1. La protection des données personnelles dans et par l’entreprise
1.1 La protection des données personnelles des salariés de l’entreprise
Très rapidement, la CNIL a rappelé aux responsables de traitement (entreprises et administrations) ce qu’il leur était possible de faire avec les données personnelles de santé, puisqu’elles sont évidemment convoquées dès qu’un individu est suspecté d’infection à la covid-19.
En effet les entreprises, soucieuses de mettre en place des dispositifs destinés à éviter la contamination de leurs équipes ainsi qu’à suppléer les arrêts maladies et quarantaines, se sont demandées dans quelle mesure elles pouvaient collecter des informations révélatrices de l’état de santé de leurs salariés, données qui sont en principe interdites de collecte sans une justification conforme aux cas prévus par l’article 9 du RGPD.
Les entreprises ne sont pas garantes de l’intérêt général, mais peuvent participer à sa sauvegarde. Elles ne peuvent cependant en aucun cas de substituer aux autorités, et en particulier aux autorités sanitaires. La CNIL a indiqué que les employeurs ne pouvaient pas collecter des données et mettre en place des traitements qui iraient au-delà de la gestion des suspicions d’exposition au virus. Reste à définir ce qu’on entend par « gestion des suspicions ».
L’employeur doit inciter le salarié à déclarer l’éventuelle suspicion qui le concerne, afin de prendre conséquemment les mesures que la loi l’oblige à prendre en vertu de son devoir de protéger la santé et de la sécurité des salariés « conformément au Code du travail et aux textes régissant la fonction publique (particulièrement l’article L. 4121-1 du Code du travail) », mais il ne peut pas contraindre ses personnels à divulguer leur état de santé – ou celui de leurs proches !
L’employeur doit à ce titre mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés en fonction des signalements qu’il reçoit, et non pas en fonction d’un recensement auquel il procéderait d’autorité.
La CNIL l’autorise à « mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés », dont le fait de « sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition ».
On sait également ce que les entreprises ne peuvent pas faire : il n’est pas possible de mettre en œuvre, par exemple, des relevés obligatoires des températures corporelles des employés (ou des visiteurs de l’entreprise) et de les adresser quotidiennement à la hiérarchie, non plus que de diffuser des questionnaires médicaux auprès de l’ensemble des employés ou procéder à un relevé de leurs symptômes éventuels.
Plus généralement, il n’est pas possible d’organiser la collecte de données de santé, liées à la contamination à la covid-19, autrement que sur la base de l’initiative du salarié lui-même.
C’est donc en cas de signalement qu’on peut collecter les données personnelles de santé (dont la suspicion de contamination au coronavirus). La CNIL écrit que « En cas de signalement, un employeur peut consigner (i) la date et l’identité de la personne suspectée d’avoir été exposée ; (ii) les mesures organisationnelles prises ».
Il est recommandé aux employeurs de ne répertorier qu’une information liée à une « suspicion Covid-19 » plutôt que de collecter des symptômes ou, a fortiori, des diagnostics, même si les employés ont spontanément communiqué plus d’informations.
On doit en effet respecter le principe de minimisation. La CNIL indique que l’objectif poursuivi par la collecte d’informations sur la contamination de ses salariés doit lui permettre de « communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée » : il n’est pas besoin de collecter d’autres données que celles strictement nécessaires à cette finalité.
Au-delà, l’employeur peut naturellement collecter les absences, afin d’organiser sa production et les éventuels remplacements, mais là encore sans faire un état exagéré de données de santé ; le constat objectif de l’arrêt maladie du salarié, l’information sur sa mise en quarantaine, suffisent pour réorganiser la production, identifier des remplaçants, ou communiquer auprès des clients.
Ainsi, parmi ces réorganisations, les finalités autorisant à tenir compte d’une « suspicion covid-19 » peuvent être liées à la nécessité de « sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ; faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ; favoriser les modes de travail à distance et encourager le recours à la médecine du travail » ou encore « établir un plan de continuité de l’activité, qui a pour objectif de maintenir l’activité essentielle de l’organisation ».
En clair, il n’est pas question de permettre aux entreprises (ou administrations non sanitaires) de tenir un « fichier des malades ».
C’est à la personne concernée, le salarié ici, de prendre ses responsabilités et d’informer son employeur de la possibilité qu’il soit contaminé : « Chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même (article L.4122-1 du Code du travail) : il doit informer son employeur en cas de suspicion de contact avec le virus. »
L’entreprise ne peut donc que recenser les salariés qui indiquent être contaminés ou avoir été exposés à la covid-19, sur la base de l’intérêt légitime de l’employeur et donc sans consentement des salariés, en n’enregistrant que (i) l’identité des salariés, (ii) la suspicion de contamination et (iii) la date à laquelle l’employeur est informé, ainsi que (iv) l’éventuel arrêt maladie qui en découle.
Ce fichier ne peut ensuite être utilisé qu’aux seules fins de prévenir la propagation du virus dans l’entreprise et de réorganiser sa production, et le cas échéant de communiquer ces informations aux autorités sanitaires si celles-ci contactent l’entreprise, dans le cadre de l’intérêt général.
Enfin, ce fichier n’est accessible qu’aux personnes ayant à en connaître dans l’entreprise, c’est-à-dire celles (i) en charge de la protection de la santé des salariés et (ii) en charge de l’organisation de la production dans ce contexte de crise.
En synthèse, les entreprises doivent :
- Limiter strictement toute collecte de donnée en lien indirect avec la santé de leurs salariés au strict nécessaire dans le cadre de la réorganisation de la production, en incitant les salariés à les déclarer, sans les interroger ni les contraindre à cet égard ;
- Informer ces salariés sur tout traitement de leurs données mis en œuvre en raison de l’épidémie de covid-19, ainsi que des finalités poursuivies ;
- de mettre en œuvre des mesures organisationnelles et techniques nécessaires sécurité adaptées pour protéger les données personnelles collectées ;
- Ne transmettre les données de santé des salariés qu’aux seules autorités sanitaires et à la seule demande de celles-ci ;
- S’abstenir absolument de communiquer auprès de leurs salariés en identifiant les salariés malades, seuls les personnels liés à l’organisation technique de la production et à la médecine du travail étant habilités à traiter ces informations ;
- Prévoir une durée limitée pour la conservation de ces données, conservation qui ne saurait aller au-delà de l’indisponibilité du salarié, et au maximum jusqu’au terme de de la crise sanitaire.