Coronavirus : les entreprises ont-elles eu le réflexe RGPD ?

Par Frédéric Picard et Lucile Desbordes

Depuis l’arrivée du Coronavirus sur le territoire français, de nombreux particuliers et professionnels s’interrogent sur les mesures à mettre en place pour contenir la propagation du virus.

Dans ce contexte, le service RH et le service juridique sont mis à rude épreuve et organisent la gestion de crise. Cependant, ont-ils eu le réflexe « RGPD » ?

Pensant très certainement que la crise sanitaire justifiait le traitement de données de santé de leurs employés ou encore des visiteurs, nombre d’entreprises n’ont pas anticipé cet aspect réglementaire omettant ainsi :

• mentions d’information et recueil du consentement dans les formulaires de collecte d’informations sur l’état de santé d’un employé ou d’un visiteur ;
• l’inscription au registre d’un nouveau traitement et son signalement auprès du DPO ;

Le 6 mars 2020, la CNIL a donc jugé bon de rappeler à l’ordre les pestiférés sur ce qui est possible et ce qui n’est pas possible de faire !

Et pour cause, le traitement des données sensibles est en principe interdit, sauf conditions particulières énumérées à l’article 9 du RGPD, à savoir : risque sanitaire, sauvegarde des intérêts vitaux, médecine préventive, motif d’intérêt public, de santé publique, etc..

1. L’employeur responsable de la santé et de la sécurité de ses salariés

L’article L. 4121-1 du Code du travail impose à l’employeur d’assurer la santé et sécurité de ses salariés. Les salariés ont également une obligation de prendre soin de leur santé et de leur sécurité en application de l’article L. 4122-1 du même code. C’est la raison pour laquelle les employés doivent aider leur employeur à remplir son obligation de sécurité.

Ainsi, dans le contexte d’une crise sanitaire, l’employeur peut prévoir :

• des actions d’information, de sensibilisation et de formation pour prévenir tous les risques d’atteinte à la santé de ses salariés ;
• un plan de continuité de l’activité (PCA) afin de maintenir l’activité essentielle de la société tout en assurant la sécurité des employés ;
• des procédures de prises en charge ;
• des mesures de prévention.

Pour ce faire, la société peut donc récolter les données d’identité et les dates auxquelles le salarié est suspecté d’avoir été exposé au virus. Ces données pourront être transmises aux autorités sanitaires pour une éventuelle prise en charge.

Ces autorités sont d’ailleurs responsables de toutes les mesures d’évaluation et de collecte des informations relatives aux symptômes du Coronavirus et du déplacement des personnes.

La CNIL rappelle donc à la vigilance sur la collecte de ces données et le principe de minimisation. Il ne peut donc être collecté des données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus.

2. L’employeur qui dépasse ses prérogatives

Les mesures prises par l’employeur ne doivent pas porter atteinte au respect de la vie privée des personnes concernées.

Ainsi, ils ne doivent pas :

• Collecter automatiquement et systématiquement ces données ;
• Pratiquer des enquêtes individuelles pour détecter les risques d’exposition ;
• Obliger les salariés à renseigner quotidiennement leur état de santé à leur hiérarchie (prise de température par exemple) ;
• Faire circuler des formulaires et questionnaires médicaux à tous les salariés.

La chasse aux sorcières n’est donc pas encore ouverte pour la CNIL, laquelle impose aux entreprises de respecter l’équilibre entre prévention de la santé et respect de la vie privée.

L’employeur ne peut donc, au motif d’une crise sanitaire, collecter massivement des données et les traiter comme il l’entend.

Pour les aider, le Gouvernement a créé un espace dédié aux professionnels.

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies accompagne ses clients dans différents domaines du droit, notamment en matière de protection des données à caractère personnel. N’hésitez pas à faire appel à nos experts pour vous conseiller sur ces questions. Contactez-nous ici