CNIL : Rappel des bonnes pratiques en matière de collecte de données personnelles des salariés par l’employeur en temps de covid-19

Depuis le déconfinement, et dans le contexte du retour des salariés sur site, l’employeur peut être amené à collecter et gérer les données personnelles de ses salariés, relatives notamment à leur état de santé. Cette situation soulève d’importantes interrogations en matière de traitement des données personnelles des salariés.

En réponse à ces nombreuses questions, la CNIL a, le 23 septembre dernier, réalisé une publication rappelant les règles générales et les bonnes pratiques en la matière.

• Obligations de sécurité de l’employeur et des salariés

Il est intéressant de relever que la CNIL rappelle qu’une obligation de sécurité pèse tant sur l’employeur que sur les salariés.

Concernant les employeurs, ceux-ci ont, dans le cadre de la collecte des données, et « conformément au RGPD, le droit de traiter des données personnelles lorsqu’elles sont strictement nécessaires au respect de [ses] obligations légales ».

Ainsi, l’obligation de sécurité de l’employeur permet à ce dernier:

• de contraindre les salariés qui travaillent en contact avec d’autres personnes à remonter de manière individuelle des informations « en cas de contamination ou suspicion de contamination » auprès de lui ou auprès des autorités sanitaires compétentes « aux seules fins de lui permettre d’adapter les conditions de travail » ;
• de mettre en place des « canaux dédiés et sécurisés » pour faciliter la transmission de ces informations ;
• de favoriser les modes de travail à distance et d’encourager le recours à la médecine du travail.

Concernant les salariés, « chaque employé/agent doit veiller à préserver sa propre santé/sécurité mais également celles des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle » en application de l’article L. 4122-1 du code du travail.

Ainsi, les salariés sont tenus d’informer leur employeur en cas de contamination ou de suspicion de contamination au virus chaque fois que des collègues de travail ont pu être exposés eux aussi, afin que des mesures individuelles puissent être prises par l’employeur.

A ce titre, les salariés en télétravail ou qui ne sont pas en contact avec d’autres personnes n’ont pas à délivrer cette information, car faire peser une telle obligation sur des salariés « isolés » ne pourrait pas être justifié, aucune autre personne n’étant mise en danger.

• Données collectées par l’employeur et règlement RGPD

La CNIL rappelle que « Les employeurs ne sauraient ainsi traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales et conventionnelles » en vue de prendre des mesures organisationnelles, de formation et d’information, ainsi que certaines actions de prévention des risques professionnels.

Ces données sont les suivantes : éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou qu’elle soit suspectée de l’être, ainsi que les mesures organisationnelles prises. En revanche, si l’identité de la personne peut être communiquée aux autorités sanitaires compétentes, elle ne doit en aucun cas l’être aux autres salariés.

Au-delà, les données de santé des salariés dépassant la « simple » gestion des suspicions d’exposition au virus en vue de protéger les autres salariés et le public ne doivent pas être collectées par l’employeur. En effet, la CNIL rappelle qu’en principe les données relatives à l’état de santé sont interdites de traitement.

L’utilisation de ces données doit en conséquence impérativement s’inscrire dans le cas des dérogations autorisées par le RGPD (Article 9 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (dit « RGPD), à savoir la nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en droit du travail (traitement des signalements par les salariés par exemple), ou la nécessité pour un professionnel de santé de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, etc.

• Bonnes pratiques

La CNIL rappelle l’importance d’assurer une parfaite transparence et d’informer les salariés sur les dispositifs mis en œuvre : « L’information des personnes comme le dialogue social […] est une composante essentielle de la gestion de la crise sanitaire et participe à rassurer les personnes concernées » .

La CNIL renvoie à une page contenant des exemples de mentions d’information sur son site.

Elle livre également des recommandations relatives à l’utilisation de certains dispositifs mis en œuvre pour lutter contre la propagation du virus :

• les relevés de température : la CNIL rappelle qu’il est interdit de constituer un fichier enregistrant la température des salariés, ou de mettre en place des outils de captation automatique de température (caméras thermiques par exemple)

Il ressort du protocole national pour assurer la santé et la sécurité des salariés en entreprise face à l’épidémie de Covid-19 dans sa version du 17 septembre 2020 qu’« un contrôle de température à l’entrée des établissements/structures n’est pas recommandé » ;

• les tests sérologiques et les questionnaires sur l’état de santé : les tests médicaux, sérologiques ou de dépistage du Covid-19 doivent être réalisés par des professionnels de santé dans la mesure où le résultat de ces tests est soumis au secret médical. Ainsi, la CNIL rappelle que « les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées », et que seuls les personnels de santé compétents peuvent mettre en œuvre des questionnaires médicaux ;
• les plans de continuité de l’activité (« PCA ») : dans le cadre de l’élaboration d’un PCA l’employeur doit veiller à ne collecter que les données nécessaires au maintien de l’activité essentielle de l’organisation en période de crise.

• Rôle des services de santé au travail

Les services de santé au travail jouent un rôle prépondérant dans la gestion de la crise sanitaire actuelle en entreprise.

La CNIL rappelle notamment qu’en cas de suspicion d’infection au virus, « la personne concernée doit se mettre en rapport avec un professionnel de santé (services de santé au travail, médecin traitant, services d’urgence…), seul en mesure d’apprécier la capacité d’une personne à travailler ou de décider de sa prise en charge ».

En outre, l’employeur qui souhaiterait aller au-delà de ses obligations en s’assurant de l’état de santé de ses salariés pour individualiser les conditions de travail (mise en place de fichiers relatifs à certaines pathologies susceptibles de constituer des troubles aggravant en cas d’infection au Covid-19 par exemple), devrait « nécessairement s’appuyer sur le service de santé au travail, seul compétent en la matière ».