Coronavirus (COVID-19): Recommandations de la CNPD relatives à la collecte de données personnelles dans un contexte de crise sanitaire

Depuis le mois de mars 2020, l’Union européenne connaît une crise sanitaire exceptionnelle liée au coronavirus. Dans ce contexte, les acteurs privés et publics luxembourgeois ont été confrontés à des défis de plus en plus complexes dans leur fonctionnement quotidien. De nouveaux défis ont surgi au fur et à mesure du déconfinement, et notamment, en raison du retour des salariés sur leur lieu de travail.

Les professionnels et les particuliers s’interrogent tant sur les mesures mises en œuvre pour limiter la propagation du virus et assurer en toute sécurité la reprise de l’activité, que sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées. La CNPD voudrait dans ce contexte rappeler quelques règles.

L’obligation de sécurité des employeurs

Dans un cadre professionnel, les acteurs privés et publics ont l’obligation légale d’assurer la sécurité et la santé de leurs salariés/agents sur le lieu de travail (article L.312-1 du Code du travail). Afin de limiter les risques, ils doivent, à ce titre, mettre en œuvre des actions de prévention, des actions d’information et de formation et établir des consignes internes.

De manière générale, la CNPD invite à les employeurs à consulter régulièrement les informations mises en ligne par le gouvernement et par l’Inspection du Travail et des Mines, afin de connaître leurs obligations en cette période de crise sanitaire.

Dans ce contexte, les acteurs privés et publics ont le droit de traiter des données personnelles en conformité avec le RGPD, lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales. Lesdits acteurs peuvent notamment :

  • rappeler à leurs salariés et agents, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination, de la Direction de la Santé du Ministère de la Santé – Division de l’Inspection Sanitaire (ci-après « inspection sanitaire »), aux seules fins de leur permettre d’adapter les conditions de travail ;
  • inviter leurs salariés à consulter un médecin ou les orienter vers l’inspection sanitaire et favoriser les modes de travail à distance.

La CNPD rappelle que suite à l’abrogation en date du 11 février 2022 du régime CovidCheck sur le lieu de travail, les employeurs sont tenus d’effacer les données collectées sur base de l’article 3septies la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie Covid-19.

L’obligation de sécurité des salariés/agents

De leur côté, chaque salarié/agent doit mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même (article L.313-1 du Code du travail).

Lorsqu’un salarié est malade (cf. article L.121-6 du Code du travail), il ne doit communiquer à son employeur que l’éventuel arrêt de maladie dont il pourrait bénéficier, sans qu’aucune autre précision sur son état de santé ou la nature de la pathologie ne soit transmise, donc y compris le fait qu’un salarié a été testé positivement au COVID-19 ou présenterait des symptômes.

Le traitement des données par les employeurs

Les acteurs privés et public ne peuvent traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales, c’est-à-dire dans le respect du Code du travail.

C’est pourquoi seuls peuvent être traités par ces acteurs les éléments liés à un certificat de maladie, sauf dérogations sur base des obligations temporaires détaillées ci-dessus.

Par contre, les acteurs privés et publics ne peuvent pas eux-mêmes mettre en place des fichiers ou traitements relatifs à des données de santés liées au COVID-19 même si un salarié informait volontairement son employeur qu’il a été testé positif au coronavirus ou qu’il pense présenter des symptômes à la pathologie. Ne peuvent pas non plus être mis en œuvre des fichiers ou traitements de données relatifs à la température corporelle de leurs salariés ou agents ou à certaines autres pathologies (les « comorbidités ») susceptibles de constituer des troubles aggravants en cas d’infection au COVID-19. Par ailleurs, il ne leur appartient pas de conduire leur propre investigation ou « contact tracing », dans la mesure où cette mission revient à l’inspection sanitaire, à partir du moment où un salarié ou agent serait testé positivement au Covid-19.

 

Les données relatives aux vaccinations

La collecte d’information relatives au statut vaccinal d’employés (c’est-à-dire l’information selon laquelle la personne est ou non vaccinée) constitue un traitement de catégories particulières de données à caractère personnel, dites « données sensibles », notamment de données de santé, qui est interdit conformément au paragraphe (1) de l’article 9 du règlement général sur la protection des données (UE) 2016/679 (ci-après le « RGPD ») sauf si une des conditions visées au paragraphe (2) dudit article est remplie. En plus du respect de l’article précité, le traitement de données sensibles doit se baser sur un des critères de licéité prévus à l’article 6 du RGPD.

