Dans ses missions de DPO, PiaLab assure ses missions de communication et d’information des responsables de traitement pour lesquels elle est missionnée. Quand ses communications revêtent un caractère d’intérêt général et qui plus est quand elles sont fondées sur des informations déjà publiques, nous les publions ici.

Introduction, contexte

La crise sanitaire liée à la CoViD-19 amène particuliers et professionnels à s’interroger sur les mesures à mettre en œuvre aux fins de limiter la propagation du virus et d’assurer en toute sécurité la reprise de l’activité, ainsi que sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées. La CNIL a rappelé certains principes et conseils le 23 septembre 2020, et nous nous appuyons sur ces derniers pour le présent document.

Nous prenons ici le parti de limiter le périmètre au secteur privé.

Limitation de responsabilité : les propos ici présentés n’engagent en aucune manière la responsabilité de PiaLab, qui ne saurait être mis en cause pour quelque conséquence que ce soit.

Les principes généraux à suivre

Principe de responsabilité en matière de sécurité générale, et en matière de santé en particulier :

Les employeurs

Les employeurs sont responsables de la santé de leurs employés (Art. L. 4121-1 et R. 4422-1 du Code du travail). À ce titre ils sont notamment légitimes à :

  • à rappeler à leurs employés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination, auprès d’eux ou des autorités sanitaires compétentes, aux seules fins de leur permettre d’adapter les conditions de travail ;
  • à faciliter leur transmission par la mise en place, au besoin, de canaux dédiés et sécurisés ;
  • à favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

Les employés

Pour sa part et en « contre-partie », chaque employé doit veiller à préserver sa propre santé/sécurité mais également celles des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle (article L.4122-1 du Code du travail).

En temps normal, en cas de maladie, l’employé communique ses seuls éventuels arrêts de travail à son employeur, sans avoir à mentionner les raisons de ces derniers. Cependant, dans le contexte épidémique actuel, l’employé doit, à chaque fois qu’il a pu exposer au virus une partie de ses collègues ou des personnes auxquelles il est en contact dans le cadre de ses fonctions, informer son employeur en cas de contamination ou de suspicion de contamination à la CoViD-19. Dans tous les autres cas, aucune information à l’employeur n’est nécessaire.

Traiter des signalements par les employeurs

Lors de la remontée de signalement par les employés, les employeurs ne sauraient ainsi traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales et conventionnelles, c’est-à-dire nécessaires pour prendre des mesures organisationnelles (mise en télétravail, orientation vers le médecin du travail, etc.), de formation et d’information, ainsi que certaines actions de prévention des risques professionnels.

En terme de données, seules peuvent être traitées par l’employeur la date, l’identité de la personne, le fait qu’elle ait indiqué être contaminée ou suspecter de l’être ainsi que les mesures organisationnelles prises.

Les employeurs seront en mesure de communiquer aux autorités sanitaires qui en ont la compétence lorsque cela sera nécessaire (sur demande), les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée. En tout état de cause, l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres employés.

Les mesures en rapport à la santé

Les employeurs doivent mettre en place les mesures nécessaire pour préserver la santé de leurs salariés et d’autrui (gestes barrière, télétravail…). Cependant toute mesure disproportionnée doit être évitée, en particulier lorsqu’elle amène à la collecte de données de santé allant au-delà des signalements précédemment cités. Les données de santé sont en principe interdites de traitement.

Le rôle de la Médecine du Travail

Pour ces raisons, les employeurs qui voudraient initier d’éventuelles démarches visant à s’assurer de l’état de santé de leurs employés doivent s’appuyer sur les services de santé au travail dont c’est la compétence et qui sont au cœur de la gestion de la crise sanitaire. Ils ne peuvent eux-mêmes mettre en place des fichiers relatifs à la température corporelle de leurs employés ou à certaines pathologies (les « comorbidités ») susceptibles de constituer des troubles aggravants en cas d’infection au CoViD-19 (« comorbidités »).

Les prises de température corporelle

La réglementation sur les données de santé se limitant aux traitements informatisés ou à la constitution de fichiers, la prise de température corporelle sans qu’aucune trace ne soit conservée ne relève donc pas de la réglementation sur la protection des données, mais n’est pour autant pas recommandée par le Haut Conseil de la Santé Publique. Nous notons que l’utilisation d’une caméra thermique est considérée comme un traitement informatisé, et que seuls les thermomètres manuels peuvent être mis en œuvre.

D’autres initiatives (questionnaires, tests sérologiques)

Les campagnes de dépistage organisées par les employeurs ne sont pas autorisées (source: Direction Générale du Travail).

Les informations sur l’état de santé, les conditions de vie, les déplacements… ne peuvent être accédées que par des personnels de santé compétents, et ce qu’il s’agisse de dossiers médicaux, de fiches, de questionnaires ou autre.

Les résultats des tests médicaux, dont les tests PCR, tests sérologiques, etc. sont des données de santé soumises au secret médical. Les employeurs ne peuvent alors traiter que l’état d’aptitude ou d’inaptitude à reprendre ou poursuivre le travail.

Seules des mesures collectives, rien d’individuel

Les employeurs doivent prendre des mesures collectives pour assurer la santé des salariés. Seul le service de santé au travail peut proposées des conditions de travail individualisées, que l’employeur sera alors amené à appliquer.

Les mesures en rapport à la sécurité des traitements de données à caractère personnel.

Travail à distance

Des modalités de télétravail devraient être envisagées avec les partenaires sociaux et déployées, permettant aux travailleurs de limiter les contacts physiques et donc les risques sur leur santé.

Sécurité des traitements

Avec des employés à l’isolement ou en arrêt, des situations de télétravail mises en place souvent de manière accélérée, la question de la sécurité des traitements requiert une attention particulière. France Inter écrivait le 5 mai 2020 que « avec le confinement, les attaques ont augmenté de 30 000 %« , soit 300 fois plus d’attaques sur la période. Avec une surface de contact aux risques accrue de manière vertigineuse, avec des processus métiers mis en tension pour cause de situation exceptionnelle, des procédures souvent totalement nouvelles et non évaluées, la sécurité des traitements doit rester au cœur des esprits, car rajouter une crise à la crise est bien le pire des scenarii redoutés.

Continuité de l’activité

Le contexte du télétravail, d’arrêts de travail ou de chômage partiel à grande échelle doit amener les organisations à déployer leurs plans de continuité d’activité et à en éprouver les forces et les faiblesses. Autrement dit, pour beaucoup d’organisation, la période a pu démontrer à quel point une gestion « managée » des processus est nécessaire… et qui dit processus dit souvent traitement de données à caractère personnel. Un tel plan a pour objectif de maintenir l’activité essentielle de l’organisation en période de crise.

Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service. Il est alors possible de créer un fichier nominatif pour l’élaboration et la tenue du plan qui ne doit contenir que les données nécessaires à la réalisation de cet objectif.

Besoin d’un accompagnement ?

Besoin d’être accompagnés dans la continuité de vos activités numériques (ISO27031), dans la protection des données (RGPD), dans la mise en place d’un système de management au cœur de votre organisation (ISO27001, ISO27701, ISAE3402…) ? Prenez contact avec PiaLab !