Tour d’horizon du sujet RGPD et Covid 19 par Optimex Data
rgpd et covid 19
Lors de notre newsletter du mois de mars, nous vous faisions part des règles pour faire face, en tant qu’employeur, à la COVID-19. A titre de rappel, certaines mesures n’étaient pas autorisées par la CNIL en raison du caractère sensible des données collectées telles que : les relevés obligatoires des températures corporelles de chaque employé, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés.
A défaut, la CNIL recommande davantage de sensibiliser les employés à effectuer des remontées individuelles d’information les concernant, à faciliter leur transmission ou encore à favoriser les modes de travail à distance et encourager fortement le recours à la médecine du travail.
Au regard de l’évolution croissante de l’épidémie et dans la perspective d’un nouveau « confinement », la CNIL avait décidé de faire un rappel de ses règles. Ainsi, le 23 septembre 2020, la CNIL est venue préciser que toutes les recommandations faites en Mars 2020 (mentionnées dans la newsletter de Mars), restaient applicables. Elle vient toutefois préciser certaines mesures ou notions.
Quels changements ?
Le traitement par les employeurs des signalements
Les employeurs ne peuvent traiter que les éléments liés à la date, l’identité de la personne et le fait qu’elle ait indiqué être contaminée ou suspectée de l’être ainsi que les mesures organisationnelles mises en place. L’employeur devra être en mesure de communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires pour une éventuelle prise en charge sanitaire ou médicale. L’identité de la personne contaminée ne doit pas être communiquée aux autres employés.
L’utilisation des données de santé
Dans notre newsletter précédente, nous vous avions fait part que les données sensibles font l’objet d’une protection juridique particulière et accrue puisqu’elles sont en principe interdites de traitement. Il existe bien évidemment des exceptions à ce principe.
Dans le cadre de la COVID-19, les exceptions dans le contexte du travail sont limitées et peuvent relever soit de la nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de …
- Droit du travail ;
- La sécurité sociale ;
- La protection sociale (ex. signalements par les employés) ;
Soit la nécessité, pour un professionnel de santé, de traiter ces données aux fins de …
- La médecine préventive ou de la médecine du travail ;
- L’appréciation (sanitaire) de la capacité de travail du travailleur…
Pour ces raisons, les employeurs qui voudraient initier d’éventuelles démarches visant à s’assurer de l’état de santé de leurs employés doivent s’appuyer sur les services de santé au travail dont c’est la compétence.
La prise de température
Le RGPD ne s’applique qu’aux traitements de données automatisés (informatiques) et aux traitements de données non automatisés (fichiers). La CNIL précise que la seule vérification de la température au moyen d’un thermomètre manuel (ex. infrarouge sans contact) à l’entrée des locaux, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération soit effectuée (remontées d’information, relevés de ces températures, etc…) ne relève pas de la règlementation en matière de protection des données. Par conséquent, le RGPD n’est pas applicable.
En revanche, les relevés de températures des employés ou visiteurs dès lors qu’ils seraient enregistrés dans un traitement automatisé ou dans un registre papier et les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques, sont quant à eux interdits par les employeurs.
Les tests sérologiques et/ou questionnaires médicaux
La CNIL rappelle, en collaboration avec la Direction Générale du Travail, que « les campagnes de dépistages organisées par les entreprises pour leurs salariés ne sont pas autorisées ».
Tous les tests médicaux, sérologiques ou de dépistage de la COVID-19 sont soumis au secret médical par conséquent, l’employeur ne peut recevoir que l’avis d’aptitude ou d’inaptitude à reprendre le travail émis par un professionnel de santé.
Les fichiers de traçage des cas contacts
Vous êtes nombreux à nous solliciter dans le cadre de la mise en place d’un fichier de suivi des personnes contaminées pour faire des remontées directement auprès des personnes « cas contacts ». Ce type de fichier est permis uniquement pour les établissements de restauration (restaurants, cafétérias, fast-food, etc…) dans la mesure où ils sont soumis au respect d’un protocole sanitaire renforcé qui leur impose de tenir un cahier de rappel de leurs clients. Dans la mesure où vous n’êtes pas autorisés à mettre en place ce type de fichier, nous vous recommandons en cas d’information de la part d’une personne, d’effectuer les remontées directement auprès des autorités sanitaires.
Pour aller plus loin : COVID-19 – les rappels de la CNIL, COVID-19 et les cahiers de rappel, COVID-19 et pratiques sportives.