Avec cette situation de crise sanitaire qui touche la planète, beaucoup s’interrogent sur les mesures à mettre en œuvre aux fins de limiter la propagation du virus, et sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées.
La CNIL a donc publié un billet pour rappeler quelques principes.
Ce qu’il ne faut pas faire
Si chacun doit mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect de mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font en effet l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique.
Par exemple, les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches.
Ce qu’il est possible de faire
L’employeur est responsable de la santé et de la sécurité des salariés/agents conformément au Code du travail et des textes régissant la fonction publique (particulièrement l’article L. 4121-1 du Code du travail). Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés.
Dans ce contexte, l’employeur peut :
- sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
- faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
- favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
En cas de signalement, un employeur peut consigner :
- la date et l’identité de la personne suspectée d’avoir été exposée ;
- les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).
Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.
Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.
Plus d’infos : https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles
