Nadège Martin, associée du cabinet Norton Rose Fulbright et Cécile Auvieux, avocate, Norton Rose Fulbright livrent leurs recommandations aux employeurs pour respecter au mieux la réglementation en vigueur sur les données personnelles vis-à-vis de leurs salariés.
N. B. : Nous soulignons qu’une grande partie des recommandations ci-dessous sont aujourd’hui valables uniquement pour les employés contraints de travailler sur leur lieu de travail, et non pas pour les employés astreints au télétravail.
En pleine crise sanitaire liée au COVID-19, le Comité européen de la protection des données (« CEPD »)1, le gouvernement français2 et la CNIL3 (comme de nombreuses autorités de protection des données de l’Union européenne) ont publié leurs recommandations sur les droits et devoirs des employeurs vis-à-vis de leurs employés, et notamment sur la collecte des données personnelles de ces derniers afin de déterminer s’ils sont contaminés par le virus et de les protéger.
Conformément aux principes du Code du travail, les employeurs sont responsables de la santé et de la sécurité de leurs salariés et agents. Toutefois, et y compris dans la situation actuelle qui impose la mise en œuvre d’un certain nombre de mesures restrictives, les employeurs ne peuvent pas prendre de mesures susceptibles de porter atteinte au respect de la vie privée de leurs employés.
Comment appliquer les règles en matière de protection des données personnelles en période de crise ?
Dans sa déclaration, le CEPD souligne que les règles en matière protection des données personnelles, y compris le Règlement Général européen sur la Protection des Données (« RGPD »), ne doivent pas « entraver les mesures prises dans le cadre de la lutte » sanitaire. Toutefois, cette lutte ne peut être au prix de la vie privée des individus, dont la protection doit être assurée selon les principes du RGPD : « l'urgence est une condition juridique qui peut légitimer des restrictions à la liberté, à condition que ces restrictions soient proportionnées et limitées à la période d'urgence ».
Cela implique notamment une information transparente aux salariés sur le traitement de leurs données, sur les finalités liées à ces traitements et sur les durées de conservation des données, ainsi que l’inscription au registre interne des traitements mis en œuvre dans le cadre de la gestion de cette crise.
Dans le cadre de la relation employé-employeur, le traitement ne peut être justifié par le consentement de l’employé. Toutefois il peut être fondé sur d’autres bases légales fournies par le RGPD : le respect d’une obligation légale de l’employeur (RGPD Art. 6(c)), l’employeur étant pour exemple en France responsable de la santé et de la sécurité de ses employés conformément à l’article L. 4121-1 du Code du travail, ou encore l’exécution d’une mission d’intérêt public (RGPD Art. 6(e)).
Par ailleurs et dans la mesure où le traitement nécessiterait la collecte de catégories particulières de données et en particulier de données de santé (sous les réserves énoncées ci-après), le CEPD rappelle que les exceptions à l'interdiction de traitement des données relatives à la santé sont applicables aux entreprises lorsque cela est nécessaire pour des raisons d'intérêt public substantiel dans le domaine de la santé publique (RGPD Art. 9(i)) ou lorsqu'il y a la nécessité de protéger les intérêts vitaux de l'individu (RGPD Art. 9(c)).
Quelles données personnelles un employeur peut-il collecter sur ses employés ?
Par principe, un employeur ne peut pas prendre de mesures et collecter des données au-delà de ce qui est strictement nécessaire à la gestion d'une exposition suspectée au virus.
De plus, la CNIL rappelle que les données dont il est question ici sont principalement des données de santé, qui bénéficient d’un régime de protection spécifique conféré tant par le RGPD que par le droit national.
En ce qui concerne la méthode de collecte, seul le signalement par un employé est admis. L’employeur peut inviter ses salariés à se manifester et la CNIL recommande aux employeurs de mettre en place à cet effet, des actions de sensibilisation et des canaux dédiés invitant à et Le traitement de données personnelles des employés en période de crise sanitaire facilitant cette remontée individuelle d’information (que ce soit auprès de l’employeur ou d’autorités sanitaires compétentes), mais l’employeur ne peut en aucun cas les forcer
Il ne peut pas non plus imposer de test de température à ses salariés ni de test de dépistage du coronavirus (indépendamment du fait que les conditions de réalisation des tests de dépistage font l’objet d’un encadrement mouvant).
S’agissant des données pouvant être collectées en cas de signalement, la CNIL rappelle que seules peuvent être consignées :
- la date et l’identité de la personne suspectée d’avoir été exposée ;
- les mesures organisationnelles prises : confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc. *
L’employeur ne peut en revanche par principe collecter de données de santé, cette collecte devant se faire par la médecine du travail ou les autorités sanitaires compétences. A ce titre, la CNIL précise que les employeurs doivent s'abstenir de collecter de manière systématique et généralisée, ou par des enquêtes et demandes individuelles, des informations relatives à d'éventuels symptômes présentés par un salarié et/ou ses proches. L’employeur ne peut pas non plus imposer à ses salariés de lui signaler s’ils sont atteints de maladies susceptibles d’aggraver les symptômes en cas de contamination (immunodéficience, diabète, etc) mais peut rappeler dans le cadre de ses communications générales, que cette population est plus vulnérable.
