LawFlash

COVID-19 en France : Protection des données personnelles sur le lieu de travail

29 avril 2020

Les mesures de prévention contre la pandémie de coronavirus (COVID-19) se heurtant aux principes et lignes directrices du Règlement général de l'UE sur la protection des données (RGPD), la Commission Nationale de l’Informatique et des Libertés (CNIL) a rappel les règles essentielles et les bonnes pratiques des entreprises pour assurer la protection des données personnelles des salariés.

La CNIL s’est prononcée sur différents questions relatives aux conséquences de la pandémie sur le traitement et la protection des données personnelles et sur son activité de contrôle pour 2020.

Pour rappel, si la situation d’urgence actuelle en matière de santé publique exige de l'ensemble des acteurs qu'ils fassent preuve d'une vigilance particulière, le traitement des données sanitaires relève de la responsabilité des autorités sanitaires qualifiées pour prendre les mesures adéquates compte tenu de la situation. La CNIL invite donc les particuliers et les professionnels à suivre les recommandations des autorités de santé et à ne collecter des données sur la santé des personnes que sur demande des autorités compétentes.

Le 8 avril 2020, la Présidente de la CNIL, Marie-Laure Denis, a été auditionnée par la commission des lois de l'Assemblée nationale. Elle a souligné l'importance des enjeux liés à la protection des données dans le contexte de l’urgence sanitaire actuelle.

Le traitement des données personnelles sur le lieu de travail durant le Covid-19

Obligations de l’employeur

Si chacun doit mettre en œuvre des mesures adaptées à la situation, telles que la limitation des déplacements et des réunions ou encore le respect de mesures d'hygiène, l’employeur ne peut en aucun cas prendre des mesures susceptibles de porter atteinte au respect de la vie privée de ses salariés, notamment en collectant des données de santé personnelles qui iraient au-delà de ce qui est nécessaire pour déterminer une exposition potentielle au Covid-19.

En effet, les données de santé font l'objet d'une protection toute particulière, protection assurée tant par le Règlement Général de la Protection des Données (RGPD), que par les dispositions de la Loi relative à l'informatique, aux fichiers et aux libertés ou encore par les dispositions du Code de la santé publique. Pour rappel, en vertu de l’article 9.1 du RGPD, le traitement des données de santé est, en principe, interdit. Il peut être néanmoins autorisé dans un nombre de cas limité et notamment si la personne concernée donne librement son consentement explicite. La question de savoir si le consentement est donné librement est généralement questionnée dans le cadre de la relation salarié/employeur.

Plus précisément, l’employeur ne peut pas collecter, de façon généralisée et systématique, ou au travers d'enquêtes et de demandes individuelles, des informations relatives à la recherche de symptômes éventuels présentés par un salarié ou ses proches. L’employeur n’est donc pas autorisé à prendre les mesures suivantes :

  • relevés obligatoires des températures corporelles de chaque salarié à adresser quotidiennement à sa hiérarchie (cependant, il semble qu’il y ait une discordance entre la position de la CNIL et celle du ministère du travail qui, dans ses questions/réponses disponibles en ligne, indique que «  les entreprises, dans le cadre d’un dispositif d’ensemble de mesures de précaution, peuvent mettre en œuvre un contrôle systématique de la température des personnes entrant sur leur site », la CNIL reste cependant l’autorité compétente en matière de protection des données) ; ou encore
  • collecte de fiches ou questionnaires médicaux auprès de l’ensemble des salariés.

Cependant, en vertu de l’article L. 4121-1 du Code du travail, l'employeur est responsable de la santé et de la sécurité de ses salariés. Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d'information et de formation, et mettre en place une organisation et des moyens adaptés.

