Covid-19 : les recommandations CNIL en matière de données de santé
Mes données personnelles sont-elles en danger au travail dans la lutte contre le coronavirus ?
La crise sanitaire que constitue le coronavirus se poursuit en France et dans de nombreux autres pays. Lundi 9 mars, la mise en quarantaine de l’Italie a été annoncée jusqu’au 3 avril. Cette situation est totalement inédite. En France, des questions se posent quant à la collecte et l’utilisation des données personnelles au travail en matière de santé. Mais aussi concernant les déplacement de salariés, agents et visiteurs qui peuvent relever de la sphère privée. A ce titre, dans une note du 6 mars dernier, la CNIL a rappelé quelques principes relatifs à l’utilisation des données personnelles notamment en matière de santé.
Quelles mesures l’employeur peut-il prendre concernant la collecte des données de santé au travail ?
Les données de santé sont protégées par des dispositions du Code de la santé publique et le RGPD). Légalement, les données de santé qui ne concernent pas les suspicions d’exposition au coronavirus relèvent de la vie privée. De plus, les employeurs ne peuvent pas collecter des informations concernant d’éventuels symptômes d’un employé et de ses proches. Cette collecte n’est pas autorisée qu’elle soit effectuée de manière systématique et généralisée ou au travers d’enquêtes et demandes individuelles. Par exemple, un employeur n’a pas le droit d’ordonner à ses salariés de leur montrer quotidiennement des relevés de température corporelle. Il ne peut pas non plus collecter des fiches et questionnaires médicaux auprès de ses salariés.
Par ailleurs, l’employeur est responsable de la santé et de la sécurité de ses salariés (article L4121-1 du Code du travail). Ainsi, il doit effectuer des actions de prévention des risques professionnels, d’information et de formation par rapport au risque que constitue le coronavirus. Ces actions passent par exemple par une formation sur les comportements à adopter au travail afin d’empêcher tout propagation du virus. L’employeur doit également mettre en place une organisation et des moyens adaptés pour lutter face au coronavirus. Il peut ainsi favoriser le recours au télétravail et encourager la médecine du travail. Dans le cadre du coronavirus, l’employeur est libre de sensibiliser ses salariés afin d’effectuer des remontées individuelles d’information concernant l’épidémie. Cela se traduit par exemple par le salarié qui informe son employeur d’un récent déplacement en zone à risque. Le salarié peut faire remonter l’information à son employeur ou aux autorités sanitaires compétentes.
Salarié suspecté de coronavirus : que peut faire l’employeur de ses données personnelles?
L’employeur peut relever la date de la signalisation du salarié et son identité. Il peut également relever les mesures d’organisation prises comme du confinement, du télétravail, et de prise de contact avec le médecin du travail. Avec ces informations, l’employeur peut par la suite communiquer aux autorités sanitaires qui le souhaitent tout élément relatif à l’exposition au coronavirus. Ces données permettront de déterminer si une prise en charge sanitaire ou médicale est nécessaire ou non.
Les autorités sanitaires compétentes face au coronavirus peuvent ensuite collecter les données de santé pour prendre des mesures appropriées. Les autorités publiques compétentes sont responsables de l’évaluation et de la collecte des informations relatives aux symptômes du coronavirus et aux éventuels déplacements dans des zones à risque. Si la situation sanitaire nécessite une vigilance plus importante, la CNIL recommande de suivre les mesures des autorités sanitaires. Elle suggère également d’effectuer les collectes de données de santé uniquement sur les personnes sollicitées par les autorités compétentes.