Coronavirus (COVID-19): Recommandations de la CNPD relatives à la collecte de données personnelles dans un contexte de crise sanitaire

Actuellement, l’Union européenne connaît une crise sanitaire exceptionnelle liée au coronavirus. Dans ce contexte, les acteurs privés et publics luxembourgeois sont confrontés à des défis de plus en plus complexes dans leur fonctionnement quotidien.

Les professionnels et les particuliers s’interrogent sur les possibilités de collecter et d’utiliser, en dehors de toute prise en charge médicale, des données concernant leurs employés/agents, voire concernant les personnes externes (visiteurs, clients, fournisseurs, etc.), afin de déterminer si ces derniers présenteraient certains symptômes du coronavirus, seraient susceptibles d’avoir été exposés au dit virus ou se seraient déplacés dans une zone à risque. La collecte de données personnelles, y compris de données relatives à la santé, pouvant relever de la sphère privée, la CNPD voudrait dans ce contexte rappeler quelques règles.

Ce qu’il est recommandé de faire

Dans un cadre professionnel, les acteurs privés et publics ont l’obligation légale d’assurer la sécurité et la santé de leurs salariés/agents sur le lieu de travail (article L.312-1 du Code du travail). Afin de limiter les risques, ils doivent, à ce titre, mettre en œuvre des actions de prévention, des actions d’information et de formation et établir des consignes internes.

Dans ce contexte, les acteurs peuvent :

  • sensibiliser et inviter leurs employés/agents à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès d’eux ou des autorités sanitaires compétentes ;
  • faciliter la transmission des informations par la mise en place, au besoin, de canaux dédiés pour garantir la sécurité et la confidentialité des données ;
  • favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

En cas de signalement, un acteur peut, dans le cadre de ses obligations de sécurité et de santé, consigner :

  • la date et l’identité de la personne suspectée d’avoir été exposée ;
  • les mesures organisationnelles prises (mesures de confinement, télétravail, prise de contact avec le service de la médecine au travail, etc.).

Les acteurs pourront ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

De leur côté, chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même (article L.313-1 du Code du travail) : il doit, en principe, informer son employeur en cas de suspicion de contact avec le virus.

Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L'évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Ce qu’il ne faut pas faire

Si les acteurs privés et publics peuvent mettre en œuvre des mesures, afin de limiter la propagation du virus (p.ex. limitation des déplacements ou respect des mesures d’hygiène), de telles mesures doivent tenir compte du respect de la vie privée des personnes concernées.

Les acteurs doivent, dès lors, s'abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un employé/personne externe ainsi que leurs proches.

Par exemple, les acteurs doivent s’abstenir:

  • d’exiger que ses employés leur communiquent quotidiennement un relevé de leurs températures corporelles  ou que ces derniers remplissent des fiches ou questionnaires médicaux, préalablement établis ; ou encore,
  • de faire signer  les visiteurs ou autres personnes externes une déclaration préétablie par laquelle ils certifieraient qu’ils ne présentent pas de symptôme du coronavirus ou qu’ils n’ont pas voyagé récemment dans une zone à risque, etc.

Aux fins de confidentialité, tout traitement de données effectué dans le cadre de la prévention de la propagation du virus doit être effectué de manière à garantir la sécurité des données, en particulier en ce qui concerne les données de santé. Ainsi, l'identité des personnes concernées ne doit pas être divulguée à des tiers ou à leurs collègues sans justification claire.

Les présentes recommandations sont communiquées par la CNPD, sans préjudice d’éventuelles mesures étatiques plus contraignantes, qui pourraient être prises dans le cadre de scénarios aggravés.

Il est, à cet effet, avisé de consulter également les informations disponibles sur le site www.gouvernement.lu/coronavirus.

Dernière mise à jour