Alerte juridique

Comment gérer les données personnelles de ses salariés (Acte II) ?

Le Covid-19 et sa progression sont une source de préoccupation et de confusion pour les employeurs et leurs salariés. Le Président Emmanuel Macron a annoncé le 16 mars, un renforcement des mesures de précaution sanitaire sans précédent. En effet, à compter du 17 mars, midi, « seuls doivent demeurer les trajets nécessaires ». Cependant et contrairement à la rumeur de confinement qui circulait sur les réseaux sociaux, le renforcement de ces mesures n’exclut pas la faculté pour certains salariés de se rendre sur leur lieu de travail, lorsque leur activité est incompatible avec le télétravail. Bien au contraire le ministre de l’Economie envisage une prime de 1 000 € pour encourager les salariés qui continuent à travailler. Dans ce contexte, les mesures annoncées conduisent l’employeur à se poser de nouvelles questions.

Suite aux nombreuses interrogations des professionnels suscitées par le déconfinement, la CNIL a mis à jour le jeudi 7 mai, ses orientations relatives aux conditions dans lesquelles les données personnelles de santé peuvent être utilisées par l’employeur afin de limiter la propagation du virus et assurer la reprise de l’activité en toute sécurité.

En effet, si les employeurs sont soucieux d'assurer la sécurité et la santé de leurs salariés, les mesures destinées à favoriser un environnement de travail sain sont susceptibles d’accroitre le nombre de traitements des données à caractère personnel des employés qui relèvent du secret médical et de la vie privée : puis-je imposer la prise de température de mes salariés à l’entrée de mes locaux, ou demain, la réalisation de test Covid-19, à l’image des tests systématiques pratiqués en Corée du Sud, puis-je leur imposer de m’informer de l’apparition de tout symptôme, puis-je demander à mes salariés de m’informer de l’état de leur déplacements hors du bureaux, etc. ?

Afin de répondre à ces problématiques, la Commission Nationale de l'Informatique et des Libertés (CNIL) a rendu un avis le 6 mars dernier, contenant des orientations relatives aux conditions dans lesquelles les données personnelles de santé peuvent être utilisées

Le cadre légal : quelles sont les règles ?

Les données de santé sont définies par le RGPD comme « l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée ».1

Ces données relèvent des catégories dites « particulières » de données à caractère personnel. A ce titre, tout traitement de ces données est par principe interdit.2

Des exceptions sont néanmoins prévues. Ainsi, pour pouvoir collecter et utiliser licitement les données de santé de ses employés, l'employeur devra veiller à ce que ses traitements répondent à l’une des dix conditions de l’article 9.2 du règlement. A certaines de ces conditions, s’ajoutent un système d’autorisation de la CNIL. Ces autorisations sont notamment requises pour les traitements de données sensibles présentant une finalité d’intérêt public.

Or les traitements de données de santé effectués par l’employeur, dans le cadre de la prévention et/ou gestion de la crise du Covid-19, pourraient bien se justifier par l’intérêt public et impliqueraient à ce titre pour l’employeur d’obtenir une autorisation préalable de la CNIL, alors même que les employeurs seraient confrontés à une situation urgente.

Dans sa publication du 7 mai 2020, la CNIL rappelle que les employeurs ne peuvent pas prendre des mesures susceptibles de porter une atteinte disproportionnée à la vie privée des personnes concernées, notamment en mettant en place une collecte des données de santé qui irait au-delà d’une simple gestion des cas de suspicions d’exposition au virus justifiée par la protection des salariés et du public. Pour appuyer son raisonnement, la CNIL effectue un renvoi à l’article L. 1121-1 du Code du travail qui dispose que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

Elle rappelle également que le traitement des données de santé est en principe interdit. Néanmoins, certaines exceptions sont prévues par le RGPD et doivent respecter l’équilibre entre la volonté d’assurer la sécurité des personnes, et le respect de leurs droits et libertés fondamentales. Ces exceptions ne peuvent être mises en place que lorsqu’elles garantissent un niveau de sécurité et de confidentialité particulièrement élevé.

Ainsi, la CNIL considère que les exceptions mobilisables dans le contexte du travail sont limitées à :

  • La nécessité pour l’employeur de traiter ces données pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale : tel est le cas du traitement des signalements par les salariés infectés ou suspectés d’infection ;
  • la nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation (sanitaire) de la capacité de travail du travailleur, de diagnostics médicaux etc.