Dans le cadre de ses actions de prévention des risques professionnels, pour faire face à la pandémie actuelle, l'employeur peut :

  • sensibiliser et inviter ses salariés à effectuer des remontées individuelles d'information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
  • faciliter la transmission desdites informations par la mise en place, le cas échéant, de canaux dédiés ;
  • favoriser les modes de travail à distance et encourager le recours à la médecine du travail. En effet, les services de santé au travail maintiennent leur activité au service des entreprises et des salariés pendant la crise. De plus, l’ordonnance n° 2020-386 du 1er avril 2020 prévoit que, durant cette période, les services de santé au travail doivent, notamment, soutenir les entreprises dans la définition et la mise en œuvre des mesures de prévention adéquates contre le Covid-19. Enfin, l’ordonnance prévoit que les médecins du travail peuvent participer à des missions de dépistage et prescrire des arrêts de travail. Des textes réglementaires doivent être prochainement publiés pour préciser ces mesures.

En cas de signalement, l’employeur peut consigner :

  • la date et l'identité de la personne suspectée d'avoir été exposée ; et
  • les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).

L’employeur pourra alors communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l'exposition et qui sont nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

L’employeur peut également être amené à établir un plan de continuité de l’activité (PCA), qui a pour objectif de maintenir l’activité essentielle de son entreprise. Ce plan doit, notamment, prévoir les mesures nécessaires à la protection de la sécurité des salariés et identifier les activités essentielles devant être maintenues et les personnes nécessaires à la continuité du service.

De façon pratique, l’employeur :

  • Doit éviter, dans la mesure du possible, de recueillir des informations sur les symptômes. Une solution peut être de fournir une liste de symptômes et de demander aux salariés s’ils présentent l'un des symptômes listés. L’employeur doit alors encourager le salarié présentant des symptômes à contacter les autorités sanitaires ou d’en informer les RH ou son supérieur hiérarchique.
  • Doit encourager les salariés à révéler aux RH, à leur supérieur hiérarchique ou aux services sanitaires de l'entreprise leurs récents voyages dans une ville ou un pays identifié comme « à risque » (sans indiquer précisément le pays) ou leur contact avec une personne contagieuse ou malade et noter le nom de la personne et la mesure d'isolement prise (travail à distance, arrêt de travail pour s'occuper d'enfants de moins de 16 ans, arrêt maladie, etc.).
  • Ne doit pas enregistrer la température des salariés. Il est préférable de n’enregistrer que des informations restreintes.
  • Doit limiter les questions aux informations strictement nécessaires pour assurer la santé et la sécurité des personnes extérieures à l’entreprise et amenées à intervenir sur le lieu de travail et obtenir le consentement explicite des personnes répondant au questionnaire pour traiter les données relatives à leur santé, après les avoir informées conformément à l'article 13 du RGPD.

Toutes les données personnelles collectées auprès des salariés doivent être effacées lorsque le risque sanitaire disparaît.

Si l'un des salariés est mis en quarantaine, l'employeur doit informer les représentants du personnel et les autres salariés qu'un de leur collègue est en quarantaine sans indiquer son identité.

Obligations du salarié

Chaque salarié a l’obligation, pour sa part, conformément à l’article L. 4122-1 du Code du travail, de mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même. Il doit donc informer son employeur en cas de suspicion de contact avec le virus, en particulier si l'employeur demande cette information. Le refus de répondre ou de fournir ces informations peut être considéré comme une violation de son obligation visée ci-dessus.

Comme il s'agit d'une situation extrêmement fluctuante et imprévisible, une réévaluation des mesures prises doit être prévue afin d’assurer au mieux la protection des salariés tant au niveau sanitaire que de leurs données personnelles.

Lutte contre la cybercriminalité

Dans le contexte de la pandémie de Covid-19, le télétravail est une solution qui requiert des mesures de sécurité renforcées pour garantir l’intégrité des systèmes d'information et des données traitées.

La CNIL recommande ainsi de rédiger une charte de sécurité dans le cadre du télétravail ou, au moins, un socle de règles minimales à respecter et de communiquer ce document aux collaborateurs suivant le règlement intérieur.

