Au moment où les entreprises sont confrontés au suivi de leurs salariés, le 6 mars 2020, la CNIL rappelle quelques principes dans le contexte de crise sanitaire liée au coronavirus, particuliers et professionnels s’interrogent sur les mesures à mettre en œuvre aux fins de limiter la propagation du virus, et sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées.
« Les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font en effet l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique. » Cela signifie:
- aucune collecte systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, d’informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches. Il n’est donc pas possible de mettre en œuvre, par exemple;
- Pas de relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ;
- ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents.
Dans ce contexte, l’entreprise peut :
- sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
- faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
- favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
En cas de signalement, un employeur peut consigner :
- la date et l’identité de la personne suspectée d’avoir été exposée ;
- les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).
Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.
Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.
Enfin, pour les visiteurs, agents, salariés, « des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques. »
Frédéric Fournier – Avocat Associé – Redlink