Associée au cabinet d’avocats Taylor Wessing, cette avocate est responsable du département informatique et données personnelles. Elle nous éclaire sur la conformité au RGPD en situation de Covid-19.
L’employeur a-t-il le droit de collecter et traiter des données de santé de son personnel ?
En principe, non. L’employeur ne peut se fonder sur l’exception qu’il tirerait du consentement de ses salariés pour collecter leurs données de santé. En revanche, il peut traiter des données de santé si c’est strictement nécessaire à l’exécution de ses obligations de sécurité. Notamment vis-à-vis de ses salariés et agents. Par ailleurs, le RGPD impose à l’employeur d’informer ses salariés des traitements relatifs à leurs données de santé. Et de répertorier le traitement en question dans le registre de traitements.
Comment l’employeur peut-il sécuriser la confidentialité des données de santé qu’il traite ?
En mettant en place les mesures techniques et opérationnelles qui s’imposent. Cela passe bien sûr par la sécurisation technique des outils informatiques et des échanges de données. Mais également par le respect d’un certain nombre de bonnes pratiques internes pour l’accès à ces outils. Sur ce second volet, les employeurs mettent fréquemment en place des chartes informatiques exposant les règles internes à observer. Désormais, les employeurs annexent fréquemment cette charte informatique au règlement intérieur. Ils l’instituent après consultation du Comité social et économique. Ils la communiquent à l’Inspection du travail et la déposent au greffe du Conseil de prud’hommes.
L’employeur peut-il avoir accès aux résultats de tests sérologiques ou microbiologiques de ses salariés ? Peut-il les demander ?
Non. La CNIL le rappelle clairement. Seuls les personnels de santé compétents peuvent collecter, mettre en œuvre et accéder à de telles informations auprès des employés. Les résultats des tests de la Covid-19 sont soumis au secret médical. L’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé.
Quid du relevé de température à l’entrée des locaux ? Y a-t-il des pratiques interdites ?
Le ministère de la Santé invite chacun à surveiller les symptômes évocateurs de la Covid-19. Selon le ministère du Travail, contrôler la température à l’entrée du site de l’entreprise n’est ni recommandé ni obligatoire. En revanche, ce contrôle constitue une mesure de prévention au titre de l’obligation de sécurité qui incombe à l’employeur. Ce dernier pourrait, par exemple, inviter les salariés à prendre régulièrement leur température avant de se rendre sur leur lieu de travail. Ou instituer un contrôle de température à l’entrée du site dans le cadre du plan de prévention. À la condition toutefois qu’un tel relevé de températures ne constitue pas un traitement de données personnelles.
Qu’en est-il de ses obligations en situation de Covid-19 ?
Avec le service de santé au travail, l’employeur doit sans délai prendre en charge des personnes symptomatiques. Si un cas est avéré, il doit faciliter l’identification des contacts par les autorités. Il devra alors réaliser une matrice fondée sur les déclarations du salarié concerné. Et sur l’historique de son activité dans l’entreprise. Pour cela l’employeur doit collecter certaines données de santé.
Doit-il avertir les autres salariés ?
Non. Ils n’ont pas à connaître les données de santé des autres salariés car elles sont hautement confidentielles. Cependant, l’employeur doit informer ses salariés des traitements relatifs à leurs données de santé. Et les inscrire dans le registre de traitements.
L’employeur peut-il demander à ses salariés de se faire tester ?
Non, il ne peut que relayer les messages des autorités sanitaires. C’est-à-dire inviter toute personne symptomatique à ne pas se rendre sur son lieu de travail. Consulter un médecin. Se faire dépister et s’isoler dans l’attente des résultats. Il n’aura pas accès au résultat du test.
Que penser du « cahier de rappel » que doivent tenir les restaurateurs ?
Ce registre concerne les clients. Face à l’échec de l’application Stop Covid, il est maintenant obligatoire en zone d’alerte maximale. Les données du registre (identité, date et heure d’arrivée, téléphone ou e-mail) ne se conservent que quatorze jours. Elles ont pour seul objet d’être transmises sur demande aux autorités sanitaires. Le restaurateur ne peut les utiliser à des fins de prospection commerciale.
Propos recueillis par Erick Haehnsen
Commentez