Publications

Quelles obligations pour le traitement des données personnelles dans le cadre de la reprise d’activité ?

Publié le 12 juin 2020
businessman-dans-les-escaliers-du-metro

La reprise progressive d’activité vers une situation stabilisée pose de nombreuses problématiques notamment pour la préservation de la santé et la sécurité des salariés. Dans ce cadre, plusieurs traitements de données personnelles vont être mis en place dans les entreprises, par exemple des fichiers Excel pour la gestion de la reprise alternée sur chaque site de l’entreprise, le renforcement du suivi du temps de travail pour la gestion du chômage partiel et autres…   Tous ces traitements de données personnelles de salariés, bien que mis en place dans un contexte de crise sanitaire, doivent respecter les principes de protection des données personnelles. La CNIL a d’ailleurs fait un rappel à ce sujet le 7 mai dernier. Pour garantir la conformité de ces nouveaux traitements de données personnelles, les entreprises doivent être vigilantes sur les données traitées, les destinataires de ces données notamment pour les données de santé, mais aussi et avant tout sur la licéité des opérations envisagées ou réalisées.

1) La vérification de la licéité des nouveaux traitements

La licéité des nouveaux traitements liés au Covid-19 :  avant de mettre en œuvre une nouvelle collecte des données, il faut vérifier que l’opération n’est pas interdite. A ce titre, la CNIL a rappelé qu’il est interdit de constituer des fichiers conservant des données de températures des collaborateurs. Il est de même interdit de mettre en place des outils de captation automatique de température telles que des caméras thermiques. En revanche, les prises manuelles de température à l’entrée des locaux (par exemple de type infrarouge sans contact) sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée (tels que des relevés de ces températures, ou des remontées d’informations internes ou externes, etc.) ne sont pas interdites mais doivent tout de même être en conformité avec le RGPD. De telles pratiques sont toutefois déconseillées par la Direction Général du Travail.

2) Le respect des principes fondamentaux de protection des données

 Le principe de minimisation : ce principe impose à l’employeur de ne traiter que les données strictement nécessaires à la finalité pour laquelle elles ont été collectées. C’est pourquoi seules peuvent être traitées par l’employeur les données liées à la date, à l’identité du collaborateur, au fait qu’il ait indiqué être contaminé ou suspecter de l’être ainsi que les mesures organisationnelles prises. Les informations sans lien avec la suspicion ne doivent en aucun cas être collectées. Par exemple, il est inopportun pour l’employeur de collecter directement les informations sur les comorbidités des collaborateurs pour identifier les collaborateurs les plus exposés.

L’employeur peut créer un fichier nominatif pour l’élaboration et la tenue du plan de continuité de l’activité qui ne doit contenir que les données nécessaires à la réalisation de cette finalité. Il est donc important d’indiquer en amont aux collaborateurs dans le cadre d’une communication générale la liste exhaustive et minimale des informations qu’ils doivent communiquer si tel est le cas afin d’éviter que, de leur propre initiative, ils ne communiquent trop d’informations.

La confidentialité et la sécurité des données :  à aucun moment, l’identité du collaborateur susceptible d’être infecté ne doit être communiquée aux autres collaborateurs. Des mesures de sécurité et de limitation des accès à cette information doivent donc être mises en place. Il faut par exemple préciser aux collaborateurs que si la situation se présente, ils doivent limiter au maximum le nombre de personnes à mettre en copie de l’email d’informations ou privilégier un canal direct de transmission de l’information au sein de l’entreprise. Par ailleurs, l’employeur doit envoyer individuellement à chaque collaborateur concerné les éventuels justificatifs de déplacement professionnel, ce qui implique une interdiction des mails groupés.

Les destinataires des données : la CNIL a rappelé dans son communiqué l’interdiction de communiquer des données de santé aux personnes autres que la médecine du travail en précisant que seuls les personnels de santé compétents (notamment la médecine du travail) peuvent collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des collaborateurs contenant des données relatives à leur état de santé ou des informations relatives notamment à leur situation familiale, leurs conditions de vie ou encore, leurs éventuels déplacements.  Il en va de même pour les tests médicaux, sérologiques ou de dépistage du COVID-19 dont les résultats sont soumis au secret médical : l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé. Il ne pourra alors traiter que cette seule information, sans autre précision relative à l’état de santé de l’employé, d’une façon analogue au traitement des arrêts de maladie qui n’indiquent pas la pathologie dont l’employé est atteint.

La formalisation des nouveaux traitements : tous les nouveaux traitements qui ne seront pas occasionnels doivent être inscrits au registre des traitements et si les conditions sont remplies faire l’objet au préalable d’une analyse d’impact sur la vie privée. Une durée de conservation très limitée doit également être définie pour l’ensemble des données collectées. Si le nouveau traitement mis en place se fait par l’intermédiaire d’un prestataire, il faut penser même dans l’urgence à inclure une clause de protection des données personnelles conforme dans le contrat. Pour le cas des prestataires médicaux qui peuvent être amenés à collecter des données de santé ou des données sensibles, tels que les laboratoires d’analyses médicales ou les plateformes de mise à disposition d’infirmières médicales, le contrat doit par exemple interdire le partage ou la communication de certaines données entre le laboratoire et l’entreprise.

Il est donc important d’associer le DPO externe ou interne à tous ces nouveaux traitements et de recueillir au préalable ses recommandations.

Par Bernadette Dolly Kouetha