Coronavirus (COVID-19): Recommandations de la CNPD relatives à la collecte de données personnelles dans un contexte de crise sanitaire

Depuis le mois de mars 2020, l’Union européenne connaît une crise sanitaire exceptionnelle liée au coronavirus. Dans ce contexte, les acteurs privés et publics luxembourgeois ont été confrontés à des défis de plus en plus complexes dans leur fonctionnement quotidien. De nouveaux défis ont surgi au fur et à mesure du déconfinement, et notamment, en raison du retour des salariés sur leur lieu de travail.

Les professionnels et les particuliers s’interrogent tant sur les mesures mises en œuvre pour limiter la propagation du virus et assurer en toute sécurité la reprise de l’activité, que sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées. La CNPD voudrait dans ce contexte rappeler quelques règles.

 

L’obligation de sécurité des employeurs

Dans un cadre professionnel, les acteurs privés et publics ont l’obligation légale d’assurer la sécurité et la santé de leurs salariés/agents sur le lieu de travail (article L.312-1 du Code du travail). Afin de limiter les risques, ils doivent, à ce titre, mettre en œuvre des actions de prévention, des actions d’information et de formation et établir des consignes internes.

La CNPD invite à cet égard les employeurs à consulter régulièrement les informations mises en ligne par le gouvernement et par l’Inspection du Travail et des Mines, afin de connaître leurs obligations en cette période de crise sanitaire.

Dans ce contexte, les acteurs privés et publics ont le droit de traiter des données personnelles en conformité avec le RGPD, lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales. Lesdits acteurs peuvent notamment :

  • rappeler à leurs salariés et agents, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination, de la Direction de la Santé du Ministère de la Santé – Division de l’Inspection Sanitaire (ci-après « inspection sanitaire »), aux seules fins de leur permettre d’adapter les conditions de travail ;
  • inviter leurs salariés à consulter un médecin ou les orienter vers l’inspection sanitaire et favoriser les modes de travail à distance.

 

L’obligation de sécurité des salariés/agents

De leur côté, chaque salarié/agent doit mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même (article L.313-1 du Code du travail).

Lorsqu’un salarié est malade (cf. article L.121-6 du Code du travail), il ne doit communiquer à son employeur que l’éventuel arrêt de maladie dont il pourrait bénéficier, sans qu’aucune autre précision sur son état de santé ou la nature de la pathologie ne soit transmise, donc y compris le fait qu’un salarié a été testé positivement au COVID-19 ou présenterait des symptômes.

 

Obligations temporaires

Par dérogation à ce qui précède, jusqu’au 31 décembre 2021 inclus, le salarié incapable de travailler pour cause de mise en quarantaine ou en isolement est obligé, conformément à la loi du 19 décembre 2020 portant dérogation temporaire à l’article L. 121-6 du Code du travail :

  • le jour même de l’empêchement, d’en avertir personnellement ou par personne interposée l’employeur ou le représentant de celui-ci ;
  • de soumettre à l’employeur, au plus tard le huitième jour de son absence, une ordonnance officielle de mise en quarantaine ou de mise en isolement émanant de l’autorité nationale compétente et servant de certificat d’incapacité de travail.

Par ailleurs, jusqu’au 14 septembre 2021 inclus, l’absence d’un salarié bénéficiaire d’un congé pour raisons familiales doit être justifiée soit par un certificat médical, soit par un certificat émanant du Ministère de l’éducation nationale, de l’enfance et de la jeunesse ou de l’autorité publique compétente, comme prévu par les articles 3, 4 et 6 de la loi du 22 janvier 2021 portant modification des articles L. 234-51, L. 234-52 et L. 234-53 du Code du travail et dérogation temporaire aux dispositions des articles L. 234- 51, L. 234-52 et L. 234-53 du Code du travail.

 

Le traitement des données par les employeurs

Les acteurs privés et public ne peuvent traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales, c’est-à-dire dans le respect du Code du travail.

C’est pourquoi seuls peuvent être traités par ces acteurs les éléments liés à un certificat de maladie, sauf dérogations sur base des obligations temporaires détaillées ci-dessus.

