Déconfinement 2.0 : la Cnil rappelle les limites au pouvoir de collecter les données de santé des travailleurs

Publié le 13/05/2020

La nécessité d’éviter la 2è vague épidémique au retour des salariés à leur poste de travail ne serait conduire à un contrôle numérique et panoptique de leur santé et de leur vie personnelle par l’employeur. C’est en filigrane l’esprit du communiqué de la Cnil en date du 7 mai 2020, rappelant les obligations de l’employeur en la matière. (1)

  • L’obligation de santé et de sécurité de l’employeur ne lui confère pas un pouvoir illimité de collecte des données des salariés

Trivialement, les employeurs sont responsables de la santé et de la sécurité des salariés, comme en dispose le Code du travail (2). Pour ce faire, ils sont en droit de collecter les données personnelles de leurs subordonnés à condition que la finalité soit licite (en l’occurrence, pour éviter des contaminations), les mesures proportionnées (ne portant pas de restrictions excessives aux libertés des travailleurs) et dans le respect des obligations légales.  

Ainsi selon la Cnil, est-il légitime pour (notamment) :

  • rappeler aux salariés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information, en cas de contamination ou de suspicion de contamination, auprès de lui ou des autorités sanitaires compétentes, aux seules fins de lui permettre d’adapter les conditions de travail ;
  • faciliter leur transmission par la mise en place, au besoin, de canaux dédiés et sécurisés.

En revanche, un salarié qui serait placé en télétravail sans contact avec ses collègues ou avec du public n’a pas le devoir de faire remonter ce type d’information à son employeur !

Stop à l’application généralisée de l’appli « STOP-COVID » !

Plus prospectivement, le devoir du salarié de protéger sa santé et celle de ses collègues (3) ne saurait à l’avenir l’obliger à utiliser l’application STOP-COVID (pour un déploiement prévu début juin par le Gouvernement) en cas de reprise du travail dans l’entreprise.  

En effet, conformément aux avis de la Cnil (4) et du Cnnum (5), « les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application ».

S’alignant sur la position de la Cnil, le Cnnum alerte sur les dangers d’un « “volontariat” potentiellement contraint » en énonçant également que le refus d’utiliser l’application ne doit entraîner aucune conséquence.

A la CFDT, nous relevons également que l’utilisation généralisée de cette application pourrait générer des effets délétères dans le rapport de travail, comme la discrimination des personnes considérées vulnérables ou des personnes suspectées de contamination ou encore la stigmatisation des salariés qui ne l’utiliseraient pas.

  • Ne peuvent être collectées que les données strictement nécessaires à l’objectif de préservation de la santé des travailleurs

Conformément au principe de minimisation des données (6), selon la Cnil, seuls peuvent être traités par l’employeur (c’est-à-dire demandés et conservés) « les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiquée être contaminée ou suspectée de l’être ainsi que les mesures organisationnelles prises ». Pour autant, l’identité de la personne susceptible d’être infectée ne saurait être communiquée aux autres salariés ! En cas de besoin, elle pourra l’être auprès des autorités sanitaires compétentes, comme la médecine du travail.  

  • D’autant plus si ce sont des données personnelles de santé !

Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne (7). Par exemple, un numéro ou symbole attribué à une personne pour l’identifier à des fins de santé, une substance corporelle, des données génétiques, un handicap, la température d’une personne, les antécédents médicaux, un traitement clinique ou médical...

Rappelons que l’employeur ne saurait prendre des mesures susceptibles de porter une atteinte disproportionnée à la vie personnelle du travailleur, notamment par la collecte de ses données de santé qui iraient au-delà d’une suspicion d’exposition au virus.  Cette collecte devrait être en tout état de cause « justifiée par la nature de la tâche à accomplir ni proportionnée au but recherché » comme le conditionne le Code du travail (8).

En outre, à raison du caractère sensible que de telles données revêtent, la Cnil rappelle que « les données relatives à l’état de santé d’une personne font l’objet d’une protection juridique toute particulière : elles sont en principe interdites de traitement ».

Les exceptions mobilisables dans le contexte de travail sont ainsi limitées à :

  • la nécessité, pour l’employeur, de traiter ces données afin de satisfaire ses obligations en droit du travail ou droit de la sécurité sociale : c’est le cas du traitement des signalements par les salariés (9) ;
  • la nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine du travail, de l’appréciation (sanitaire) de la capacité du travailleur, de diagnostic médicaux... (10).