Ainsi, parmi les traitements illicites indiqués par la CNIL :
- les relevés obligatoires de la température corporelle de chaque employé/agent/visiteur qui doivent être envoyés quotidiennement à leur hiérarchie ;
- la collecte de dossiers médicaux ou de questionnaires auprès de tous les salariés/agents.
Quelles sont les obligations du salarié vis-à-vis de son employeur ?
En contrepartie de la responsabilité de l’employeur de veiller à la santé et à la sécurité de ses salariés, l’employé doit pour sa part mettre en oeuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même (article L.4122-1 du Code du travail). La CNIL estime ainsi que l’employé doit informer son employeur en cas de suspicion de contact avec le virus, ou de confirmation de contamination.
Toutefois, en règle générale, les salariés en congé de maladie ne sont pas tenus de divulguer à leur employeur la raison de leur congé de maladie, ni leurs symptômes.
Ainsi, dans la pratique, l'employeur ne peut qu'inviter, mais pas obliger, ses employés à fournir des informations les concernant en rapport avec une exposition éventuelle, via les canaux dédiés mentionnés plus haut.
L’employeur est-il autorisé à divulguer l’identité d’un employé atteint du Covid à d’autres personnes ?
La CNIL et le gouvernement ont rappelé que l’employeur peut et doit, conformément à son devoir de diligence envers ses employés, informer les autres salariés d’un cas possible d’infection, sans pour autant divulguer l’identité de la personne contaminée, ni faire de suivi particulier des employés qui ont été en contact avec la personne contaminée.
Toutefois, en pratique, cette divulgation peut parfois s’avérer nécessaire voire inévitable. C’est souvent le cas avec les proches collègues de la personne infectée. Cela peut être également le cas avec d’autres tiers tels que des clients ayant été en proche contact avec la personne infectée, cette divulgation pouvant se justifier par un risque élevé d'infection. Cette divulgation serait alors fondée sur l’intérêt public substantiel et/ou la sauvegarde d'intérêts vitaux. Dans d’autres cas, même sans donner l’identité de la personne, les éléments factuels communiqués peuvent conduire à une identification quasi directe de la personne.
Nous recommandons que chaque situation soit appréciée au cas par cas, de manière diligente, en vérifiant si la simple notification d'un cas de suspicion peut suffire et en veillant en toute hypothèse à ne pas contourner ce principe général de non-divulgation de l'identité de la personne infectée par des détails trop précis la concernant. A souligner qu’il est peu probable que l'obtention du consentement d'un consentement d'un employé soit valable dans ces circonstances.
Des mesures doivent-elles être prises pour informer les syndicats/comités d'entreprise ou négocier avec eux sur l'un des points soulevés dans l'une des questions ?
Tous les employeurs en France sont tenus d'évaluer régulièrement les risques professionnels et d'établir un document spécifique (appelé document unique d'évaluation des risques pour la santé et la sécurité). Ce document fait l'objet d'une consultation du comité économique et social à chaque mise à jour.
La crise sanitaire que nous connaissons aujourd’hui entraîne évidemment des risques professionnels qui doivent être indiqués dans ce document, et les mesures prises par l'employeur contre ce risque doivent également être indiquées dans ce document. Le comité économique et social doit donc être consulté sur ces mesures.
********
Les autorités de protection des données de l’Union Européenne ont chacune publié leurs propres recommandations et celles-ci ne sont pas toujours alignées, rendant difficile pour les entreprises de mettre en œuvre une approche globale fonctionnant dans l’ensemble de l’Union européenne. Nous recommandons de prendre en compte toutes ces directives nationales avant de mettre en oeuvre des collectes et traitements de données personnelles transverses et transfrontières dans le cadre de la crise que nous traversons.
Enfin, en complément des actions de prévention, actions d'information et de formation qu’il convient de mettre en place en cette période, il est nécessaire pour les entreprises de rédiger un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce document doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.
Nadège Martin, associée du cabinet Norton Rose Fulbright et Cécile Auvieux, avocate, Norton Rose Fulbright
1. EDPB, Déclaration sur le traitement des données personnelles dans le contexte de l’épidémie du COVID19, 20 mars 2020 : https://edpb.europa.eu/our-work-tools/our-documents/other/statement-processing-personal-data-context-covid-19-outbreak_fr
2. Ministère du Travail, Coronavirus : Questions/réponses pour les entreprises et les salariés : https://travail-emploi.gouv.fr/actualites/l-actualite-du-ministere/article/coronavirus-questions-reponses-pour-les-entreprises-et-les-salaries?var_ajax_redir=1
3. CNIL, Coronavirus (Covid-19) : les rappels de la CNIL sur la collecte de données personnelles, 6 mars 2020 : https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles