Newsletters
09.11.2020Hélène Lebon

La CNIL publie une synthèse sur les obligations des employeurs sur le traitement des données des salariés dans le cadre de la crise sanitaire

La CNIL a publié récemment une synthèse sur les obligations des employeurs concernant le traitement des données des salariés dans le cadre de la crise sanitaire.

En substance, la CNIL rappelle :

  • les dispositions applicables au regard du Code du travail, mais précise bien qu’il ne lui appartient pas d’interpréter les dispositions du Code du travail. Pour ces aspects, elle renvoie aux informations mises en ligne par la Direction Générale du Travail,
  • que les employeurs ont, conformément au RGPD, le droit de traiter des données personnelles lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales.

La CNIL décline ensuite sa position sur différents types de traitements que les employeurs peuvent être tentés de mettre en œuvre de la crise sanitaire :

1.      L’obligation de sécurité des employeurs

Rappel des obligations des employeurs Les employeurs sont responsables de la santé et de la sécurité de leurs employés/agents conformément au Code du travail et aux textes régissant la fonction publique [1]
En conséquence, l’employeur peut :

 
  • rappeler à ses employés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination, auprès de lui ou des autorités sanitaires compétentes, aux seules fins de lui permettre d’adapter les conditions de travail
  • faciliter la transmission de ces remontées par la mise en place, au besoin, de canaux dédiés et sécurisés
  • favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

 

2.      L’obligation des salariés/agents DU SECTEUR PUBLIC

Rappel des obligations des employés Chaque employé/agent de la fonction publique doit veiller à préserver sa propre santé/sécurité mais également celles des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle [2].
La position de la CNIL Dans un contexte de pandémie, un employé qui travaille au contact d’autres personnes (collègues et public) doit, à chaque fois qu’il a pu exposer une partie de ses collègues au virus, informer son employeur en cas de contamination ou de suspicion de contamination au virus.
Les salariés/agents en télétravail doivent-il informer leur employeur qu’ils ont été contaminés par la Covid 19 ? Un salarié qui est placé en télétravail ou qui travaillerait de manière isolée sans contact avec ses collègues ou du public n’a pas à informer son employeur sur sa contamination (ou suspicion de contamination).

En effet, en l’absence de mise en danger d’autres personnes, les évènements en lien avec une éventuelle exposition, particulièrement un arrêt de travail qui en découlerait, devront être traités conformément à la procédure normale des arrêts de travail.

 

3.      Le traitement par les employeurs des signalements des salariés/agents

Les employeurs peuvent traiter les informations suivantes : informations liées à la date, à l’identité de la personne, au fait qu’elle ait indiqué être contaminée ou suspecter de l’être ainsi que les mesures organisationnelles prises.
En cas de besoin, les employeurs peuvent : communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.
En tout état de cause, l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres employés.

 

4.      Les relevés de température à l’entrée des locaux [3]

Ce que le RGPD interdit : Ce qui ne relève pas du RGPD :
En l’état du droit (notamment de l’article 9 du RGPD), et sauf à ce qu’un texte en prévoit expressément la possibilité, sont ainsi interdits aux employeurs :

  • les relevés de températures des employés ou visiteurs dès lors qu’ils seraient enregistrés dans un traitement automatisé ou dans un registre papier ;
  • les opérations automatisées de captation de température ou au moyen d’outils tels que des caméras thermiques.
 La seule vérification de la température au moyen d’un thermomètre manuel (tel que par exemple de type infrarouge sans contact) à l’entrée d’un site, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée (tels que des relevés de ces températures, ou des remontées d’informations internes ou externes, etc.), ne relève pas de la règlementation en matière de protection des données.

Mais CNIL renvoie aux instructions données par la DGT, qui déconseille ces vérifications, sauf dans certains cas particuliers.

 

5.      La réalisation de tests sérologiques et de questionnaires sur l’état de santé

La CNIL rappelle que :
  • Selon la direction générale du travail : « les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées »
  • Seuls les personnels de santé compétents (notamment la médecine du travail) peuvent :
    • collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des employés/agents contenant des données relatives à leur état de santé ou des informations relatives notamment à leur situation familiale, leurs conditions de vie ou encore, leurs éventuels déplacements
    • procéder à des tests médicaux, sérologiques ou de dépistage du COVID-19 dont les résultats sont soumis au secret médical
  • L’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé
  • Il ne pourra alors traiter que cette seule information, sans autre précision relative à l’état de santé de l’employé, d’une façon analogue au traitement des arrêts de maladie qui n’indiquent pas la pathologie dont l’employé est atteint.

 

6.      Les plans de continuité de l’activité ou « PCA »

Qu’est-ce qu’un PCA ?

