Le journal du dimanche

la gestion des données de santé par l’employeur

– Qu’est-ce que l’employeur est autorisé à faire en matière de recueil et de traitement des données personnelles ?

Les traitements de données personnelles sont inhérents aux relations entre un salarié et son employeur. Celui-ci peut ainsi recueillir des données personnelles dès la période de recrutement mais également dans le cadre de l’utilisation de la vidéosurveillance sur le lieu de travail, de la mise en place d’outils de contrôle individuel de l’accès aux locaux ou encore de la géolocalisation des véhicules de la société. L’employeur peut également contrôler, dans une certaine mesure, l’utilisation d’internet de son employé.

L’employeur est toutefois contraint de respecter les règles qui s’appliquent à chacun de ces traitements. Par exemple, en matière de vidéosurveillance, celle-ci doit nécessairement respecter le principe de proportionnalité selon lequel les informations collectées doivent être pertinentes et strictement nécessaires au regard de la finalité du traitement. Le droit d’information doit également être respecté, ce qui implique que les instances représentatives du personnel doivent être consultées et informées des fonctionnalités envisagées. La durée de conservation des images enregistrées ne peut excéder un mois, et la mise en œuvre de ce procédé doit être précédée de formalités préalables, notamment d’une déclaration auprès de la CNIL.

 

– Qui peut avoir accès au sein de l’entreprise aux données des salariés ?

Seules les personnes autorisées peuvent avoir accès aux données des salariés. Ces personnes varient en fonction du traitement effectué. Par exemple, dans le cas de la vidéosurveillance, seules les personnes habilitées et formées à cet effet peuvent consulter les images enregistrées.

Dans le même esprit, les données personnelles relatives au contrôle de l’accès aux locaux ne sont accessibles qu’aux membres habilités issus des services de la gestion du personnel, de la paie ou encore de la sécurité.

 

– Si un salarié tombe malade, qui doit-il prévenir ? Son manager ? Un service spécial ? 

Lorsqu’un salarié tombe malade, il doit simplement informer son employeur (hiérarchie ou ressources humaines) de l’éventuel arrêt maladie qui serait associé à son état de santé. Il en va de même lorsque le salarié souffre des symptômes du coronavirus et qu’il est placé en télétravail ou exerce ses missions de manière isolée.

Toutefois, au regard du contexte actuel, si un salarié est atteint du virus et qu’il évolue au contact d’autres personnes, il est contraint d’informer son employeur de la nature de sa maladie.

 

– L’employeur peut-il obliger ses salariés à lui donner ces deux informations : nom, prénom + date d’apparition des symptômes ?

Oui. L’employeur ne peut d’ailleurs traiter que les données relatives à la date, à l’identité de la personne, au fait que celle-ci ait été contaminée et aux mesures organisationnelles qu’il a mises en place.

 

 

 

– Que n’est-il pas autorisé à faire ? (possible d’avoir un maximum d’exemples?)

Plusieurs pratiques sont prohibées, comme le fait d’établir des fichiers destinés à conserver les données de températures des employés, ou encore de mettre en œuvre des opérations automatisées de captation de température par l’utilisation de caméras thermiques.

L’employeur ne peut pas non plus organiser de campagne de dépistage pour ses salariés ni procéder à des tests médicaux, sérologiques ou de dépistage du virus. Ces traitements sont réservés aux personnels de santé compétents.

 

– Qu’est-ce qu’avait apporté le RGPD en matière de protection des données des salariés ? en matière de protection des données de santé ?

Le RGPD a permis aux salariés de bénéficier de certains droits concernant leurs données personnelles, comme celui d’être informés des traitements de ces données ou encore d’y avoir accès et de les rectifier.

Pour ce qui est des données de santé, le RGPD leur accorde une protection particulièrement importante dans la mesure où les traitements de ce type de données sont en principe interdits sauf dans certaines situations, par exemple quand la personne concernée a donné son consentement explicite.

 

– A-t-on assoupli ces règles pour les adapter au contexte de crise sanitaire ?

Si l’on ne peut véritablement parler d’un assouplissement du fait que les traitements des données de santé doivent toujours être effectués dans le respect du RGPD, il est vrai que ces traitements tendent actuellement à se multiplier rapidement, ce qui peut paraître inquiétant d’un point de vue juridique. La CNIL semble toutefois mener une veille régulière de ce point de vue et émet des recommandations afin que les traitements des données de santé restent conformes aux principes du RGPD.

 

– Si je suis employeur et que j’apprends que mon salarié est malade, que suis-je en mesure de faire à partir des données que j’ai recueillies ?

En tant qu’employeur, vous ne pourrez traiter ces données que dans l’objectif de mettre en place des mesures relatives à l’organisation de votre activité, à la formation et à l’information de vos équipes, ou encore à certaines actions de prévention des risques professionnels.

 

– Peut-on dire que les données de santé sont des données plus hautement sensibles que les autres ?

Absolument. Au regard du RGPD, les données de santé sont explicitement considérées comme une catégorie particulière de données au côté d’autres données sensibles, comme celles qui révèlent l’origine raciale ou ethnique d’une personne physique, ou encore les opinions politiques de cette personne.

 

 

– Un employeur ne peut pas imposer l’utilisation des applications grands publics. Mais peut-il imposer l’utilisation de ses propres applications de traçage numérique ?

En ce qui concerne le projet d’application mobile « StopCovid », la CNIL a considéré qu’un tel projet était conforme au RGPD dans la mesure où certaines conditions étaient respectées, notamment le caractère volontaire de son utilisation. Un employeur ne peut donc pas imposer à ses salariés l’utilisation d’une application de ce type, même s’il s’agit de sa propre application.

 

– Pensez-vous que nous pourrions aller vers une plus grande circulation et aspiration des données de santé des salariés vu le contexte ?

La crise sanitaire que nous traversons actuellement implique en effet une augmentation notable des traitements de données de santé des salariés. En ce sens, bien que la volonté des employeurs de prévenir la propagation du virus au sein de leurs locaux soit légitime, les mesures qu’ils seront amenés à prendre en la matière devront se limiter aux traitements évoqués précédemment.

 

– Quel serait le prix à payer ou les dérives possibles d’une trop grande circulation des données des salariés ? Des données de santé en particulier ?

Les principaux risques seraient justement issus du fait que les employeurs disposeraient d’une vaste mine d’informations relatives à leurs employés, et dont on ne peut présager l’utilisation qui en sera faite. En effet, il est quasiment impossible de déterminer si la connaissance de ces données par un employeur risque d’avoir une incidence sur ses relations avec les salariés.

Dans le cas des données de santé, le risque principal est sans doute celui des potentielles discriminations susceptibles de découler de la connaissance de l’employeur des informations relatives à la santé des salariés, d’où l’intérêt de limiter au maximum le traitement des données sensibles.