A ce titre, les employeurs souhaitant s’assurer de l’état de santé de leurs salariés, afin de limiter la propagation du virus et d’assurer leur sécurité lors de la reprise d’activité, devront s’appuyer sur les services de santé au travail. Par exemple, ils ne pourront pas mettre en place eux-mêmes des fichiers comprenant des données relatives à la température corporelle des salariés et/ou à certaines de leurs pathologies (les « comorbidités ») qui constitueraient des troubles aggravants en cas d’infection au Covid-19. La CNIL renvoie ensuite directement à l’ordonnance « adaptant les conditions d'exercice des missions des services de santé au travail à l’urgence sanitaire et modifiant le régime des demandes préalables d'autorisation d'activité partielle » du 1er avril 2020 et publiée au Journal officiel le 2 avril 2020.

Enfin, la CNIL rappelle utilement que la réglementation sur la protection des données à caractère personnel n’a vocation à s’appliquer qu’aux traitements automatisés ou non permettant de constituer des fichiers. Ainsi, le fait pour l’employeur de ne procéder qu’à une vérification de température au moyen d’un thermomètre manuel (ex : thermomètre de type infrarouge sans contact) à l’entrée d’un site, sans conserver la trace de cette prise de température ni effectuer une opération complémentaire (ex : relevés de ces températures, remontées d’informations, etc.), ne constitue pas un fichier et donc un traitement de données à caractère personnel, et ainsi ne relève pas de la règlementation en matière de protection des données.

Les conseils de la CNIL

En raison de la propagation exponentielle du Covid-19, la CNIL a formulé, le 6 mars 2020, des recommandations concernant la gestion de la crise sanitaire en matière de protection des données à caractère personnel. La CNIL rappelle en premier lieu que l’employeur est responsable de la santé et de la sécurité de ses salariés3.

L’employeur devra donc arbitrer entre ses obligations en matière de sécurité et en matière de sauvegarde des droits fondamentaux et des intérêts de ses salariés.

Ainsi, les employeurs doivent s'abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes, tests, ou demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un employé et/ou ses proches.

Les employeurs ne sont par conséquent pas autorisés, à date, y compris pour les salariés qui sont contraints de se rendre sur leur lieu de travail, malgré les mesures de confinement obligatoire organisées par le décret n° 2020-260 du 16 mars 2020 portant réglementation des déplacements dans le cadre de la lutte contre la propagation du virus covid-19, à recueillir de manière systématique la température corporelle des employés ou des visiteurs à l'entrée de leurs locaux, ou à réaliser de façon systématique des tests covid-19 sur leurs employés ou visiteurs.

Toutefois, les employeurs peuvent sensibiliser leurs employés afin de les encourager à signaler à leur employeur ou aux autorités sanitaires leur possible exposition au virus. La CNIL rappelle que les salariés sont eux aussi tenus d’une obligation de sécurité et ont ainsi l’obligation d’informer leur employeur de leur possible exposition au virus4.

Enfin, à la demande des autorités sanitaires, les employeurs peuvent transmettre des informations relatives à la santé des employés et à la nature de l'exposition au virus.

Dans sa publication du 7 mai 2020, la CNIL rappelle que dans un contexte de pandémie un salarié travaillant en contact avec d’autres personnes, telles que des collègues ou du public, a l’obligation d’informer son employeur en cas de contamination ou de suspicion de contamination du virus, à chaque fois qu’il aurait pu exposer une partie de ses collègues au Covid-195. Cette règle déroge au principe suivant lequel en cas d’arrêt maladie, le salarié n’a pas à communiquer à son employeur de précision sur son état de santé ou sur la nature de sa pathologie.

Toutefois, la CNIL précise que dans le cadre du télétravail, où le salarié n’exposerait donc pas d’autres salariés au virus, l’obligation d’information du salarié sur la nature de la pathologie justifiant son arrêt de travail n’est plus applicable.

De plus, l’employeur ne peut traiter que des données nécessaires pour prendre des mesures organisationnelles (ex : mise en télétravail, orientation vers le médecin du travail, etc.), de formation et d’information, ainsi que certaines actions de prévention des risques professionnels. Ceci signifie que l’employeur ne peut effectuer que des traitements portant sur les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou suspecter de l’être ainsi que les mesures organisationnelles prises suite à cette information, et sans informer le reste des salariés de l’identité de cette personne.

