La collecte d’informations sur la santé des salariés : sauf en cas de crise ou surtout en cas de crise ?

La collecte d’informations sur la santé des salariés : sauf en cas de crise ou surtout en cas de crise ?

 

En vertu de son obligation de sécurité issue de l’article L. 4121-1 Code du travail, l’employeur est tenu de prendre toutes les mesures nécessaires afin d’assurer la sécurité et de protéger la santé de ses collaborateurs.

Ainsi, afin d’organiser leur activité tout en les protégeant en temps de crise sanitaire, il peut être tenté de recueillir auprès de ses employés des informations telles que la température corporelle ou la liste de leurs voyages effectués récemment, etc.

Cependant, ces données constituant des données à caractère personnel (DCP) au sens du RGPD en son article 4, la prudence ou tout du moins la gestion « fine » de ces DCP s’impose !

Notons que la Commission Nationale de l’Informatique et des Libertés (CNIL) a rappelé que les données recueillies par l’employeur dans le cadre de la lutte contre le coronavirus pouvaient relever de la sphère privée sous réserve de respecter les règles de protection des DCO édictées par le RGPD. .

 

Pas de collecte systématique de Données à caractère personnel de salariés 

Comme nous l’avons énoncé en préambule, l’employeur peut être amené à répondre à son obligation de sécurité en procédant à une collecte de DCP.

Cependant, dans la mesure où elles doivent permettre de déterminer la susceptibilité d’être porteur du virus, il s’agit de données de santé, et plus précisément des données sites « sensibles au sens de l’article 9 du RGPD, elles bénéficient ainsi d’une protection renforcée.

En effet, leur collecte et leur traitement est en principe interdit sauf à se prévaloir de l’une des exceptions à l’interdiction de traiter des données sensibles prévues par le RGPD (article 9).

Or, au regard des intérêts en cause, la collecte systématique de DCP à l’initiative de l’employeur contrevient aux principes de nécessité et de proportionnalité des traitements. Le salarié peut légitimement ne pas vouloir faire part à son employeur de tous ses voyages récents à l’étranger, de la maladie de certains de ses proches, ou de données personnelles de santé. L’employeur ne peut donc par exemple ni transmettre à tous ses salariés un questionnaire pour connaître leurs destinations récentes ni procéder à des relevés systématiques de température. Il ne peut a fortiori pas collecter de telles informations sur des personnes extérieures à l’entreprise qui auraient à s’y rendre (clients, visiteurs, prestataires de services etc).

L’employeur n’est pas pour autant nécessairement impuissant face à la vulnérabilité de son entreprise. En effet, des termes de l’article L. 4122-1 découle une obligation d’informer son employeur lorsque le salarié est susceptible d’être porteur du virus. L’employeur peut alors prendre les mesures nécessaires, sans recourir à des recherches systématiques.

La CNIL confirme cette interprétation, ainsi, elle vient préciser les contours de ces collectes en publiant ses recommandations concernant le traitement de données personnelles dans le contexte de la crise sanitaire liée au coronavirus.

L’autorité de contrôle française précise que « les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employés/agent et ses proches ».

La CNIL indique que le salarié a néanmoins l’obligation d’informer son employeur en cas de suspicion de contact avec le virus. Elle précise également que l’employeur peut inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition et faciliter leur transmission par la mise en place, au besoin, de canaux dédiés.

Celui-ci sera donc amené à recueillir des DCP de ses employés, mais à l’initiative de ces derniers. L’employeur a alors un intérêt à organiser cette remontée d’information, en mettant à la disposition des employés tenus de signaler leur situation un canal spécifique, efficace et conforme au règlement européen.

 

Une gestion « fine » des données remontées par les salariés est de rigueur

Afin de respecter ses obligations légales de sécurité, l’employeur peut donc être amené à recueillir des DCP concernant la santé de ses employés.

Pour que leur traitement soit légal, le principe de minimalisation (article 5) doit être respecté. Ainsi, seules les DCP adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées pourront faire l’objet d’un traitement.

Le fait de prévoir un canal de communication spécifique doit d’ailleurs permettre de limiter les informations recueillies, en évitant qu’un employé « trop zélé » ne communique à son employeur des DCP non nécessaires (le nom de ses proches qui seraient touchés, la description de ses symptômes etc).

Une fois recueillies et traitées, se pose la question des personnes à qui l’employeur, peut les transmettre. Selon la CNIL, les autorités sanitaires, chargées de la gestion de la crise, peuvent être amenées à les traiter.

Leur transmission au Comité Economique et Social, qui doit être consulté pour le plan de continuation de l’activité (PCA) ou le recours à l’activité partielle, semble également possible, là encore si elle est limitée à ce qui est strictement nécessaire. En revanche, l’employeur ne peut en aucun cas transmettre les informations qu’il a collectées à l’ensemble de son personnel.

L’employeur qui souhaite recueillir des informations pour protéger ses employés et son activité contre le coronavirus ne peut donc pas s’affranchir des règles issues du RGPD de protection des données à caractère personnel.

Cela implique notamment de limiter la durée de stockage des DCP, et de bien informer les salariés du traitement de leurs données. Ils doivent tout d’abord être informés de manière concise, transparente, compréhensible et accessible des finalités du traitement, de l’identité du responsable de traitement et de la durée de conservation des DCP (art. 13 RGPD).

Ils doivent en outre être informés des droits dont ils disposent à l’encontre du responsable du traitement : droit accès aux données collectées qui les concernent (art. 15), droit de les faire rectifier si elles sont inexactes (art. 16 RGPD) et droit de les faire effacer lorsque leur conservation ne sera plus justifiée (art. 17 RGPD).