L’épidémie de Covid-19, entre obligation de l’employeur de protéger ses salariés et respect de la protection des données de santé à caractère personnel
Dans le contexte épidémique actuel, les employeurs doivent protéger leurs employés mais ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de leur vie privée, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus.
Savant dosage donc à l’heure du confinement décidé par les Pouvoirs Publics.
Dans ce contexte, la CNIL indique dans ses recommandations que « les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquête et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches ».
Dès lors, la CNIL interdit la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents.
Cependant, et dans la mesure où l’employeur est responsable de la santé et la sécurité de ses salariés et agents (conformément à l’article L. 4121-1 du code du travail), la CNIL confirme qu’il est possible de :
sensibiliser et inviter les employés à effectuer des remontées individuelles d’informations les concernant en lien avec une éventuelle exposition auprès de l’employeur lui-même, ou des autorités sanitaires ;
mettre en place un canal dédié pour faciliter la transmission de ces informations ;
consigner dans un fichier la date et l’identité de la personne suspectée d’avoir été exposée se présentant ainsi à l’employeur, ainsi que les mesures organisationnelles prises pour minimiser le risque de contagion (confinement, télétravail, prise de contact avec le médecin du travail…).
Dans ces conditions, il ne serait donc pas possible pour un employeur d’exiger un contrôle des salariés employés et visiteurs en collectant de façon systématique les données de santé à caractère personnel relatives à ces personnes.
Néanmoins, il est possible :
(i) d’informer par le biais de poster les visiteurs et salariés entrant dans les bâtiments de l’épidémie, des symptômes du Covid-19 et des conditions dans lesquelles le virus se transmet ;
(ii) de les inviter à prendre contact au plus vite en cas de suspicion de contagion ou de symptômes avec une personne de l’organisation dédiée à cette situation ;
(iii) de créer un fichier comportant les seules données d’identification de cette personne et les mesures organisationnelles prises à son encontre et la date de collecte de ces données.
A ce titre la personne dont les données sont consignées au sein de ce fichier devra bien sûr être informée de l’ensemble des éléments listés à l’article 13 du RGPD par le biais, par exemple, d’une notice d’information. Le traitement semblant ainsi se fonder sur l’obligation légale à la charge de l’employeur de préserver la sécurité et la santé de ses salariés et agents (article 6,2,c du RGPD), le traitement des données de santé étant possible du fait de la poursuite par l’employeur d’un intérêt public sanitaire (article 9,2,g).