Recevez chaque jour toute l'actualité du numérique

x

Le Covid-19 ne justifie pas d'amoindrir la protection des données de santé, explique l'avocate Ariane Mole

Entretien La pandémie de maladie à coronavirus Covid-19 ne suspend pas l'application des règles de droit, notamment en matière de collecte de données de santé. Ariane Mole, avocate associée du cabinet Bird & Bird en charge de l'activité data protection le rappelle dans l'interview qu'elle nous a accordée.
Twitter Facebook Linkedin Flipboard Email
×

Le Covid-19 ne justifie pas d'amoindrir la protection des données de santé, explique l'avocate Ariane Mole
La situation d'épidémie n'autorise pas les entreprises à faire n'importe quoi en matière de collecte de données. © Bird & Bird

L'Usine Digitale : Les entreprises ont-elles le droit de collecter des données de santé à propos de leurs salariés ?
Ariane Mole : La collecte de données personnelles de santé est réglementée par le RGPD et par la loi informatique et libertés sous le contrôle de la Cnil. Ce sont des données sensibles qui font l’objet d’une protection spécifique : les textes posent un principe d'interdiction de collecte de ces données sauf pour une liste d'exceptions. Dans le cadre professionnel, c’est le médecin du travail qui est habilité à collecter ces données, protégées par le secret médical. Le traitement des données personnelles de santé est donc réservé aux professionnels de santé tenus au secret professionnel et ne peut pas être effectué par l’employeur, par exemple par la direction des ressources humaines.

La situation actuelle pandémie de Covid-19 ne justifie pas une exception ?
La Cnil a rappelé sur son site le 6 mars 2020 que les employeurs doivent s'abstenir de collecter des données de santé sur leurs salariés, même dans le contexte actuel de pandémie. La Cnil indique avoir été saisie à ce sujet par des employeurs mais aussi par des salariés qui voulaient connaître les règles applicables.

Dans ses guidelines, la Cnil précise qu'une entreprise ne peut pas diffuser de questionnaires auprès de ses salariés pour leur demander par exemple quel est leur état de santé, ou si eux-mêmes ou un de leur proche présente des symptômes, ou encore exiger d'eux qu'ils communiquent des releves de leur température.

En revanche, l’employeur dans la mesure ou il est responsable de la santé et de la sécurité de ses salariés, doit mettre en place des actions de prévention, c’est à dire par exemple des mesures d’information sur les gestes de précaution à prendre, mettre en place un plan de continuité, des mesures de télétravail... Si un salarié informe l’employeur qu'il présente des symptômes ou qu'il a été en contact avec des personnes atteintes du Covid-19, la Cnil indique que l’employeur peut alors consigner la date et l’identité de la personne suspectée d’avoir été exposée, et les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail...).

Est-ce une exception française ?
L'équivalent de la Cnil italienne a publié des recommandations très proches en rappelant les règles prévalant en Italie. D’autres autorités de protection des données personnelles dans l’Union Européenne ont formulé des recommandations du même ordre, par exemple au Luxembourg, en Hongrie, au Danemark, en Finlande, mais avec toutefois des nuances qui tiennent aux différences de législations, de cultures, et d’organisations des systèmes de santé.

Les entreprises doivent en effet faire attention à l’existence d'autres règles dans d'autres pays, y compris en Europe, et a fortiori hors d’Europe. Le RGPD prévoit que les règles concernant la collecte et le traitement des données de santé peuvent être fixées par chaque État-membre de l’Union Européenne, par conséquent les législations peuvent être différentes.

En outre, les filiales françaises d'entreprises internationales doivent faire attention à ne pas appliquer telles quelles des instructions qui leur viendraient de leur maison mère, par exemple des Etats-Unis ou de la Chine, et qui consisteraient justement à diffuser des questionnaires d’enquête sur la santé de leurs salariés, dont la Cnil vient de rappeler qu’ils seraient contraires aux règles de protection des données personnelles. Le droit n'est pas le même et les mesures doivent être adaptées en application du droit de chaque pays.

Mais l'entreprise doit agir même si elle ne peut pas collecter de données ?
La Cnil rappelle que conformément aux dispositions du code du travail, chaque salarié doit prendre soin a la fois de sa santé et de celles des autres. il doit donc signaler à son employeur s'il pense qu'il y a un risque, et ce dans les conditions prévues dans le règlement intérieur. Une fois le signalement fait, l'employeur peut consigner comme indiqué ci-dessus le nom du salarié, la date du signalement et les mesures que l'employeur a prises en conséquence. Ce qui est interdit c'est de consigner le détail des informations sur la santé d'un ou de plusieurs salariés. L’employeur es également tenu a une obligation de discrétion sur l’état de santé d’un salarié une fois qu'un problème lui a été signalé.


L'employeur peut-il exiger des données sur les déplacements privés des salariés au cours des derniers mois ?
L'employeur a des obligations pour prendre des mesures de protection des salariés mais dans le cadre légal. Les mesures doivent être proportionnées et conformes aux obligations légales, c’est une des difficultés en l’espèce. L'employeur peut prendre des mesures de prévention, communiquer sur  les mesures à prendre, suggérer aux salariés de prévenir l’employeur si des symptômes surviennent ou s’ils se sont rendus dans un pays à risque et leur demander de télétravailler à leur retour, il peut aussi interdire les voyages professionnels.

Si je comprends bien, l'employeur ne peut pas faire un fichier où il noterait les gens malades ou susceptibles de l'être mais il peut tenir un registre des personnes qui télétravaillent pour des raisons sanitaires ?
C'est une nuance très importante. Encore une fois, constituer un fichier avec des données médicales est interdit et pourrait en principe exposer à des sanctions, notamment maintenant que la Cnil a rappelé les interdictions. L’employeur n’est pas un professionnel de santé et ne peut se substituer à lui. Mais la situation est difficile et appelle aussi une forme de compréhension de la part de la Cnil et des autorités quant à l’appréciation de la proportionnalité des mesures mises en œuvre par les entreprises à des fins de protection des salariés.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media