La CNIL rappelle les règles relatives à la collecte des données personnelles sur le lieu de travail dans le cadre de la Covid-19

Actualité
Droit du travail RGPD

Afin de limiter la propagation de l’épidémie de COVID-19, les employeurs peuvent être amenés à collecter des données personnelles. La CNIL a rappelé quelques principes dans un questions-réponses.

La CNIL rappelle les règles relatives à la collecte des données personnelles sur le lieu de travail dans le cadre de la Covid-19
Publié le
Télécharger en PDF

La collecte des données personnelles pour signaler et informer

Les employeurs ne doivent traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales.

La collecte de ces données doit avoir pour seul objectif de prendre des mesures organisationnelles (mise en télétravail, orientation vers le médecin du travail, etc.), de formation et d’information, ainsi que certaines actions de prévention des risques professionnels.

Par conséquent, seuls peuvent être traités par l’employeur les éléments liés à :

  • l’identité de la personne concernée;
  • l’information selon laquelle elle serait contaminée ou suspectée de l’être ;
  • les dates pertinentes, notamment pour déterminer quels salariés/agents pourraient être cas contacts (dates de contacts, date de début des symptômes, date de prélèvement de tests positifs) ;
  • les éventuels autres éléments permettant de déterminer quels salariés/agents pourraient être cas-contacts;
  • les mesures organisationnelles prises.

Parmi les mesures organisationnelles qui peuvent être prises par l’employeur, celui-ci doit pouvoir faciliter l’identification des contacts par les autorités en charge du « contact tracing », en confiant à un référent COVID-19 désigné la réalisation de matrices, c’est-à-dire de listes de personnels par unité de travail permettant d’identifier les éventuels cas contact au sein d’un même lieu de travail, en s’appuyant sur les déclarations du salarié/agent concerné et son historique d’activité dans l’entreprise.

En cas de besoin, l’employeur pourra ainsi communiquer aux autorités sanitaires compétentes les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale des personnes exposées. Les acteurs de niveau 1 et 2 du contact tracing (médecin prenant en charge le cas et plateformes de l’Assurance maladie) pourront notamment s’appuyer sur les matrices des cas contacts réalisées en amont par le référent COVID-19 pour faciliter leur identification.

L’employeur est toutefois autorisé à traiter des données relatives à la santé de ses salariés/agents dans les trois cas précisés ci-dessous.

Les traitements relatifs aux signalements de contamination à la COVID-19 :

L’employeur ne doit traiter que les données nécessaires à la gestion des cas d’exposition et de suspicions d’exposition au virus aux fins de protéger les salariés/agents et le public et ne doivent pas prendre de mesures susceptibles de porter une atteinte disproportionnée à la vie privée des personnes concernées en collectant des données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus aux fins de protéger les salariés/agents et le public. Ce principe est par ailleurs rappelé par l’article L. 1121-1 du Code du travail.

Les employeurs qui voudraient initier d’éventuelles démarches visant à s’assurer de l’état de santé de leurs salariés/agents doivent s’appuyer sur les services de santé au travail dont c’est la compétence.

Établissements soumis à la présentation du passe sanitaire :

La loi relative à la gestion de la crise sanitaire du 5 août 2021 donne la possibilité aux salariés/agents des établissements soumis à l’obligation de présentation du passe sanitaire, de présenter à leur employeur un justificatif de statut vaccinal et d’autoriser celui-ci à conserver la preuve de cette vérification jusqu’à la fin de l’application du dispositif, soit jusqu’au 15 novembre 2021Pour plus d’informations, nous vous invitons à consulter la FAQ dédiée disponible sur le site de la CNIL.

Salariés/agents concernés par une obligation vaccinale (conformément au calendrier défini par le gouvernement) :

Les professions et personnels des établissements listés à l’article 12 de la loi relative à la gestion de la crise sanitaire du 5 août 2021 doivent être vaccinés, sauf contre-indication médicale ou présentation d’un certificat de rétablissement. Les personnes concernées doivent justifier avoir satisfait à cette obligation auprès de leur employeur.

Attention : en dehors de ces cas précis, le retour du salarié/agent sur son lieu de travail ne doit pas être conditionné à une obligation de vaccination à la COVID-19 et l’employeur n’a pas à connaître d’information relative au statut vaccinal de ses salaries/agents ni sur leur intention de se faire vacciner ou non. 