En conséquence, les employeurs doivent s’appuyer sur les services de santé au travail s’ils initient d’éventuelles démarches visant à s’assurer de l’état de santé des salariés, sans quoi le traitement sera entaché d’illicéité. (11)

  • Des relevés de température à l’entrée des locaux strictement encadrées

Conformément au RGPD (12), sauf à ce qu’un texte à l’avenir en prévoie expressément la possibilité, sont interdits, pour l’employeur :

  • les relevés de température des salariés ou des visiteurs, dès lors qu’ils seraient enregistrés par un traitement automatisé (par informatique ou une application) ou dans un registre papier ;
  • les opérations automatisées de captation des températures - ou aux moyens d’outils tels que les caméras thermiques ;
  • les campagnes de dépistage pour les salariés de l’entreprise (13).

En somme, les employeurs ne peuvent constituer des fichiers conservant les données de températures de leurs salariés. S’ils le faisaient malgré tout, cela constituerait une violation du droit des salariés sur leurs données personnelles.

Ces interdictions ne s’appliquant cependant qu’au traitement de données automatisées (via un dispositif numérique, ordinateur, caméra...) ou aux traitements qui permettent la constitution de fichiers (sous format papier par exemple), une certaine marge de manœuvre est laissée à l’employeur.

Il dispose en effet de la possibilité de vérifier la température de ses salariés au moyen d’un thermomètre manuel à l’entrée d’un site à condition qu’aucune trace ne soit conservée, ni qu’aucune opération ne soit effectuée (tels que des relevés de ces températures, des remontées d’informations).

La DGT déconseille toutefois ces vérifications (13), lesquelles ne devraient être réservées qu’à des cas particuliers et en respectant la législation du travail (information préalable des salariés, être proportionnée à l’objectif poursuivi, en informer le CSE ainsi que l’inspection du travail).  

En cas de traitement ou de collecte illicite de données personnelles de santé, l’employeur s’expose à une action en justice du salarié devant le Conseil de prudhommes, mais également à la possibilité que ce dernier saisisse la Cnil. Dans ce cadre, la Commission pourra notamment contrôler la pertinence et la proportionnalité des données collectées, ou encore mettre en demeure, sanctionner pécuniairement tout traitement ou procédé contraire aux droits des données personnelles. Serait alors passible d’une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % de son chiffre d’affaire, l’entreprise violant les règles susvisées et ne respectant pas l’injonction émise par la Cnil. (14)

Du reste, seul le personnel de santé compétent (notamment la médecine du travail) peut collecter et accéder à d’éventuels fichiers de santé ou questionnaires médicaux du personnel de l’entreprise. Il en est de même pour les tests médicaux, sérologiques ou de dépistage du Covid-19, dont les résultats sont soumis au secret médical. Somme toute, l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé.

Au final, le rappel de la Cnil est proprement salutaire : il n’est pas question, on le voit bien, de construire un « après » où la protection de nos données personnelles serait sacrifiée sur l’autel de la crise sanitaire !

 

(1) https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles-par-les

(2) L.4121-1 et Art. R.4422-1 C.trav.

(3) L.4122-1 C.trav.

(4) CNIL, Délibération n° 2020-046, 24.04.20, portant avis sur un projet d’application mobile dénommée « StopCovid »

(5) CNNum, Avis « StopCovid », 24.04.20.

(6) RGPD. (UE) 2016/679.

(7) https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante

(8) Art. L.1121-1 C.trav.

(9) Loi n° 78-17. 06.01.78 relative à l'informatique, aux fichiers et aux libertés.

(10) Loi n° 78-17. 06.01.78 relative à l'informatique, aux fichiers et aux libertés.

(11) Loi n° 2020-290, 23.03.20 d'urgence pour faire face à l'épidémie de covid-19

(12) RGPD. (UE) 2016/679.

(13) https://travail-emploi.gouv.fr/IMG/pdf/protocole-national-de-deconfinement.pdf

(14) Art. 21, Loi n° 78-17. 06.01.78 relative à l'informatique, aux fichiers et aux libertés.