Depuis le déconfinement, et dans le contexte du retour des salariés sur site, l’employeur peut être amené à collecter et gérer les données personnelles de ses salariés, relatives notamment à leur état de santé. Cette situation soulève d’importantes interrogations en matière de traitement des données personnelles des salariés.
En réponse à ces nombreuses questions, la CNIL a, le 23 septembre dernier, réalisé une publication rappelant les règles générales et les bonnes pratiques en la matière.
Il est intéressant de relever que la CNIL rappelle qu’une obligation de sécurité pèse tant sur l’employeur que sur les salariés.
Concernant les employeurs, ceux-ci ont, dans le cadre de la collecte des données, et « conformément au RGPD, le droit de traiter des données personnelles lorsqu’elles sont strictement nécessaires au respect de [ses] obligations légales ».
Ainsi, l’obligation de sécurité de l’employeur permet à ce dernier:
Concernant les salariés, « chaque employé/agent doit veiller à préserver sa propre santé/sécurité mais également celles des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle » en application de l’article L. 4122-1 du code du travail.
Ainsi, les salariés sont tenus d’informer leur employeur en cas de contamination ou de suspicion de contamination au virus chaque fois que des collègues de travail ont pu être exposés eux aussi, afin que des mesures individuelles puissent être prises par l’employeur.
A ce titre, les salariés en télétravail ou qui ne sont pas en contact avec d’autres personnes n’ont pas à délivrer cette information, car faire peser une telle obligation sur des salariés « isolés » ne pourrait pas être justifié, aucune autre personne n’étant mise en danger.
La CNIL rappelle que « Les employeurs ne sauraient ainsi traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales et conventionnelles » en vue de prendre des mesures organisationnelles, de formation et d’information, ainsi que certaines actions de prévention des risques professionnels.
Ces données sont les suivantes : éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou qu’elle soit suspectée de l’être, ainsi que les mesures organisationnelles prises. En revanche, si l’identité de la personne peut être communiquée aux autorités sanitaires compétentes, elle ne doit en aucun cas l’être aux autres salariés.
Au-delà, les données de santé des salariés dépassant la « simple » gestion des suspicions d’exposition au virus en vue de protéger les autres salariés et le public ne doivent pas être collectées par l’employeur. En effet, la CNIL rappelle qu’en principe les données relatives à l’état de santé sont interdites de traitement.
L’utilisation de ces données doit en conséquence impérativement s’inscrire dans le cas des dérogations autorisées par le RGPD (Article 9 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (dit « RGPD), à savoir la nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en droit du travail (traitement des signalements par les salariés par exemple), ou la nécessité pour un professionnel de santé de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, etc.
La CNIL rappelle l’importance d’assurer une parfaite transparence et d’informer les salariés sur les dispositifs mis en œuvre : « L’information des personnes comme le dialogue social […] est une composante essentielle de la gestion de la crise sanitaire et participe à rassurer les personnes concernées » .
La CNIL renvoie à une page contenant des exemples de mentions d’information sur son site.
Elle livre également des recommandations relatives à l’utilisation de certains dispositifs mis en œuvre pour lutter contre la propagation du virus :
Il ressort du protocole national pour assurer la santé et la sécurité des salariés en entreprise face à l’épidémie de Covid-19 dans sa version du 17 septembre 2020 qu’« un contrôle de température à l’entrée des établissements/structures n’est pas recommandé » ;
Les services de santé au travail jouent un rôle prépondérant dans la gestion de la crise sanitaire actuelle en entreprise.
La CNIL rappelle notamment qu’en cas de suspicion d’infection au virus, « la personne concernée doit se mettre en rapport avec un professionnel de santé (services de santé au travail, médecin traitant, services d’urgence…), seul en mesure d’apprécier la capacité d’une personne à travailler ou de décider de sa prise en charge ».
En outre, l’employeur qui souhaiterait aller au-delà de ses obligations en s’assurant de l’état de santé de ses salariés pour individualiser les conditions de travail (mise en place de fichiers relatifs à certaines pathologies susceptibles de constituer des troubles aggravant en cas d’infection au Covid-19 par exemple), devrait « nécessairement s’appuyer sur le service de santé au travail, seul compétent en la matière ».