En cas de modification des règles de gestion des systèmes d'informations pour permettre le télétravail (changement des règles d'habilitation, accès des administrateurs à distance, etc.), il convient de mesurer les risques encourus et, au besoin, de prendre les mesures nécessaires. De plus, si les services utilisés sont accessibles en ligne, il convient d'utiliser des protocoles garantissant la confidentialité et l'authentification du serveur destinataire, en utilisant les versions les plus récentes de ces protocoles. La CNIL recommande par ailleurs de mettre en œuvre des mécanismes d'authentification à double facteur sur les services accessibles à distance pour limiter les risques d'intrusions et de consulter régulièrement les journaux d'accès aux services accessibles à distance pour détecter des comportements suspects. Enfin, la CNIL recommande de ne pas rendre directement accessibles les interfaces de serveurs non sécurisées et de limiter le nombre de services mis à disposition au strict minimum pour réduire les risques d'attaques.

La CNIL recommande également d'équiper tous les postes de travail des salariés d'un pare-feu, d'un antivirus et d'un outil de blocage de l'accès aux sites malveillants et de mettre en place un VPN pour éviter l'exposition directe des services sur internet dès que cela est possible. Elle présente l’ensemble de ces mesures comme un minimum et recommande d’avoir recours aux dernières versions des équipements et logiciels utilisés.

Programme d'enquête de la CNIL 2020

La CNIL indique sur son site Internet qu'elle effectue des milliers d'enquêtes chaque année. Ce programme couvre l'année entière et concerne ses autres méthodes de contrôle, qui sont effectuées en ligne, sur pièces ou par courrier. Dans le contexte actuel, les inspections sur place seront très probablement reportées à la fin de la pandémie ou du moins après les mesures de confinement annoncées par le gouvernement français le 16 mars 2020. Néanmoins, les agents de la CNIL restent en opération, à distance, ce qui signifie que les autres types d'inspections pourraient être mis en œuvre (voire remplacer certaines inspections initialement prévues sur place).

Pour 2020, l'autorité française a déclaré qu'elle concentrera son action sur trois domaines principaux :

  • sécurité des données de santé ;
  • ·nouvelles utilisations des données de géolocalisation ; et
  • cookies et autres dispositifs de suivi.

Les traitements de données de santé sont considérés comme des traitements « à risque », car les données de santé sont traitées comme des données sensibles et doivent faire l'objet de précautions et de mesures particulières. La CNIL soutient que l'actualité récente en matière de santé (télémédecine, objets de santé connectés, violation de données personnelles au sein des institutions publiques...) démontre l'attention qui doit être portée à la sécurité des traitements de santé.

Les traitements impliquant des données de géolocalisation et des cookies utilisent des volumes importants de données ; la CNIL considère que ces traitements sont particulièrement intrusifs dans la vie quotidienne de la population. Il conviendra d’être particulièrement vigilant sur l’évolution des recommandations de la CNIL concernant les cookies et les autres traceurs. En effet, sans attendre l'adoption du futur règlement e-Privacy, la CNIL a d’ores et déjà adopté de nouvelles lignes directrices en juillet 2019 et a publié, en janvier 2020, un projet de recommandation soumis à la consultation publique, qui devrait être prochainement adopté. Après une période de sensibilisation et d'adaptation de six mois à compter de la publication finale de la recommandation, les inspections et les actions punitives de la CNIL suivront.

Coronavirus COVID-19 Task Force

Pour nos clients, nous avons constitué un groupe de travail multidisciplinaire sur le coronavirus COVID-19 afin de vous guider dans le vaste éventail des questions juridiques que soulève ce défi de santé publique. Nous avons également lancé une page de ressources pour vous tenir au courant des développements au fur et à mesure de leur avancée. Si vous souhaitez recevoir un résumé quotidien de toutes les nouvelles mises à jour de la page, veuillez-vous inscrire dès maintenant pour recevoir nos alertes COVID-19.

Contacts

Si vous avez des questions ou souhaitez obtenir de plus amples informations sur les sujets abordés dans ce LawFlash, veuillez contacter l'un des avocats Morgan Lewis suivants :Paris
Charles Dauthier
Laetitia de Pelet