En parcourant mes réseaux sociaux professionnels, j’ai pu constater un certain nombre d’interrogations intéressantes de DPO relatives au traitement de données personnelles, et notamment sur les données de santé, dans le cadre de l’urgence sanitaire actuelle.

Mesures d’urgence et traitements de données sensibles

Force est de constater que, la situation conduit de nombreux acteurs privés et publics à mettre en place des mesures d’urgences pour endiguer le virus.  Certaines de ces mesures impliquent des traitements de données sensibles des collaborateurs qui, par principe, répondent à un cadre légal strict.

Les règles de licité de ces traitements sont principalement régies par les dispositions du Règlement Général sur la Protection des Données personnelles et par extension, du code du travail.

Se pose alors la question du caractère licite des mesures impliquant l’utilisation des données personnelles, et par extension des données de santé des collaborateurs/administrés.

Bien que la CNIL ait émis une courte recommandation sur les bonnes pratiques vis-à-vis des données personnelles, nous avons souhaité vous détailler le sujet, notamment pour les employeurs agissant en qualité de responsable de traitement.

Qu’est-ce qui se passe sur le sujet d’intéressant dans le monde ?

En pratique, plusieurs acteurs publics se sont impliqués dans la lutte contre la propagation du coronavirus via des traitements “inédits”. L’Etat français, par exemple, s’est rapproché des opérateurs téléphoniques afin de diffuser le plus largement possible un message officiel de prévention lié à la quarantaine, et cela sans avoir recueilli le consentement des personnes concernées.

Aussi, à l’échelle régionale et départementale, les acteurs publics ont, pour certains, mis en place des formulaires de recensement de personnes à risques, présentant des symptômes ou encore ayant été exposés.

Autre fait marquant, une application entend être déployée sur l’ensemble du territoire. L’objectif de cette application (qui reste encore flou) sera d’informer les citoyens ayant été en contact de personnes malades et d’analyser les déplacements des personnes infectées.

Enfin, concernant les acteurs privés, plusieurs démarches ont été rapportées, à savoir, la demande journalière de la température corporelle, le renseignement de l’état de santé et de pathologies du collaborateur et de ses proches …

Au regard de ces pratiques, il convient de rappeler la base légale de ces traitements.

Collecte et traitement de données personnelles : quelle base légale ?

Tout traitement ayant pour finalité la sauvegarde des intérêts vitaux ou l’exécution d’une mission d’intérêt public est légitime.

La base légale de la collecte et du traitement de données personnelles (simples ou sensibles) sont encadrés par le Règlement Général sur la Protection des Données Personnelles.

La licité du traitement repose sur une condition sine qua non : le consentement de la personne concernée.

Toutefois, par exception prévue à l’article 6 d), e) du RGPD, le consentement n’est pas nécessaire et le traitement est qualifié de licite si ce dernier est nécessaire à :

  • La sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  • L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

A cela, il convient de préciser que ces mesures s’appliquent également au regard des dispositions du code du travail, notamment à l’article L.4121-1 du code du travail par lesquelles l’employeur s’oblige à prendre les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs.

La notion de travailleur intègre les salariés et les agents. Ce qui signifie que, les acteurs publics et privés sont concernés par ces dispositions sans différenciation particulière.

Par conséquent, c’est au DPO d’assurer que les mesures s’inscrivant dans le cadre de l’urgence sanitaire doivent, par exception, être prévues dans les dérogations précitées pour être licites.

Le traitement des données, mais quelles données ?

Les traitements évoqués sont donc susceptibles d’impliquer des données personnelles. Cependant pour rappel, une petite différenciation est ici à faire.

Autre cadre dérogatoire que pourrait être le traitement des données dites de santé, strictement encadrées par le RGPD et la Loi Informatique et Libertés.

Bien qu’une définition de donnée de santé ne soit pas formalisée, l’article 9 du RGPD dispose que tout traitement de données sensibles (de santé, entre autres) est par principe interdit.

Comme tout principe à son exception, les données de santé peuvent faire l’objet d’un traitement, notamment pour :

  • L’exécution des obligations et de l’exercice des droits du responsable de traitement ou à la personne concernée en matière de droit du travail
  • Des motifs d’intérêt public dans le domaine de la santé publique

Quid du traitement des données de santé par l’employeur

Dans l’avis du 6 mars de la CNIL, la Commission souligne l’obligation de l’employeur d’assurer la santé et la protection des employés sans pour autant mettre en place des mesures de traitement de données de santé.

Nous le rappelons également, l’employeur doit en effet mettre en œuvre des moyens de prévention et de sensibilisation tout en mettant à disposition les moyens adaptés pour se faire.

Le traitement de données de santé des salariés ne s’inscrit pas dans les dérogations du RGPD ou de la Loi Informatique et Libertés en ce que les mesures de préventions doivent répondre aux dispositions du code du travail, nécessitant donc pas un tel traitement de données de santé.

Par conséquent, il est attendu de l’employeur de documenter et formaliser une prévention pour limiter la contamination, passant par : une communication efficace pour prévenir d’une exposition ou d’une contamination, d’imposer les gestes barrières, faciliter les déplacements, fournir les moyens de travail

Toute autre mesure liée à la collecte systématique des données de santé se révèlerait être abusive.

Avis du DPO

Nous conseillons les employeurs de limiter les traitements de données personnelles et sensibles à la stricte prévention et sécurité au sein de votre organisation, notamment au travers de votre Plan de Continuité d’Activité.

Ces traitements liés à l’endiguement du Covid-19 doivent nécessairement être transparents, déclarés et actualisés dans le registre d’activité des traitements tout en prenant en compte la stricte collecte d’information alignée au traitement et à la finalité principale.

Aussi, en qualité de responsable de traitement, n’oubliez pas que la sécurité de ces informations personnelles vous incombe !

Enfin, nous constatons une recrudescence de messages “informatifs” de la part d’entreprises commerciales sous couvert de la crise sanitaire. A vous de revoir l’alignement des traitements à la finalité et à ce qui a été consenti ou non. Ce qui évitera de légères dérives comme la réception de plusieurs messages promotionnels (“L’équipe X réorganise son activité pour faire face à la pandémie. Par ailleurs nous vous informons que des réductions…) auxquels nous n’avons jamais consentis, ou encore la recette de la tarte à l’oignon de son fournisseur d’énergie…

C’est un travail minutieux auquel les DPO doivent s’atteler, mais la mobilisation nationale n’exempte pas des principes juridiques.

Vous souhaitez plus d’information sur ce sujet ?

Voir notre offre Gouvernance des données

.

Contactez nous directement