Par contre, les acteurs privés et publics ne peuvent pas eux-mêmes mettre en place des fichiers ou traitements relatifs à des données de santés liées au COVID-19 même si un salarié informait volontairement son employeur qu’il a été testé positif au coronavirus ou qu’il pense présenter des symptômes à la pathologie. Ne peuvent pas non plus être mis en œuvre des fichiers ou traitements de données relatifs à la température corporelle de leurs salariés ou agents ou à certaines autres pathologies (les « comorbidités ») susceptibles de constituer des troubles aggravants en cas d’infection au COVID-19. Par ailleurs, il ne leur appartient pas de conduire leur propre investigation ou « contact tracing », dans la mesure où cette mission revient à l’inspection sanitaire, à partir du moment où un salarié ou agent serait testé positivement au Covid-19.

 

Les relevés de température à l’entrée des locaux

Dans une démarche de prévention des contaminations visant à écarter du milieu de travail des salariés qui auraient de la fièvre, certains employeurs souhaitent mettre en place un contrôle systématique de la température des salariés et visiteurs à l’entrée de leurs locaux.

Bien qu’il n’appartienne pas à la CNPD d’apprécier la légalité au regard du droit du travail de ce qu’un employeur peut imposer à ses salariés ni de ce qui relève d’une éventuelle discrimination, elle relève que l’efficacité et l’opportunité de la prise de température doit être évaluée avec précaution dans la mesure où elle n’est pas un symptôme systématique du COVID-19, ou peut témoigner d’une autre infection, empiétant ainsi sur la sphère privée du salarié.

Une prise de température des visiteurs et salariés/agents d’une entreprise ou administration, sans que les données relatives à la température liées à l’identité de la personne concernée ne soient enregistrées ou ne soient appelées à figurer dans un fichier, ne constitue pas un traitement de données au sens du règlement général sur la protection des données (RGPD). Par conséquent, les prises manuelles de température à l’entrée d’un site et sans qu’aucune trace ne soit conservée ne sont pas soumises aux règles et principes du RGPD. De même, l’utilisation de caméras thermiques à des fins préventives, qui ne permettraient en aucun cas d’identifier les salariés, agents ou visiteurs qui se présenteraient dans leurs champs de vision, sans enregistrement et sans possibilité de réutiliser les images, ne sont pas soumises au RGPD.

Il en irait autrement si l’employeur était amené à créer un fichier reprenant l’ensemble des températures contrôlées ainsi que les données relatives à l’identité des personnes contrôlées, ou s’il pouvait consulter les images issues de caméras thermiques et identifier les personnes concernées. En effet, en l’état du droit, et sauf à ce qu’un texte légal en prévoit expressément la possibilité, il s’agirait alors d’un traitement de données disproportionné, qui ne respecterait pas le principe de minimisation des données, dans la mesure où des moyens moins attentatoires à la vie privée des salariés et visiteurs concernés pourraient être mis en œuvre par l’employeur afin d’assurer la sécurité et la santé de ses salariés sur le lieu de travail.

 

La réalisation de tests par l’employeur et de questionnaires sur l’état de santé

La CNPD rappelle que seuls les professionnels de santé compétents ont le droit de collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des salariés/agents contenant des données relatives à leur état de santé ou des informations relatives notamment à leur situation familiale, leurs conditions de vie ou encore, leurs éventuels déplacements.

Il en va de même pour les tests médicaux, sérologiques ou de dépistage du COVID-19 dont les résultats sont soumis au secret médical : les acteurs privés ou publics ne pourront recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé. Ils ne pourront alors traiter que cette seule information, sans autre précision relative à l’état de santé du salarié, de la même manière qu’ils traitent d’autres arrêts de maladie.

Les acteurs privés et publics doivent, dès lors, s'abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un de leurs salariés, une personne externe ainsi que leurs proches, même au cas où un salarié porterait de telles informations de manière volontaire à son employeur.

 

Les demandes et recommandations des autorités sanitaires

Enfin, des données de santé peuvent être collectées par l’inspection sanitaire, qualifiée pour prendre les mesures adaptées à la situation, dans les limites de ses compétences. L'évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de cette autorité publique.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNPD invite particuliers et professionnels à suivre les recommandations du Ministère de la Santé et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par l’inspection sanitaire.

Dernière mise à jour