Lorsque cela sera nécessaire, l’employeur pourra également communiquer aux autorités sanitaires compétentes, les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Les problématiques en suspens

Au regard de l’ensemble de ces éléments, il conviendrait de s’interroger sur la possibilité pour l’employeur de collecter et traiter des informations relatives aux déplacements de ses salariés dans les zones dites « à risque ».

De la même manière, l’employeur pourrait-il être autorisé à réutiliser des données déjà collectées auprès de ses salariés mais pour une finalité autre que la gestion de cette épidémie (ex : déclaration de handicap), sans demander le consentement des personnes concernées ? Autant de questions qui restent à ce jour en suspens.

A toutes fins utiles, il conviendra certainement pour les employeurs de mettre en place des analyses renforcées de ces données (Analyse D'impact relative à la Protection des Données). Les traitements de données de santé, pouvant être réalisés par l’employeur en raison de l’épidémie de Covid-19, correspondent à 2 des 9 critères issus des lignes directrices du G29, à savoir (1) la collecte de données sensibles ou données à caractère hautement personnel et (2) le croisement de données. Cependant, ces AIPDs ne pourront être réalisées, au vu de l’urgence, que postérieurement à la mise en œuvre des traitements.

De même, il conviendra pour l’employeur, afin de respecter un niveau de sécurité élevé, de prévoir des droits d’accès à ces données spécifiques et stricts, ainsi que de mettre en place des durées de conservation adaptées. Sur ce dernier point, la CNIL n’a donné aucune recommandation précise : faudra-t-il obligatoirement supprimer les données à la « fin » de l’épidémie ? Ou l’employeur pourra-t-il justifier d’une durée de conservation supérieure ?

On pourra également s’interroger sur la possibilité pour l’employeur d’effectuer des transferts de ces données au sein des entités de son groupe et, des mesures à mettre en place afin d’encadrer ces transferts (information des personnes concernées, binding corporate rules, clauses contractuelles types, etc.).

Enfin, une attestation sur l’honneur similaire à celle communiquée par le gouvernement pourrait être demandée par l’employeur permettant de garantir que le salarié ne présente aucun symptôme du Covid-19 et n’a pas été en contact avec des personnes possiblement infectées. Cette attestation permettrait également à l’employeur de se conformer à ses obligations en matière d’information des personnes concernées (traitement, finalité, durée de conservation, exercice des droits, etc.) mais également de s’assurer d’une obligation de sécurité de moyens renforcés.

Concernant l’information des personnes concernées par les traitements de données réalisés :

La CNIL rappelle simplement que, quel que soit le dispositif utilisé ou le traitement de données mis en œuvre, il convient d’assurer une parfaite transparence à l’égard des personnes concernées.

Au-delà d’être une obligation résultant de la législation du travail et des textes relatifs à la protection des données, l’information de ces personnes est une composante essentielle de la gestion de la crise sanitaire et participe à rassurer les personnes concernées.

Concernant les relevés de température à l’entrée des locaux :

La CNIL considère qu’en l’état du droit, et « sauf à ce qu’un texte en prévoit expressément la possibilité », les employeurs ont l’interdiction de constituer des fichiers conservant des données de températures de leurs salariés.

De la même manière, les employeurs ne peuvent pas mettre en place des outils de captation automatique de température (ex : caméras thermiques). La CNIL renvoie également aux recommandations de la direction générale du travail sur ce point.

Sans pour autant se prononcer au regard du droit social, la CNIL observe que l’efficacité et l’opportunité de la prise de température est contestée. En effet, une température élevée ne serait pas un symptôme systématique du Covid-19, ou pourrait témoigner d’un autre type d’infection. Elle signale d’ailleurs que le Haut Conseil de la Santé Publique recommande de ne pas mettre en place un tel système de dépistage.

De plus, la température corporelle fait partie intégrante des données de santé, et doit à ce titre faire l’objet d’une protection particulière. Or en l’état du droit (notamment de l’article 9 du RGPD), et sauf à ce qu’un texte en prévoit expressément la possibilité (tel que mentionné précédemment), les employeurs ont l’interdiction de mettre en place :

  • des relevés de températures des salariés ou visiteurs dès lors qu’ils seraient enregistrés dans un traitement automatisé ou dans un registre papier ;
  • des opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques.

La réalisation de tests sérologiques et de questionnaires sur l’état de santé :

Tout d’abord, la CNIL se réfère aux directives de la direction générale du travail, qui prévoit que « les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées ».

