Newsletter

Social

RGPD

Covid-19 : la CNIL rappelle les règles sur la collecte de données personnelles par les employeurs

Dans le contexte de la crise sanitaire liée au coronavirus, en particulier depuis le déconfinement, les employeurs doivent prendre toutes les mesures nécessaires pour assurer la sécurité des salariés. La CNIL leur rappelle dans quelles conditions ils peuvent utiliser des données personnelles, notamment de santé.

Seuls certains traitements sont autorisés pour répondre à l’obligation de sécurité

La CNIL rappelle qu’une obligation légale de sécurité pèse sur chaque employeur (c. trav. art. L. 4121-1), laquelle se traduit notamment par une obligation de prévention du risque biologique (c. trav. art. R. 4422-1) dont le coronavirus fait partie.

La CNIL souligne que, conformément au RGPD (règlt UE 2016/679 du 27 avril 2016, art. 6), les employeurs ont le droit de traiter des données personnelles, notamment lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales, ici l’obligation de sécurité. En vocabulaire RGPD, le respect d’une obligation légale est l’une des bases légales envisageables pour les traitements de données personnelles. Pour mémoire, la « base légale » d’un traitement c’est « ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données à caractère personnel » (glossaire, www.cnil.fr).

Cela étant, tout n’est pas permis aux employeurs dans la mesure où les données liées à l’état de santé des salariés sont des données dites sensibles, dont le traitement est en principe interdit, sauf exceptions.

Récapitulatif des traitements autorisés

Sur les mesures que l’employeur peut, selon la CNIL, légitimement mettre en œuvre, voir le tableau ci-après.

Mesures de prévention du risque « coronavirus » : traitements des données personnelles autorisés (1)
Mesures prises par l’employeur
Données pouvant être traitées
Traitement des signalements par les salariés
• Rappel aux salariés, travaillant au contact d’autres personnes, de leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination (2), auprès de l’employeur ou des autorités sanitaires compétentes, pour permettre à l’employer d’adapter les conditions de travail (3)
• Éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou suspecter de l’être ainsi que les mesures organisationnelles prises (4)
• Faciliter la transmission aux autorités sanitaires compétentes par la mise en place, au besoin, de canaux dédiés et sécurisés (5)
• Éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée
Organisation et conditions de travail
• Mise en place des modes de travail à distance et encouragement du recours à la médecine du travail
• NDLR : voir le référentiel « gestion du personnel » (6)
Vérification de la température
• Vérification de la température au moyen d’un thermomètre manuel (ex. :  type infrarouge sans contact) à l’entrée d’un site (7) (8)
• Aucune donnée ne peut être traitée. Il est en effet interdit aux employeurs :

-de constituer des fichiers, informatiques ou papiers, conservant des données de températures de leurs salariés ;

-de mettre en place des outils de captation automatique de température (ex. : caméras thermiques)

Plan de continuité de l’activité (PCA)
• Élaboration et tenue du PCA
• Fichier nominatif qui ne doit contenir que les données nécessaires aux mesures prises pour assurer la continuité de l’activité (ex. : indentification des personnes nécessaires à la continuité du service) (9)
(1) « Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs » (www.cnil.fr).
(2) L’obligation de sécurité du salarié (c. trav. art. L. 4122-1) et le contexte de la pandémie du covid-19 permettent, selon la CNIL, à l’employeur de demander aux salariés cette remontée d’informations liées à leur état de santé. Pour mémoire, l’état de santé est une donnée personnelle dite « sensible » et relève à ce titre de dispositions particulièrement protectrices (règlt UE 2016/679 du 27 avril 2016, art. 6).
(3) Pour la CNIL, l’employeur ne peut pas demander cette remontée d’informations aux salariés qui seraient placés en télétravail ou qui travailleraient de manière isolée sans contact avec leurs collègues ou du public.
(4) Il s’agit des données strictement nécessaires aux mesures organisationnelles adoptées pour répondre à l’obligation de sécurité : télétravail, orientation vers le médecin du travail, formation et information, autres actions de prévention des risques professionnels, etc.
(5) Attention : l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres salariés.
(6) Sur les données pouvant être collectées dans le cadre des traitements courant de gestion du personnel, voir le Référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel (www.cnil.fr).
(7) Il doit s’agir d’une seule vérification de température. Compte tenu des règles applicables aux données de santé, données dites « sensibles », les employeurs ne peuvent pas eux-mêmes mettre en place des fichiers relatifs à la température corporelle de leurs salariés ou à certaines pathologies (les « comorbidités ») susceptibles de constituer des troubles aggravants en cas d’infection au COVID-19.
(8) La CNIL rappelle que, conformément au protocole national de déconfinement, les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées.
(9) La CNIL rappelle que l’employeur doit veiller à assurer en toute hypothèse la sécurité et la confidentialité des données qu’il traite : tel est, par exemple, le cas, lors de l’envoi des justificatifs de déplacement professionnel qui contiennent des données personnelles, lesquelles ne doivent être communiquées qu’aux seules personnes individuellement concernées.

Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs », www.cnil.fr