Prestation ajoutée au panier Aucune prestation n'a été sélectionnée. Continuer mes achats Valider mon panier Ajouter au panier Mon panier (0) (1)
prestations
Mon compte Connexion / Création compte Information < Retour aux offres Annuler Fermer Valider

Articles & Actualités

Juridique

Covid-19 - Les impacts en matière de protection des données personnelles

25/03/2020

Fabrice Naftalski, Sophie Revol

Dans le contexte de crise sanitaire liée au virus Covid-19, les entreprises sont conduites à réaliser des données de salariés et clients et, notamment, des traitements de données relatives à la santé. Ces traitements de données sont soumis à la réglementation en matière de protection des données, notamment le Règlement général sur la protection des données (RGPD)[1] et la législation interne[2].

Les entreprises sont-elles autorisées à collecter des données de santé en lien avec le Covid-19 ?

Les données relatives au recensement d'une contamination ou de symptômes constituent des données de santé dont le traitement est par principe interdit (article 9 du RGPD).

Le RGPD prévoit des dérogations, par exemple lorsque le traitement est nécessaire pour des raisons d'intérêt public dans le domaine de la santé publique, pour protéger des intérêts vitaux ou pour se conformer à une obligation légale.

Les autorités de contrôle européennes en matière de protection des données ont formulé des directives concernant les traitements de données en lien avec le Covid-19 au niveau local.

En France, la Commission Nationale Informatique et Libertés (« CNIL ») rappelle que les employeurs doivent respecter le principe de minimisation des données et qu'ils ne peuvent collecter des données de santé qui iraient au-delà de « la gestion des suspicions d'exposition au virus »[3].

Les employeurs doivent s'abstenir de collecter de manière systématique et généralisée des informations relatives à la recherches d'éventuels symptômes présentés par un employé ou ses proches. Ainsi, les employeurs ne peuvent pas mettre en œuvre des relevés obligatoires des températures corporelles de chaque employé ou faire circuler des questionnaires médicaux auprès de l'ensemble des employés.

Quelles mesures peuvent être prises par les entreprises en cas de signalement ?

En cas de signalement, la CNIL indique que les entreprises peuvent notamment :

- consigner la date et l'identité de la personne suspectée d'avoir été exposée et les mesures organisationnelles prises (confinement, télétravail, prise de contact avec le médecin du travail, etc.). Ces données pourront être transmises aux autorités sanitaires compétentes.

- établir un « plan de continuité de l'activité » (PCA), afin de maintenir l'activité essentielle de la société tout en assurant la sécurité des employés.

Les entreprises peuvent-elles révéler qu'un employé est potentiellement infecté par le Covid-19 aux autres employés ?

L'employeur est responsable de la santé et de la sécurité de ses salariés/agents, conformément à l'article L. 4121-1 du code du travail. A ce titre, en cas de signalement d'un employé d'une éventuelle exposition au virus, le site internet du ministère du Travail indique que l'employeur doit informer les autres salariés d'un cas possible d'infection, afin « qu'ils soient vigilants à l'apparition éventuelle de symptômes et qu'ils restent à domicile si c'est le cas », sans mentionner le nom de l'employé concerné.

Quelles mesures peuvent être mises en place en matière de protection des données personnelles ?

En vertu du principe d' « accountability », les entreprises doivent mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Ainsi, les entreprises peuvent notamment :

- compléter le registre des traitements, en créant une fiche spécifique ;

- réaliser le cas échéant une analyse d'impact sur la protection des données (« AIPD ») ;

tenir les fichiers de suivi à disposition des autorités sanitaires, en limitant l'accès en interne ;

- diffuser une communication spécifique aux personnes concernées ;

- sécuriser les données collectées.


[1] Règlement (UE) général sur la protection des données 2016/679

[2] Notamment la législation en droit du travail, les actes réglementaires ainsi que la doctrine de la CNIL en matière de données de santé

[3] CNIL, Les rappels de la CNIL sur la collecte de données personnelles

Les expertises qui pourraient vous intéresser

LES eSERVICES QUI POURRAIENT VOUS INTÉRESSER