En règle générale, l’employeur devrait limiter le traitement de données de santé aux certificats de maladie obtenus en application des dispositions du Code du travail ou de toute autre obligation en vertu du droit du travail.

Par ailleurs, sur base de l’article 10 de la loi modifiée du 17 juillet 2020 sur les mesures de lutte contre la pandémie Covid-19, il relève des missions du Directeur de la Santé et du vaccinateur de traiter les données à caractère personnel relatives aux personnes vaccinées. A contrario, à l’heure actuelle, la loi n’encadre pas le traitement de ces mêmes données par les employeurs. Il n’appartient donc pas à un employeur de se substituer à la Direction de la Santé, en indiquant dans ses fichiers quels employés ont été vaccinés ou non.

Les relevés de température à l’entrée des locaux

Dans une démarche de prévention des contaminations visant à écarter du milieu de travail des salariés qui auraient de la fièvre, certains employeurs souhaitent mettre en place un contrôle systématique de la température des salariés et visiteurs à l’entrée de leurs locaux.

Bien qu’il n’appartienne pas à la CNPD d’apprécier la légalité au regard du droit du travail de ce qu’un employeur peut imposer à ses salariés ni de ce qui relève d’une éventuelle discrimination, elle relève que l’efficacité et l’opportunité de la prise de température doit être évaluée avec précaution dans la mesure où elle n’est pas un symptôme systématique du COVID-19, ou peut témoigner d’une autre infection, empiétant ainsi sur la sphère privée du salarié.

Une prise de température des visiteurs et salariés/agents d’une entreprise ou administration, sans que les données relatives à la température liées à l’identité de la personne concernée ne soient enregistrées ou ne soient appelées à figurer dans un fichier, ne constitue pas un traitement de données au sens du RGPD. Par conséquent, les prises manuelles de température à l’entrée d’un site et sans qu’aucune trace ne soit conservée ne sont pas soumises aux règles et principes du RGPD. De même, l’utilisation de caméras thermiques à des fins préventives, qui ne permettraient en aucun cas d’identifier les salariés, agents ou visiteurs qui se présenteraient dans leurs champs de vision, sans enregistrement et sans possibilité de réutiliser les images, ne sont pas soumises au RGPD.

Il en irait autrement si l’employeur était amené à créer un fichier reprenant l’ensemble des températures contrôlées ainsi que les données relatives à l’identité des personnes contrôlées, ou s’il pouvait consulter les images issues de caméras thermiques et identifier les personnes concernées. En effet, en l’état du droit, et sauf à ce qu’un texte légal en prévoit expressément la possibilité, il s’agirait alors d’un traitement de données disproportionné, qui ne respecterait pas le principe de minimisation des données, dans la mesure où des moyens moins attentatoires à la vie privée des salariés et visiteurs concernés pourraient être mis en œuvre par l’employeur afin d’assurer la sécurité et la santé de ses salariés sur le lieu de travail.

 

La réalisation de tests par l’employeur et de questionnaires sur l’état de santé

La CNPD rappelle que seuls les professionnels de santé compétents ont le droit de collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des salariés/agents contenant des données relatives à leur état de santé ou des informations relatives notamment à leur situation familiale, leurs conditions de vie ou encore, leurs éventuels déplacements.

Il en va de même pour les tests médicaux, sérologiques ou de dépistage du COVID-19 dont les résultats sont soumis au secret médical : les acteurs privés ou publics ne pourront recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé. Ils ne pourront alors traiter que cette seule information, sans autre précision relative à l’état de santé du salarié, de la même manière qu’ils traitent d’autres arrêts de maladie.

Les acteurs privés et publics doivent, dès lors, s'abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un de leurs salariés, une personne externe ainsi que leurs proches, même au cas où un salarié porterait de telles informations de manière volontaire à son employeur.

 

Les demandes et recommandations des autorités sanitaires

Enfin, des données de santé peuvent être collectées par l’inspection sanitaire, qualifiée pour prendre les mesures adaptées à la situation, dans les limites de ses compétences. L'évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de cette autorité publique.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNPD invite particuliers et professionnels à suivre les recommandations du Ministère de la Santé et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par l’inspection sanitaire.

Dernière mise à jour