Tripalio

La CNIL fait le point sur la collecte des données de santé des salariés | Tripalio
jo : Coronavirus : les 9 membres du comité de contrôle et de liaison       bocc : Revalorisation des salaires dans la convention collective des télécommunications       bocc : Les prestataires de services du tertiaire mettent à jour les salaires       bocc : Les prestataires de services du tertiaire s'accordent sur le paritarisme       bocc : Les nouveaux salaires dans la branche de la pharmacie d'officine       bocc : Un accord sur les frais d'équipement dans la pharmacie d'officine       bocc : Révision des salaires dans la branche de la promotion immobilière       bocc : La branche de la miroiterie et de la transformation du verre révise les salaires       jo : L'administration des institutions de prévoyance et groupes de protection sociale adaptée au confinement       jo : La CCN des employés et cadres des agences de presse est étendue       jo : Arrêté d'extension d'un accord à la CCN de la fabrication mécanique du verre       jo : Arrêté d'extension d'un avenant dans les commerces de détail non alimentaires       jo : Arrêté d'extension d'un avenant à la convention collective des casinos       jo : Arrêté d'extension d'un accord à la convention collective du caoutchouc       bocc : L'avenant "congés payés" et coronavirus de l'immobilier paraît officiellement       bocc : Coronavirus : le secteur de la miroiterie se mobilise sur les congés payés       jo : Arrêté d'extension d'un avenant à la CCN des cabinets dentaires       jo : Arrêté d'extension d'un avenant à la CCN du personnel des cabinets médicaux       bocc : La bijouterie s'est aussi accordée sur les congés payés pendant le coronavirus       jo : Extension d'un avenant à un accord dans la bijouterie, joaillerie, orfèvrerie      

La CNIL fait le point sur la collecte des données de santé des salariés

Revue de presse | Par GUITTET Léo | 14/05/2020 11:31

Pour tout article payant consulté, vous vous engagez à respecter les conditions générales d'utilisation, consultables ici

Cet article est issu du site du syndicat de salariés CFDT.

La nécessité d’éviter la 2è vague épidémique au retour des salariés à leur poste de travail ne serait conduire à un contrôle numérique et panoptique de leur santé et de leur vie personnelle par l’employeur. C’est en filigrane l’esprit du communiqué de la Cnil en date du 7 mai 2020, rappelant les obligations de l’employeur en la matière. (1) 

  • L’obligation de santé et de sécurité de l’employeur ne lui confère pas un pouvoir illimité de collecte des données des salariés

Trivialement, les employeurs sont responsables de la santé et de la sécurité des salariés, comme en dispose le Code du travail (2). Pour ce faire, ils sont en droit de collecter les données personnelles de leurs subordonnés à condition que la finalité soit licite (en l’occurrence, pour éviter des contaminations), les mesures proportionnées (ne portant pas de restrictions excessives aux libertés des travailleurs) et dans le respect des obligations légales.  

Ainsi selon la Cnil, est-il légitime pour (notamment) : 

  • rappeler aux salariés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information, en cas de contamination ou de suspicion de contamination, auprès de lui ou des autorités sanitaires compétentes, aux seules fins de lui permettre d’adapter les conditions de travail ;
  • faciliter leur transmission par la mise en place, au besoin, de canaux dédiés et sécurisés.

En revanche, un salarié qui serait placé en télétravail sans contact avec ses collègues ou avec du public n’a pas le devoir de faire remonter ce type d’information à son employeur ! 

Stop à l’application généralisée de l’appli « STOP-COVID » ! 

Plus prospectivement, le devoir du salarié de protéger sa santé et celle de ses collègues (3) ne saurait à l’avenir l’obliger à utiliser l’application STOP-COVID (pour un déploiement prévu début juin par le Gouvernement) en cas de reprise du travail dans l’entreprise.  

En effet, conformément aux avis de la Cnil (4) et du Cnnum (5), « les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application ». 

S’alignant sur la position de la Cnil, le Cnnum alerte sur les dangers d’un « “volontariat” potentiellement contraint » en énonçant également que le refus d’utiliser l’application ne doit entraîner aucune conséquence. 

A la CFDT, nous relevons également que l’utilisation généralisée de cette application pourrait générer des effets délétères dans le rapport de travail, comme la discrimination des personnes considérées vulnérables ou des personnes suspectées de contamination ou encore la stigmatisation des salariés qui ne l’utiliseraient pas. 

  • Ne peuvent être collectées que les données strictement nécessaires à l’objectif de préservation de la santé des travailleurs

Conformément au principe de minimisation des données (6), selon la Cnil, seuls peuvent être traités par l’employeur (c’est-à-dire demandés et conservés) « les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiquée être contaminée ou suspectée de l’être ainsi que les mesures organisationnelles prises ». Pour autant, l’identité de la personne susceptible d’être infectée ne saurait être communiquée aux autres salariés ! En cas de besoin, elle pourra l’être auprès des autorités sanitaires compétentes, comme la médecine du travail.  

  • D’autant plus si ce sont des données personnelles de santé !

Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne (7). Par exemple, un numéro ou symbole attribué à une personne pour l’identifier à des fins de santé, une substance corporelle, des données génétiques, un handicap, la température d’une personne, les antécédents médicaux, un traitement clinique ou médical... 

