Accueil
Accueil
Accueil
Détails

En ces temps singuliers, la question se pose de savoir si le caractère inédit de la situation actuelle permet la collecte, en dehors de toute prise en charge médicale, de données à caractère personnel concernant des agents ou visiteurs afin de déterminer si des personnes présentent des symptômes du coronavirus, ou des données relatives à des déplacements et évènements pouvant relever de la sphère privée.

A situation exceptionnelle, mesures exceptionnelle…ment démesurées ?

Chacun doit évidemment mettre en œuvre des mesures adaptées à la situation (ex : limitation des déplacements et réunions, respect des mesures d’hygiène, etc.). Mais cela n’autorise pas pour autant les employeurs à prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font en effet l’objet d’une protection toute particulière, tant par le RGPD que par le Code de la santé publique.

Par exemple, les employeurs doivent s'abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un agent et ses proches.

Il n’est donc pas possible de mettre en œuvre, par exemple :

  • Des relevés obligatoires des températures corporelles de chaque agent/visiteur à adresser quotidiennement à sa hiérarchie ;
  • Ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents.

Quelles finalités possibles pour ce traitement ?

Les employeurs collectent des données à caractère personnel afin de lutter contre la propagation du Coronavirus COVID-19.

Qu’est-il possible de mettre en place ?

L’employeur est responsable de la santé et de la sécurité des agents conformément aux textes régissant la fonction publique. Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés.

Dans ce contexte, l’employeur peut :

  • Sensibiliser et inviter ses employés à effectuer des remontées individuelles d’informations les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
  • Faciliter leur transmission par la mise en place, au besoin, de canaux dédiés et sécurisés ;
  • Favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

Chaque agent doit, pour sa part, mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même : il doit informer son employeur en cas de suspicion de contact avec le virus.

Que faire en cas de signalement d’une personne potentiellement exposée au virus ? Que puis-je collecter ?

En cas de signalement, un employeur peut consigner :
  • La date du signalement et l’identité de la personne suspectée d’avoir été exposée (nom, prénom, fonction) ;
  • Les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).

Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient, les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Quels sont les principes à respecter lors du traitement de ces données ?

  1. Ne collecter que les données strictement nécessaires à la finalité poursuivie. Si l’objectif est de prendre/garder contact avec des personnes vulnérables et de vérifier qu’elles ont la capacité de répondre à leurs besoins vitaux, il n’est pas besoin d’intégrer, par exemple, au sein de ces fichiers, toutes les informations afférentes à la vie quotidienne de la personne ;
  2. Fixer une durée de conservation des données strictement limitée à ce qui est indispensable à la finalité poursuivie. Ce type de fichier devrait a priori être supprimé ou, au moins anonymisé (pour éventuellement permettre de disposer de données statistiques) dès l’issue de la crise sanitaire (pour plus d’informations sur les durées de conservation, n’hésitez pas à contacter le service des archives départementales) ;
  3. Garantir techniquement la sécurité des données traitées et restreindre autant que possible les personnes habilitées à les connaître ;
  4. Informer les personnes concernées au moyen d’une mention classique (indiquant entre autres pourquoi les données sont collectées, qui s’en servira, combien de temps elles seront conservées, etc.) ;
  5. Intégrer une nouvelle fiche au registre des traitements.

Pour aller plus loin :

En tout état de cause, des données de santé peuvent aussi être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L'évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.

Comment organiser la continuité de l’activité de la structure ?

Les administrations peuvent être amenées à établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité et la santé des employés, identifier les activités essentielles devant être maintenues ainsi que les personnes nécessaires à la continuité du service.

Sources

Coronavirus (COVID-19) : Les rappels de la CNIL sur la collecte de données personnelles (Source : www.cnil.fr)
Logement social, COVID-19 et RGPD (Source : www.seban-associes.avocat.fr)