Menu Search through site content What are you looking for?
Menu

COVID-19 France: Crise Sanitaire & Donnees Personnelles FAQ

  • Market Insight 19 March 2020 19 March 2020
  • UK & Europe

  • Coronavirus

Est-ce qu’un employeur peut collecter des données de santé liées au COVID-19 d’un salarié qui est confiné à domicile ?

Non, l’employeur ne dispose pas de base légale pour réaliser ce traitement de données. L’employeur a toutefois le droit de savoir si un de ses salariés en télétravail n’est pas en capacité de travailler pour motif médical, peu importe l’affection dont il souffre.

Est-ce qu’un employeur peut collecter des données de santé liées au COVID-19, d’un salarié qui bénéficie d’une autorisation spéciale pour se rendre sur son lieu de travail pendant la période de confinement ?

Oui, il le peut dans le cadre de son obligation d’assurer la sécurité et la santé de ses salariés conformément à l’article L. 4121-1 du code du travail. L’employeur doit en effet pouvoir réaliser les traitements de données nécessaires à la sauvegarde des intérêts vitaux des salariés (article 6.1.d du RGPD). En somme, il peut collecter des données médicales dans le cadre de la lutte contre l’épidémie de Coronavirus.  Le consentement des salariés à la collecte de ses données n’est pas requis (lecture combinée de l’article 9.2.i du RGPD et des arrêtés du 14 et 17 mars 2020 portant diverses mesures relatives à la lutte contre la propagation du virus covid-19).

La Cnil a toutefois indiqué qu’il était interdit de pratiquer des relevés obligatoires et quotidiens de la température des salariés.

Est-ce qu’un employeur peut collecter des données de santé liées au COVID-19, d’une personne bénéficiant d’une autorisation spéciale de circulation pendant la période de confinement, et qui est amenée à se rendre dans l’entreprise ?

Oui, sur le même fondement que pour les salariés.

Est-il possible d’établir un fichier des salariés atteints du COVID-19 ?

Oui, dès lors que cela a pour objectif de protéger les autres salariés de l’entreprise qui bénéficient d’une autorisation spéciale de se rendre sur le lieu de travail. La Cnil a indiqué qu’il était possible d’établir un tel fichier portant sur les personnes exposées, et susceptibles d’être exposées au virus.

Est-ce que je peux partager les données de santé liées au COVID-19 des salariés avec les autorités compétentes ?

Oui, si une telle demande émane du ministère de la santé, du ministère de l’intérieur ou d’une autorité administrative compétente en matière sanitaire telle l’Agence Régionale de Santé. Il faudra veiller à informer les salariés de cette communication conformément aux articles 12, 13 et 14 du RGPD.

Dans ce contexte de crise, les autorités ont relevé une multiplication des arnaques et autres tentatives frauduleuses d’accès aux informations relatives à des personnes vulnérables.

Il conviendra de vérifier que la demande de communication des données de santé provient bien d’une autorité officielle, afin de ne pas être victime d’une violation de données, qui porterait également préjudice aux droits et libertés des salariés concernés.

Quels sont les risques pour l’entreprise dans le cadre du télétravail ?

Le risque d’une faille de sécurité et consécutivement d’une atteinte aux données personnelles est accru.

En effet, l’employeur est responsable de la sécurité des données personnelles de son entreprise, et ce que les données soient stockées :

  • sur les terminaux appartenant aux salariés, dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise ;
  • sur les terminaux propres de l’entreprise prêtés aux salariés.

Il convient donc de renforcer considérablement les mesures de sécurité : contrôle de l’accès par un dispositif d’authentification robuste de l’utilisateur, chiffrements des flux (VPN), sensibilisation des salariés, etc.

Quelles sont les obligations de l’entreprise dans le cadre du télétravail ?

L’employeur est tenu de se conformer à ses obligations vis-à-vis du code du travail, telle l’information et la consultation du comité social et économique (L. 2312-38), et de la règlementation relative à la protection des données, telle la conduite d’une analyse d’impact (article 35 du RGPD). Une regularisation posterieure à la crise pourrait être envisagée.

End

Stay up to date with Clyde & Co

Sign up to receive email updates straight to your inbox!