Recommandations sur la protection des données RH traitées par l’employeur aux fins de lutte contre la pandémie

« Même dans des circonstances exceptionnelles, le responsable du traitement doit garantir la protection des données des personnes concernées » (Comité européen de la protection des données, mars 2020).

L’urgence liée à la pandémie peut légitimer des traitements de données personnelles à condition qu’ils soient proportionnés et limités dans le temps, imposés par une obligation légale et diligentés dans le respect du règlement européen 2016-679 du 27 avril 206 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).

Quelles sont les possibilités pour l’employeur de collecter, en dehors de toute prise en charge médicale, des données concernant des agents ou des visiteurs afin de déterminer si des personnes présentent des symptômes du coronavirus, ou des données relatives à des déplacements et événements pouvant relever de la sphère privée ? Comment faire ?

Fonder les traitements de données sur une obligation légale

Pour être licite, un traitement de données personnelles doit être fondé sur l’une des bases légales listées à l’article 6 du RGPD.

Dans le cadre de la présente pandémie, certains traitements RH exceptionnels peuvent être mis en œuvre parce que la réglementation oblige l’employeur à les déployer. Le fondement légal de ces traitements sera celui qui régit la responsabilité de l’employeur dans le domaine de la santé et de la sécurité de ses agents conformément au code du travail (particulièrement l’article L. 4121-1) et des textes régissant la fonction publique. L’employeur doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés. L’obligation légale doit s’imposer à l’employeur, et non pas aux agents.

Garantir les principes relatifs aux traitements de données personnelles

Les principes de la protection des données (dont celui de proportionnalité) doivent guider les responsables de traitements (Maires / Présidents) lorsqu’ils collectent des données en lien avec des opérations de lutte contre le covid19.

Le Maire / Président veillera à faire enregistrer et décrire le(s) traitement(s) de données qu’il met en œuvre dans le registre des opérations de traitement de la collectivité dans le respect des principes de protection suivants (RGPD, article 5) :

Le principe de finalité

Le traitement mis en œuvre doit répondre à une finalité explicite et déterminée. Dans le contexte de crise sanitaire, l’employeur peut par exemple :

  • mettre en place un plan de continuité d’activité (PCA) pour maintenir l’activité essentielle de la collectivité ;
  • réaliser des traitements statistiques (anonymes) liés à l’élaboration et à l’activation du PCA ;
  • sensibiliser et inviter ses agents à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition au virus, auprès de lui ou des autorités sanitaires compétentes, faciliter leur transmission par des canaux sécurisés dédiés le cas échéant ;
  • gérer l’exercice du droit de retrait des agents ;
  • favoriser les modes de travail à distance et encourager le recours à la médecine du travail ;

il devra aussi toujours évaluer si la collectivité respecte le cadre légal qui fonde le traitement qu’elle met en œuvre…

Le principe de proportionnalité et de minimisation des données

Les catégories de données utilisées doivent être listées et leur collecte limitée et proportionnée à la finalité poursuivie par le traitement.

Il convient donc de collecter le minimum de données possible au regard de l’objectif poursuivi.

Exemple : Pour un dispositif de signalement d’agents exposés au virus, un employeur peut consigner :

  • la date et l’identité de la personne suspectée d’avoir été exposée ;
  • les mesures organisationnelles prises (confinement, télétravail exceptionnel, orientation et prise de contact avec le médecin du travail, etc.).

Il pourra communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Si les collectivités doivent mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect de mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font en effet l’objet d’une protection particulière conformément au RGPD et aux dispositions du Code de la santé publique.

Par exemple, l’employeur ne collectera pas de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un agent et ses proches. Il n’est donc pas possible de mettre en œuvre, par exemple :

  • des relevés obligatoires des températures corporelles de chaque agent / visiteur à adresser quotidiennement à la hiérarchie ;
  • la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des agents. 

Le principe de transparence 

Les collectivités doivent informer les agents de manière concise, compréhensible et aisément accessible sur les traitements de leurs données réalisés (notamment finalité et fondement légal du traitement, caractère obligatoire ou facultatif du recueil des données, destinataires des données, durée de conservation des données, rappel des droits des agents).

Le principe de sécurité et de confidentialité

Le responsable de traitements se doit de prendre toutes les mesures nécessaires pour garantir la sécurité et la confidentialité des données qu’il traite. Toutes ces mesures doivent être documentées (registre des opérations de traitement de la collectivité), notamment par la mise en place de politiques appropriées. 

Exemple : Un plan de continuité d’activité doit prévoir toutes les mesures de sécurité des agents, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

La dignité et l’intégrité des personnes doivent être protégées, ainsi l’employeur ne peut révéler les noms des agents infectés.

Chaque agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même (article L. 4122-1 du Code du travail) : il doit informer son employeur en cas de suspicion de contact avec le virus.

Le principe d’une conservation des données limitée à la finalité 

Les traitements mis en œuvre pour faire face à l’urgence liée à la pandémie doivent être limités dans le temps et les données supprimées ou anonymisées à l’issue de la crise sanitaire.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite les professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.

Suivez et relayez les recommandations sanitaires sur le site du Gouvernement. Des Questions/réponses pour les entreprises et les salariés sont également présentées sur le site  travail-emploi.gouv.fr