Coronavirus (COVID-19): Recommandations de la CNPD relatives à la collecte de données personnelles dans un contexte de crise sanitaire

Depuis le mois de mars dernier, l’Union européenne connaît une crise sanitaire exceptionnelle liée au coronavirus. Dans ce contexte, les acteurs privés et publics luxembourgeois ont été confrontés à des défis de plus en plus complexes dans leur fonctionnement quotidien. De nouveaux défis surgissent, désormais, au fur et à mesure du déconfinement, et notamment, en raison du retour des salariés sur leur lieu de travail.

Les professionnels et les particuliers s’interrogent tant sur les mesures à mettre en œuvre pour limiter la propagation du virus et assurer en toute sécurité la reprise de l’activité, que sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être exploitées. La CNPD voudrait dans ce contexte rappeler quelques règles.

L’obligation de sécurité des employeurs

Dans un cadre professionnel, les acteurs privés et publics ont l’obligation légale d’assurer la sécurité et la santé de leurs salariés/agents sur le lieu de travail (article L.312-1 du Code du travail). Afin de limiter les risques, ils doivent, à ce titre, mettre en œuvre des actions de prévention, des actions d’information et de formation et établir des consignes internes.

L’article 1er du règlement grand-ducal du 17 avril 2020 portant introduction d’une série de mesures en matière de sécurité et santé au travail dans le cadre de la lutte contre le COVID-19 précise également que l’employeur doit prendre les mesures appropriées pour la protection de la sécurité et de la santé des salariés, et veiller à l’adaptation desdites mesures pour tenir compte des circonstances exceptionnelles liées à l’épidémie de COVID-19 et contribuer à l’amélioration des situations existantes pour faire face à cette épidémie.

La CNPD invite à cet égard les employeurs à consulter régulièrement les informations mises en ligne par le gouvernement et par l’Inspection du Travail et des Mines, afin de connaître leurs obligations en cette période de crise sanitaire.

Dans ce contexte, les acteurs privés et publics ont le droit de traiter des données personnelles en conformité avec le RGPD, lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales. Lesdits acteurs peuvent notamment :

  • rappeler à leurs salariés et agents, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination, auprès d’eux ou de la Direction de la Santé du Ministère de la Santé – Division de l’Inspection Sanitaire (ci-après « inspection sanitaire »), aux seules fins de leur permettre d’adapter les conditions de travail ;
  • faciliter leur transmission par la mise en place, au besoin, de canaux dédiés et sécurisés ;
  • inviter leurs salariés à consulter un médecin ou les orienter vers l’inspection sanitaire et favoriser les modes de travail à distance.

L’obligation de sécurité des salariés/agents

De leur côté, chaque salarié/agent doit mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même (article L.313-1 du Code du travail) : il doit, en principe, informer son employeur en cas de suspicion de contact avec le virus. En effet, l’article 2 du règlement grand-ducal du 17 avril 2020 portant introduction d’une série de mesures en matière de sécurité et santé au travail dans le cadre de la lutte contre le COVID-19, précise, entre autres, que le salarié doit « …. signaler immédiatement, à l’employeur et/ou aux salariés désignés et aux délégués à la sécurité et à la santé, toute situation de travail dont ils ont un motif raisonnable de penser qu’elle présente un danger grave et immédiat pour la sécurité et la santé dans le cadre de l’épidémie de COVID-19 …. ».

En temps normal lorsqu’un salarié est malade (cf. article L.121-6 du Code du travail), il ne doit communiquer à son employeur que l’éventuel arrêt de maladie dont il pourrait bénéficier, sans qu’aucune autre précision sur son état de santé ou la nature de la pathologie ne soit transmise. Cependant, dans un contexte de pandémie telle que celle du COVID-19, un salarié qui travaille au contact d’autres personnes (collègues et public) devrait, à chaque fois qu’il a pu exposer une partie de ces personnes au virus, informer son employeur en cas de contamination ou de suspicion de contamination au virus.

En revanche, un salarié qui serait par exemple placé en télétravail ou qui travaillerait de manière isolée sans contact avec ses collègues ou du public n’a pas à faire remonter cette information à son employeur. En effet, en l’absence de mise en danger d’autres personnes, les évènements en lien avec une éventuelle exposition, particulièrement un arrêt de travail qui en découlerait, devront être traités conformément à la procédure normale des arrêts de travail.

