.) les données communiquées par le salarié (telles que la date de l’exposition au Covid-19 ou l’identité de la personne suspectée d’avoir été exposée) ainsi que (2.) les mesures organisationnelles adoptées (par ex. : confinement, télétravail, prise de contact avec la médecine du travail) ;

–  de stocker ces données pour une durée n’excédant pas la durée de la finalité pour laquelle elles sont traitées  (art. 5 du RGPD) ;

–  de modifier en conséquence la Politique de confidentialité des salariés ;

–  de prendre en compte ce traitement dans le Registre des traitements ;

–  d’adopter toutes mesures de nature à garantir une sécurité appropriée de ces données de santé.