La CNIL publie sur son site un guide pour le traitement des données personnelles dans le contexte de la gestion de la crise liée à l’apparition du coronavirus et ses effets sur la gestion des salariés.
L'employeur est tenu à une obligation de sécurité et de protection de la santé à l’égard de ses salariés. Il prend les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs (actions de prévention des risques professionnels, d'information et de formation, mise en place d'une organisation et de moyens adaptés). Il doit en outre veiller à l'adaptation de ces mesures pour tenir compte du changement des circonstances et tendre à l'amélioration des situations existantes (C. trav. art. L.4121-1).
Dès lors, en cas de risque avéré, l’employeur est susceptible d’engager sa responsabilité, sauf s’il démontre avoir pris les mesures de prévention nécessaires et suffisantes pour éviter la contamination de son personnel (Cass. soc. 25 novembre 2015 n°14-24.444).
Par ailleurs, il doit également rester vigilant en matière de collecte de données, notamment concernant les données de santé des salariés. Il doit ainsi veiller à ne pas prendre des mesures qui peuvent porter atteinte au respect de la vie privée des salariés.
Or, la tentation est grande, dans le contexte actuel et pour protéger les salariés, de mettre en œuvre des mesures qui risqueraient d’aller au-delà d’une simple gestion des suspicions d’exposition au virus, en voulant collecter des données concernant des salariés pour déterminer s’ils présentent des symptômes du coronavirus.
1. Un rappel des principes essentiels en matière de données personnelles
Par nature, l’employeur est amené à collecter et traiter de nombreuses données personnelles relatives aux salariés, dès le stade de l’embauche. Les données personnelles sont définies à l’article 4 du RGPD comme « toute information se rapportant à une personne physique identifiée ou identifiable » et permettent d’identifier « directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
La notion de traitement, quant à elle, s'entend de toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles notamment que l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition.
L’employeur est le « responsable du traitement » des données personnelles, au sens du RGPD, et ce même s'il confie des opérations de traitement de données à des sous-traitants (CE 11 mars 2015 n° 368748 et 368819).
C’est donc lui qui « seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement » des données personnelles.
À cet effet, la Cnil rappelle qu’outre les informations nécessaires au respect d’une obligation légale (comme les déclarations sociales obligatoires), l’employeur peut collecter des informations utiles :
- à la gestion administrative du personnel,
- à l’organisation du travail,
- à l’action sociale prise en charge par l’employeur.
Les employeurs ont désormais fréquemment recours aux moyens informatiques pour traiter ces données, dans le cadre du recrutement, de la gestion de la paie ou des carrières des salariés. Ils doivent donc veiller à ce que l’accès à ces données personnelles soit contrôlé et limité.
C’est à l’employeur, responsable du traitement, de s’assurer que les informations collectées seront traitées de manière sécurisée par les responsables à qui elles seront transmises et de garantir que seules les personnes habilitées pourront en prendre connaissance. En outre, il doit informer les instances représentatives du personnel avant d’utiliser des techniques d’aide au recrutement ou des fichiers de gestion du personnel.
2. Le cas des données personnelles de santé
Ces obligations s’appliquent de facto à toutes les données personnelles, de nature médicale, que serait tenté de collecter l’employeur, dans le cadre de la mise en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés à la gestion de la crise liée au Coronavirus.
Dans ce contexte, la Cnil rappelle que l’employeur peut tout à fait :
- Sensibiliser et inviter les salariés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
- Faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
- Favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
En cas de signalement d’un cas avéré de possible contamination, l’employeur peut également consigner :
- La date et l’identité de la personne suspectée d’avoir été exposée ;
- Les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc).
L’employeur pourra communiquer aux autorités sanitaires qui le sollicitent, les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale d’un salarié exposé.
Il incombe également à chaque salarié de prendre soin, en fonction de sa formation et selon ses possibilités, de sa santé et de sa sécurité, ainsi que de celles des autres personnes concernées par ses actes ou ses omissions au travail (C.trav. art. L.4122-1). Il appartient donc à celui-ci d’informer son employeur, en cas de suspicion de contact avec le virus.
En revanche, l’employeur doit s’abstenir de prendre des mesures susceptibles de porter atteinte au respect de la vie privée des salariés, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’expositions au virus, dans le respect des dispositions prescrites par le RGPD et le Code de la santé publique. Il n’est donc pas possible de procéder, par exemple, à des relevés de température corporelle ou de collecter les données médicales des salariés.
Seul le médecin du travail peut, par dérogation à l'article L.4622-3 du Code du travail – qui prévoit que son rôle est uniquement préventif – et seulement pendant la période d’application de l’ordonnance 2020-386 du 1er avril 2020 (article 2) :
- Procéder à des tests de dépistage du Covid-19 selon un protocole défini par arrêté des ministres chargés de la santé et du travail ;
- Prescrire et le cas échéant, renouveler un arrêt de travail en cas d’infection ou de suspicion d’infection au Covid-19 ou au titre des mesures de prévention de l’épidémie.
Dans cette période inédite de pandémie, l’employeur doit donc trouver un juste équilibre et veiller à concilier l’obligation de sécurité et de protection de la santé des travailleurs avec celles relatives à la protection des données personnelles des salariés.
Pour cela, il peut se tenir informé des dernières recommandations publiées régulièrement par la Cnil sur son site, en matière de protection des données personnelles, dans les tous aspects de la vie sociale de l’entreprise.
Aurélie Kamali-Dolatabadi, Avocat associé
Marion Narran-Finkelstein, Avocat