Selon l’article L4121-1 du Code du travail, l’employeur doit prendre les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs.
À ce titre, il lui appartient de mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, ainsi qu’une organisation du travail et des moyens adaptés aux conditions de travail.
Dans le contexte de la crise sanitaire, se pose la question de savoir quelles mesures l’employeur peut ou non mettre en place pour protéger ses salariés face à la maladie.
Est-il possible de collecter des données concernant des employés, agents ou visiteurs afin de déterminer si des personnes présentent des symptômes du COVID-19, ou des données relatives à des déplacements et événements pouvant relever de la sphère privée ?
La CNIL rappelle qu’appliquée au Covid-19, les obligations imposées par le Code du travail permettent notamment à l’employeur :
- de rappeler à ses employés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’informations en cas de contamination ou suspicion de contamination, auprès de lui ou des autorités sanitaires compétentes, aux seules fins de lui permettre d’adapter les conditions de travail ;
- de faciliter la transmission de ces informations par la mise en place, au besoin, de canaux dédiés et sécurisés ;
- de favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
Deux sujets ont attiré particulièrement l’attention de la CNIL : le traitement des données de santé par l’employeur (I) et les moyens que l’employeur peut mettre en place pour s’assurer de la bonne santé de ses salariés (II).
I. Le traitement des données de santé
Les données de santé sont des données sensibles au sens de la réglementation sur la protection des données personnelles.
Ce n’est qu’exceptionnellement qu’un employeur peut être amené à les collecter et les conserver.
En cette période de Covid-19, la CNIL admet toutefois que le salarié puisse être dans l’obligation, dès lors qu’il travaille au contact d’autres personnes (collègues et public), à chaque fois qu’il a pu exposer une partie de ses collègues au virus, d’informer son employeur en cas de contamination ou de suspicion de contamination au virus.
En raison du principe de minimisation des données, l’employeur ne sera autorisé à traiter que les données strictement nécessaires, à savoir les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou qu’elle pense l’être ainsi que les mesures organisationnelles prises.
Selon la CNIL, les exceptions invocables dans le domaine du travail et sur lesquelles les traitements de données de santé pourraient être fondés sont :
- la nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale : c’est le cas du traitement des signalements par les employés ;
- la nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation (sanitaire) de la capacité de travail du travailleur, de diagnostics médicaux etc.
Ainsi, la CNIL rappelle que dans le cadre de la prévention du Covid-19, les employeurs ne sauraient, dans le but de s’assurer de l’état de santé de leurs employés, mettre en place des fichiers relatifs à la température corporelle de leurs employés ou à certaines pathologies (les « comorbidités ») susceptibles de constituer des troubles aggravants en cas d’infection au COVID-19. Pour se faire, il convient que les employeurs s’appuient sur les services de santé au travail, seuls compétents en la matière.
Rappelons que quelle que soit la pratique mise en œuvre, il convient de toujours respecter les principes du RGPD quant à la transparence, l’information des personnes, le respect des durées de conservation des données etc.
Evidemment, l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres employés.
II. Les moyens permettant de vérifier l’état de santé des salariés
Si les employeurs ont l’obligation de mettre en place des mesures pour assurer la sécurité et la santé de leurs employés, celles-ci ne sauraient néanmoins porter une atteinte disproportionnée à la vie privée des personnes concernées. Il en va ainsi de la collecte de données de santé qui irait au-delà de la gestion des suspicions d’exposition au virus aux fins de protéger les employés et le public.
1/ Le relevé des températures corporelles à l’entrée des locaux
La CNIL rappelle qu’en l’état du droit et sauf à ce qu’un texte en prévoit expressément la possibilité, il est interdit aux employeurs :
- de constituer des fichiers conservant des données de températures de leurs salariés ;
- de mettre en place des systèmes de captation automatique de la température corporelle.
En revanche, les prises manuelles de température à l’entrée d’un site et sans constitution d’un fichier ni remontée d’informations ne sont pas soumises à la réglementation sur la protection des données personnelles.
C’est ainsi que le 22 mai 2020, le juge des référés du Tribunal administratif de Versailles a rejeté la demande de la Ligue des Droits de l’Homme qui demandait le retrait des caméras thermiques installées à l’entrée de bâtiments administratifs et scolaires. Le juge a considéré que la prise de température était soumise au principe du volontariat et que le dispositif était signalé de manière très visible par une signalétique au sol.
2/ La réalisation de tests sérologiques et de questionnaires sur l’état de santé
La CNIL rappel que, conformément aux directives de la direction générale du travail[1], les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées.
Seuls les personnels de santé compétents (notamment la médecine du travail) sont autorisés à collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des employés/agents contenant des données relatives à leur état de santé ou des informations relatives notamment à leur situation familiale, leurs conditions de vie ou encore, leurs éventuels déplacements.
Concernant, les tests médicaux, sérologiques ou de dépistage du COVID-19, l’article 2 de l’Ordonnance n°2020-386, du 1er avril 2020 prévoit que la médecine du travail peut procéder à des tests de dépistage du Covid-19.
La CNIL rappelle que leurs résultats sont soumis au secret médical : l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé.
L’employeur, quand bien même doit-il assurer la sécurité et la santé de ses salariés, doit toujours s’assurer de respecter leurs droits et libertés. Pour s’assurer qu’un dispositif n’est pas contraire au RGPD, faites-vous conseiller par votre DPO et/ou conseil juridique.
Charlotte GALICHET
Sophie RENAUDIN
[1] https://travail-emploi.gouv.fr/IMG/pdf/protocole-national-de-deconfinement.pdf