Veille Juridique N°27 – Septembre 2020.

Données de santé des employés : quelle gestion en temps de COVID-19 ? Parmi les défis auxquels sont confrontées nos sociétés dans le cadre de la crise sanitaire, celui que rencontrent les employeurs n’est pas le moindre.

Outre les conditions de travail qui doivent être aménagées, se pose la question des données qui peuvent ou même doivent être collectées et traitées dans le cadre de la relation de travail.

L’employeur se trouve, d’une part, soumis à l’obligation légale de préserver la santé de ses employés, alors que d’autre part les données de santé sont considérées par la loi comme des données sensibles, dont les conditions de traitement sont strictement encadrées.

Le rappel récent de la CNIL sur le cadre à respecter et sur les mesures concrètes qui peuvent être mises en œuvre sur le lieu de travail est dès lors bienvenu.

On en retient les éléments suivants :

Si le traitement des données de santé est en principe interdit, il reste possible dans certaines conditions en fonction des finalités poursuivies.

Ainsi, dans le cadre de la pandémie, l’employeur peut valablement :

• Informer ses employés des mesures barrières, leur fournir tout équipement de protection nécessaire, et leur rappeler l’obligation de l’informer ou d’informer les autorités sanitaires compétentes en cas de contamination ou suspicion de contamination, aux seules fins de lui permettre d’adapter les conditions de travail (télétravail par exemple).

• Faciliter la transmission des informations par la mise en place, au besoin, de canaux dédiés et sécurisés

• Favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

• Dans le cadre de la mise en œuvre d’un Plan de Continuité de l’Activité afin de protéger la sécurité des employés et d’identifier les activités essentielles devant être maintenues, créer un fichier nominatif pour l’élaboration et la tenue du plan, limité aux données nécessaires à la réalisation de cet objectif.

L’employeur ne peut lui-même accéder qu’à certaines informations restreintes afin de prendre les mesures organisationnelles requises, alors que les données concernant plus directement la santé doivent être traitées par un professionnel de santé

(Par exemple pour prolonger une mise en quarantaine et justifier le télétravail) et dans le cadre des services de santé du travail :

L’employeur n’est pas habilité à effectuer un diagnostic de l’état de santé de chacun de ses employés ou à gérer lui-même un dispositif d’évaluation de leur vulnérabilité (par exemple via un code couleur).

En l’état actuel du droit, la collecte de température de façon électronique ou via une caméra thermique avec conservation des données, les tests sérologiques ainsi que les questionnaires de santé ne peuvent être mis en place par l’employeur. Il en irait différemment d’une prise de température manuelle sans conservation dans un fichier : une telle pratique n’entre pas dans le champ d’application du RGPD mais peut soulever d’autres questions d’efficacité.

Enfin, toujours en raison du caractère sensible des données traitées, la plus grande attention devra être apportée aux mesures de sécurité garantissant la confidentialité des données traitées.

En résumé, l’essentiel des mesures que l’employeur est habilité à prendre concerne l’organisation du travail, sur la base de données limitées aux risques d’exposition des employés, alors que la gestion des données concernant plus directement la maladie relève directement des professionnels de la santé. Toute autre demande aux employeurs de faire remonter de l’information aux autorités sanitaires, ou de prendre des mesures spécifiques, peut être consultée sur le site du Ministère du travail.

•          Et aussi

France :

• La CNIL a publié ce premier octobre la version finale de ses lignes directrices concernant l’utilisation des cookies et autres traceurs.

Elle y précise notamment que la poursuite de la navigation sur un site internet ne peut être considérée comme un consentement valable à l’utilisation de traceurs.

Elle recommande en outre aux responsables de traitement de prévoir dans l’interface de recueil du consentement non seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».

• Octobre est le mois de la cyber-sécurité.

La CNIL et l’ANNSSI publient dans ce contexte une série de recommandations.

Les cyberattaques de ces derniers mois ont particulièrement touché le secteur de la santé, le secteur de l’industrie et les collectivités territoriales.

Les particuliers sont particulièrement visés par le chantage à la webcam, et la CNIL donne sur son site des conseils pour s’en protéger.

Europe :

• Le Conseil de l’Europe publie un rapport sur la résilience des principes de protection des données dans les 57 pays ayant ratifié la Convention 108, au regard des mesures prises pour endiguer la pandémie.

• L’autorité de supervision de Hambourg a condamné ce 1er octobre la société H&M à une amende de 35 millions d’euros pour violation de la vie privée de ses employés.

La société collectait des informations concernant tant les vacances de ses salariés que leur état de santé ou leur religion.

De nombreuses mesures sont actuellement mises en place par la société pour assurer la conformité des traitements à la loi.

• Deux projets de lignes directrices sont diffusés pour consultation publique sur le site du Comité Européen de Protection des Données (EDPB).

Ces documents concernent d’une part les notions de responsable de traitement et de sous-traitant, et d’autre part le ciblage des utilisateurs de réseaux sociaux.

• Par suite de l’arrêt Schrems II de la Cour européenne de justice qui met un frein aux transferts de données transatlantiques (voyez à ce sujet l’édito du mois de septembre), la Commission européenne annonce de nouvelles clauses contractuelles types pour la fin de l’année.

International :

• Le développement de la reconnaissance faciale suscite des débats à différents endroits du globe.

A Singapour, c’est l’utilisation de la reconnaissance faciale pour accéder aux services publics qui est considérée par l’organisation « Privacy International » comme une intrusion sans précédent dans la vie privée des citoyens, alors qu’en Russie c’est son utilisation dans l’espace public et les halls d’entrée de bâtiments privés qui suscite l’inquiétude.

• L’éthique et l’intelligence artificielle font l’objet d’un article dans la dernière lettre d’actualité de la Global Privacy Assembly qui regroupe les « CNIL » au niveau international.

On y traite en particulier des questions liées aux outils numériques utilisés dans le domaine de la santé, et notamment des applis de traçage COVID-19.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.