La CNIL rappelle ensuite que seuls les personnels de santé compétents, dont fait partie la médecine du travail, peuvent collecter, mettre en œuvre et accéder aux fiches ou questionnaires médicaux de salariés ou d’agents qui contiendraient des données relatives à leur état de santé ou des informations relatives notamment à leur situation familiale, leurs conditions de vie ou encore, leurs éventuels déplacements.

De la même manière, l’employeur ne peut recevoir que l’avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé sans autre information, et non les résultats des tests médicaux, sérologiques ou de dépistage du Covid-19 associés à ces avis qui sont couverts par le secret médical.

Concernant les plans de continuité de l’activité ou « PCA » :

La CNIL estime que l’employeur peut créer un fichier nominatif pour l’élaboration et la tenue du PCA. Cependant, ce fichier ne doit contenir que les données nécessaires à la réalisation de cet objectif. La sécurité et la confidentialité des données traitées dans cette hypothèse doivent bien évidemment être assurées par l’employeur.

Les demandes et recommandations des autorités sanitaires :

La CNIL conclue ses recommandations en rappelant que les données de santé peuvent également être collectées par les autorités sanitaires. Plus précisément, l'évaluation et la collecte d’informations relatives aux symptômes du virus ainsi qu’aux déplacements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

La CNIL invite les professionnels et les particuliers à suivre les recommandations des autorités sanitaires, et en conséquence à n’effectuer que les collectes de données de santé sollicitées par ces autorités.

Le contrôle du salarié en télétravail

La crise actuelle nécessite une modification des conditions de travail, notamment afin de respecter les dispositions gouvernementales, recourir au télétravail. Une des principales problématiques qui s’ouvrira aux employeurs sera d’assurer ses prérogatives d’exécution du contrôle du temps de travail, peut-il y recourir grâce à la géolocalisation ?

Tout d’abord, il convient de rappeler que les dispositions gouvernementales requièrent des citoyens un confinement des plus stricts, ainsi les déplacements sont extrêmement limités rendant difficile les sorties des salariés en télétravail. Afin de se déplacer, une autorisation doit être préremplie faisant figurer notamment le lieu de confinement du salarié.

La CNIL autorise, dans des conditions strictes, et notamment lorsque que celui-ci est le seul moyen d’assurer le contrôle du temps de travail, l’utilisation de la géolocalisation sur les véhicules6.

Il convient également de rappeler que la Haute Juridiction considère que l’employeur peut accéder aux données d’outils technologiques (smartphone, ordinateur portable) donnés aux salariés par l’employeur dans le cadre de leur activité professionnelle. L’employeur pourrait alors s’assurer que le salarié ait été présent à son domicile de confinement pour la durée du télétravail. Mais il ne s’agit pas là d’un contrôle permanent de la localisation du salarié.

D’autant plus que ces mesures, pour être réalisées dans le respect du droit du travail doivent être précédées de la consultation des élus du personnel mais également des salariés, individuellement et collectivement7.

Enfin, il convient de rappeler que le salarié en télétravail se retrouve toujours à la disposition de son employeur et doit pouvoir à tout moment accéder aux outils informatiques lui permettant d’être en contact avec son employeur.

Ces dispositions permettent d’en déduire qu’un contrôle systématique de la localisation des salariés en télétravail n’est pas possible. Néanmoins, au vu des obligations de rester au domicile, l’employeur peut sensibiliser le salarié à communiquer son lieu de confinement et les dispositions prises pour rester à disponibilité de l’employeur.

1 Règlement (UE) 2016/679 du 27 avril 2016, considérant 35 du préambule.
2 Règlement (UE) 2016/679 du 27 avril 2016, article 9.
3 Article L. 4121-1 du Code du travail
4 Article L.4122-1 du code du travail
5 Article L.4122-1 du code du travail
6 Norme simplifiée n°NS-051, article
7 Articles L.1222-3, L.1222-4 et L.2323-47 du code du travail

Auteurs : Caroline Luche-Rocchia, Avocat, Associée en droit du travail, Nicolas Rémy-Néris, Avocat, DPO, Directeur en droit commercial et Elise Millet, Avocat, en droit commercial.

Avocat Associée
Caroline Luche-Rocchi Rencontrez Caroline
Directeur, Avocat Nicolas Rémy-Néris Rencontrez Nicolas