La CNIL a procédé à un rappel de la législation sur la collecte de données personnelles en cette période de pandémie. Il s’agit de déterminer les conditions dans lesquelles il est possible de collecter, en dehors de toute prise en charge médicale, des données concernant des employés/agents ou visiteurs afin de déterminer si des personnes présentent des symptômes du coronavirus, ou des données relatives à des déplacements et évènements pouvant relever de la sphère privée.
Les pratiques interdites
Si chacun doit mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect de mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font en effet l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique.
Par exemple, les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches. Il n’est donc pas possible de mettre en œuvre, par exemple : i) des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ; ii) ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents.
Les pratiques autorisées
L’employeur est responsable de la santé et de la sécurité des salariés/agents conformément au Code du travail et des textes régissant la fonction publique (particulièrement l’article L. 4121-1 du Code du travail). Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés. Dans ce contexte, l’employeur peut : i) sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ; ii) faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ; iii) favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
En cas de signalement, un employeur peut aussi consigner : i) la date et l’identité de la personne suspectée d’avoir été exposée ; ii) les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.). Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.
Plan de continuité de l’activité
Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service. Chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même (article L.4122-1 du Code du travail) : il doit informer son employeur en cas de suspicion de contact avec le virus. Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.