Le traitement des données par les employeurs

Les acteurs privés et public ne peuvent traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales, c’est-à-dire nécessaires pour prendre des mesures organisationnelles (mise en télétravail, dispense de travail, orientation vers un médecin ou l’inspection sanitaire, etc.), de formation et d’information, ainsi que certaines actions de prévention des risques professionnels.

C’est pourquoi seuls peuvent être traités par ces acteurs les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou suspectée de l’être ainsi que les mesures organisationnelles prises.

En cas de besoin, les acteurs précités seront en mesure de communiquer à l’inspection sanitaire les éléments nécessaires à une éventuelle prise en charge médicale de la personne exposée. En tout état de cause, l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres salariés/agents.

Par contre, les acteurs privés et publics ne peuvent pas eux-mêmes mettre en place des fichiers relatifs à la température corporelle de leurs salariés ou agents ou à certaines pathologies (les « comorbidités ») susceptibles de constituer des troubles aggravants en cas d’infection au COVID-19. Par ailleurs, il ne leur appartient pas de conduire leur propre investigation ou « contact tracing », dans la mesure où cette mission revient à l’inspection sanitaire, à partir du moment où un salarié ou agent serait testé positivement au Covid-19.

 

Les relevés de température à l’entrée des locaux

Dans une démarche de prévention des contaminations visant à écarter du milieu de travail des salariés qui auraient de la fièvre, certains employeurs souhaitent mettre en place un contrôle systématique de la température des salariés et visiteurs à l’entrée de leurs locaux.

Bien qu’il n’appartienne pas à la CNPD d’apprécier la légalité au regard du droit du travail de ce qu’un employeur peut imposer à ses salariés ni de ce qui relève d’une éventuelle discrimination, elle relève que l’efficacité et l’opportunité de la prise de température doit être évaluée avec précaution dans la mesure où elle n’est pas un symptôme systématique du COVID-19, ou peut témoigner d’une autre infection, empiétant ainsi sur la sphère privée du salarié.

Une prise de température des visiteurs et salariés/agents d’une entreprise ou administration, sans que les données relatives à la température liées à l’identité de la personne concernée ne soient enregistrées ou ne soient appelées à figurer dans un fichier, ne constitue pas un traitement de données au sens du règlement général sur la protection des données (RGPD). Par conséquent, les prises manuelles de température à l’entrée d’un site et sans qu’aucune trace ne soit conservée ne sont pas soumises aux règles et principes du RGPD. De même, l’utilisation de caméras thermiques à des fins préventives, qui ne permettraient en aucun cas d’identifier les salariés, agents ou visiteurs qui se présenteraient dans leurs champs de vision, sans enregistrement et sans possibilité de réutiliser les images, ne sont pas soumises au RGPD.

Il en irait autrement si l’employeur était amené à créer un fichier reprenant l’ensemble des températures contrôlées ainsi que les données relatives à l’identité des personnes contrôlées, ou s’il pouvait consulter les images issues de caméras thermiques et identifier les personnes concernées. En effet, en l’état du droit, et sauf à ce qu’un texte légal en prévoit expressément la possibilité, il s’agirait alors d’un traitement de données disproportionné, qui ne respecterait pas le principe de minimisation des données, dans la mesure où des moyens moins attentatoires à la vie privée des salariés et visiteurs concernés pourraient être mis en œuvre par l’employeur afin d’assurer la sécurité et la santé de ses salariés sur le lieu de travail.

 

La réalisation de tests par l’employeur et de questionnaires sur l’état de santé

La CNPD rappelle que seuls les professionnels de santé compétents ont le droit de collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des salariés/agents contenant des données relatives à leur état de santé ou des informations relatives notamment à leur situation familiale, leurs conditions de vie ou encore, leurs éventuels déplacements.

Il en va de même pour les tests médicaux, sérologiques ou de dépistage du COVID-19 dont les résultats sont soumis au secret médical : les acteurs privés ou publics ne pourront recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé. Ils ne pourront alors traiter que cette seule information, sans autre précision relative à l’état de santé du salarié, de la même manière qu’ils traitent d’autres arrêts de maladie.

Les acteurs privés et publics doivent, dès lors, s'abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un de leurs salariés, une personne externe ainsi que leurs proches.

 

Les demandes et recommandations des autorités sanitaires

Enfin, des données de santé peuvent être collectées par l’inspection sanitaire, qualifiée pour prendre les mesures adaptées à la situation, dans les limites de ses compétences. L'évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de cette autorité publique.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNPD invite particuliers et professionnels à suivre les recommandations du Ministère de la Santé et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par l’inspection sanitaire.

Dernière mise à jour