Un « plan de continuité de l’activité » permet de maintenir l’activité essentielle de l’organisation en période de crise.
La position de la CNIL
  • Il est possible de créer un fichier pour l’élaboration et la tenue du plan qui ne doit contenir que les données concernant les salariés nécessaires à la réalisation de cet objectif (par ex. un fichier des astreintes),
  • L’employeur doit veiller à assurer en toute hypothèse la sécurité et la confidentialité des données qu’il traite (par ex. : lors de l’envoi des justificatifs de déplacement professionnel qui contiennent des données personnelles et ne doivent être communiquées qu’aux seules personnes individuellement concernées).

 

7.      La réorganisation du travail, notamment via des solutions logicielles

L’employeur est responsable de la santé et de la sécurité de ses salariés et doit prendre des mesures de protection collective

La CNIL rappelle que :
  • si l’employeur a, particulièrement en cette période, une obligation de moyens renforcée, celle-ci est néanmoins circonscrite à l’élaboration de mesures de prévention
  • il appartient uniquement à l’employeur de :
    • prendre des mesures de protection collective :
      • par ex : rappel des mesures barrières et de la distanciation sociale,
      • fourniture des équipements de protection individuelle,
      • fourniture de solution hydro alcoolique, etc.
    • prendre des mesures de protection liées à aux signalements qui lui sont adressés,
    • relayer les messages des autorités sanitaires.
  • il n’est pas possible pour l’employeur d’établir :
    • un diagnostic,
    • une analyse de la vulnérabilité ou
    • toute autre analyse médicale.
L’employeur n’a pas à organiser la collecte de données de santé de l’ensemble des salariés

L’employeur peut prendre des mesures individuelles quand le signalement est effectué par le salarié lui-même lorsque ce dernier a pu:

  • être exposé ou
  • exposer une partie de ses collègues ou
  • du public au virus.

Dans ce cas, l’employeur est notamment :

  • amené à définir une mesure individuelle (ex : télétravail) pendant une courte période, le temps que le salarié concerné prenne contact avec un professionnel de santé, seul en mesure d’agir et de prescrire ou de renouveler un arrêt de travail
Par conséquent, l’employeur n’a pas à systématiser seul l’évaluation du niveau de risque individuel d’exposition au virus COVID-19 de chacun de ses salariés
Seul le service de santé au travail peut proposer des conditions individualisées de travail L’employeur qui souhaiterait aller au-delà de ses obligations en s’assurant de l’état de santé de ses salariés pour mettre en place des conditions individualisées de travail doit nécessairement s’appuyer sur le service de santé au travail[4], seul compétent en la matière
Le service de santé au travail est en principe seul autorisé à traiter les données de santé des salariés, sauf exceptions limitativement énumérées par les textes (exemples : arrêt de travail, déclarations d’accidents du travail comportant le siège et la nature des lésions, déclarations de grossesse).
Tout dispositif de représentation de la vulnérabilité ou du risque d’exposition d’un salarié au COVID-19 (ex. : indicateur chiffré, QR code de couleur, etc.) est une donnée de santé à caractère personnel (article 4-15 du RGPD) : seul le service de santé au travail peut collecter ou accéder à une telle donnée.
De surcroît, il appartient au médecin du travail de proposer des mesures individuelles d’aménagement, d’adaptation ou de transformation du poste de travail ou du temps de travail justifiées par des considérations relatives notamment à l’âge ou à l’état de santé physique ou mental du travailleur[5].

Seule la nature des mesures préconisées a vocation à être transmise à l’employeur.

Le rôle de l’employeur consiste alors à appliquer ces mesures.

 

[1] Articles L. 4121-1 et R. 4422-1 du Code du travail ou le décret n°82-453 du 28 mai 1982 modifié. À ce titre, il leur appartient de mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, ainsi qu’une organisation du travail et des moyens adaptés aux conditions de travail.

[2] Article L.4122-1 du Code du travail

[3] Dans une démarche de prévention des contaminations visant à écarter du milieu de travail des employés qui auraient de la fièvre, certains employeurs souhaitent mettre en place un contrôle systématique de la température des employés et visiteurs à l’entrée de leurs locaux.

 

Bien qu’il n’appartienne pas à la CNIL d’apprécier la légalité au regard du droit social de ce qu’un employeur peut imposer à ses employés ni de ce qui relève d’une éventuelle discrimination, elle relève que l’efficacité et l’opportunité de la prise de température est contestée dans la mesure où elle n’est pas un symptôme systématique du COVID-19, ou peut témoigner d’une autre infection. Elle constate à cet égard que le Haut Conseil de la Santé Publique recommande de ne pas mettre en place un dépistage du COVID-19 par prise de température dans la population.

[4] La CNIL rappelle que le rôle du service de santé au travail a été précisé au regard de la situation sanitaire actuelle (décret n° 2020-549 du 11 mai 2020).

[5] Article L. 4624-3 du Code du travail