Rappelons que l’employeur ne saurait prendre des mesures susceptibles de porter une atteinte disproportionnée à la vie personnelle du travailleur, notamment par la collecte de ses données de santé qui iraient au-delà d’une suspicion d’exposition au virus. Cette collecte devrait être en tout état de cause « justifiée par la nature de la tâche à accomplir ni proportionnée au but recherché » comme le conditionne le Code du travail (8). 

En outre, à raison du caractère sensible que de telles données revêtent, la Cnil rappelle que « les données relatives à l’état de santé d’une personne font l’objet d’une protection juridique toute particulière : elles sont en principe interdites de traitement ». 

Les exceptions mobilisables dans le contexte de travail sont ainsi limitées à :  

  • la nécessité, pour l’employeur, de traiter ces données afin de satisfaire ses obligations en droit du travail ou droit de la sécurité sociale : c’est le cas du traitement des signalements par les salariés (9) ;
  • la nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine du travail, de l’appréciation (sanitaire) de la capacité du travailleur, de diagnostic médicaux... (10).

En conséquence, les employeurs doivent s’appuyer sur les services de santé au travail s’ils initient d’éventuelles démarches visant à s’assurer de l’état de santé des salariés, sans quoi le traitement sera entaché d’illicéité. (11) 

  • Des relevés de température à l’entrée des locaux strictement encadrées

Conformément au RGPD (12), sauf à ce qu’un texte à l’avenir en prévoie expressément la possibilité, sont interdits, pour l’employeur

  • les relevés de température des salariés ou des visiteurs, dès lors qu’ils seraient enregistrés par un traitement automatisé (par informatique ou une application) ou dans un registre papier ;
  • les opérations automatisées de captation des températures - ou aux moyens d’outils tels que les caméras thermiques ;
  • les campagnes de dépistage pour les salariés de l’entreprise (13).

En somme, les employeurs ne peuvent constituer des fichiers conservant les données de températures de leurs salariés. S’ils le faisaient malgré tout, cela constituerait une violation du droit des salariés sur leurs données personnelles. 

Ces interdictions ne s’appliquant cependant qu’au traitement de données automatisées (via un dispositif numérique, ordinateur, caméra...) ou aux traitements qui permettent la constitution de fichiers (sous format papier par exemple), une certaine marge de manœuvre est laissée à l’employeur. 

Il dispose en effet de la possibilité de vérifier la température de ses salariés au moyen d’un thermomètre manuel à l’entrée d’un site à condition qu’aucune trace ne soit conservée, ni qu’aucune opération ne soit effectuée (tels que des relevés de ces températures, des remontées d’informations). 

La DGT déconseille toutefois ces vérifications (13), lesquelles ne devraient être réservées qu’à des cas particuliers et en respectant la législation du travail (information préalable des salariés, être proportionnée à l’objectif poursuivi, en informer le CSE ainsi que l’inspection du travail).  

En cas de traitement ou de collecte illicite de données personnelles de santé, l’employeur s’expose à une action en justice du salarié devant le Conseil de prudhommes, mais également à la possibilité que ce dernier saisisse la Cnil. Dans ce cadre, la Commission pourra notamment contrôler la pertinence et la proportionnalité des données collectées, ou encore mettre en demeure, sanctionner pécuniairement tout traitement ou procédé contraire aux droits des données personnelles. Serait alors passible d’une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % de son chiffre d’affaire, l’entreprise violant les règles susvisées et ne respectant pas l’injonction émise par la Cnil. (14) 

Du reste, seul le personnel de santé compétent (notamment la médecine du travail) peut collecter et accéder à d’éventuels fichiers de santé ou questionnaires médicaux du personnel de l’entreprise. Il en est de même pour les tests médicaux, sérologiques ou de dépistage du Covid-19, dont les résultats sont soumis au secret médical. Somme toute, l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé. 

Au final, le rappel de la Cnil est proprement salutaire : il n’est pas question, on le voit bien, de construire un « après » où la protection de nos données personnelles serait sacrifiée sur l’autel de la crise sanitaire ! 

 

(1) https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles-par-les 

(2) L.4121-1 et Art. R.4422-1 C.trav. 

(3) L.4122-1 C.trav. 

(4) CNIL, Délibération n° 2020-046, 24.04.20, portant avis sur un projet d’application mobile dénommée « StopCovid » 

(5) CNNum, Avis « StopCovid », 24.04.20. 

(6) RGPD. (UE) 2016/679. 

(7) https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante 

(8) Art. L.1121-1 C.trav. 

(9) Loi n° 78-17. 06.01.78 relative à l'informatique, aux fichiers et aux libertés. 

(10) Loi n° 78-17. 06.01.78 relative à l'informatique, aux fichiers et aux libertés. 

(11) Loi n° 2020-290, 23.03.20 d'urgence pour faire face à l'épidémie de covid-19 

(12) RGPD. (UE) 2016/679. 

(13) https://travail-emploi.gouv.fr/IMG/pdf/protocole-national-de-deconfinement.pdf 

(14) Art. 21, Loi n° 78-17. 06.01.78 relative à l'informatique, aux fichiers et aux libertés. 

0 commentaires

Connectez-vous afin de commenter cet article.

Back to Top