Les résultats des tests de dépistage

L’employeur ne peut pas exiger le résultat d’un test de dépistage de la COVID-19.

Les résultats des tests médicaux, sérologiques ou de dépistage de la COVID-19 sont soumis au secret médical : l’employeur ne pourra recevoir communication que de l’éventuel arrêt de travail sans autre précision relative à la pathologie et à l’état de santé du salarié/agent. Le retour du salarié/agent sur son lieu de travail ne pourra pas être conditionné à la présentation d’un test de dépistage de la COVID-19.

Seul pourra lui être demandé, dans le cas des établissements soumis à la présentation du passe sanitaire, la présentation de celui-ci.

Cependant, entre le 15 septembre et le 15 octobre inclus, une période transitoire est prévue par la loi qui permet à un salarié ayant justifié d’une première dose de vaccin de pouvoir continuer à exercer son activité à condition de présenter le résultat négatif d’un test virologique. Durant cette période uniquement, l’employeur pourra distinguer les personnes ayant un schéma de vaccination complet de celles ayant un statut temporaire et devant donc être recontrôlées sous un délai déterminé (les personnes n’ayant reçu qu’une seule dose et bénéficiant d’un délai de tolérance conformément à la loi).

L'organisation de campagnes de dépistage

L’employeur peut organiser des campagnes de dépistage, mais il ne peut pas contraindre ses salariés/agents à y participer.

Le protocole national pour assurer la santé et la sécurité des salariés en entreprise face à l’épidémie de COVID-19, applicable à partir du 10 septembre 2021, indique que les employeurs peuvent, dans le respect des conditions réglementaires, proposer des actions de dépistage et des autotests aux salariés/agents volontaires. À cette fin, la liste des tests rapides autorisés et leurs conditions d’utilisation ont été rendus disponibles par les autorités de santé. Les modalités d’organisation des campagnes de dépistages sont, quant à elles, définies par une circulaire interministérielle.

Les entreprises peuvent également mettre des autotests à la disposition de leurs salariés/agents en l’accompagnant d’une information du salarié/agent par un professionnel de santé conformément aux dispositions fixées par le ministère de la Santé.

La CNIL rappelle que l’employeur ne dispose que d’un rôle organisationnel dans la réalisation de ces campagnes et que l’action de dépistage doit résulter d’une démarche volontaire du salarié/agent. Par conséquent :

  • la campagne de dépistage ne pourra pas être imposée au salarié/agent ;
  • aucune conséquence négative ne pourra être prise à l’égard des salariés/agents qui ne seraient pas volontaires.

Par ailleurs, ces actions de dépistage doivent être réalisées dans des conditions garantissant la bonne exécution de ces tests et la stricte préservation du secret médical. En particulier, aucun résultat ne pourra être communiqué à l’employeur ou à d’autres salariés/agents.

La collecte de données pour l’élaboration du PCA

L’employeur peut collecter des données personnelles en vue de l’élaboration d’un plan de continuité de l’activité ou « PCA », mais seules peuvent être collectées les données strictement nécessaires à la réalisation de cet objectif.

Les entreprises et administrations peuvent être amenées à établir un « plan de continuité de l’activité » qui a pour objectif de maintenir l’activité essentielle de l’organisation en période de crise.

Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des salariés/agents, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service. Il est alors possible de créer un fichier nominatif pour l’élaboration et la tenue du plan qui ne doit contenir que les données nécessaires à la réalisation de cet objectif.

L’employeur doit veiller à assurer, en toute hypothèse, la sécurité et la confidentialité des données qu’il traite : tel est par exemple le cas, lors de l’envoi des justificatifs de déplacement professionnel qui contiennent des données personnelles et ne doivent être communiquées qu’aux seules personnes individuellement concernées. Les données à caractère personnel nécessaires à la réalisation des missions essentielles du PCA doivent être supprimées automatiquement par l’entreprise ou l’administration lorsque que l’agent qui y figure quitte ses fonctions (pour lesquelles il relève du PCA).

L'application TousAntiCovid

L’employeur ne peut pas imposer l’installation et l’utilisation de l’application TousAntiCovid.

Le protocole national pour assurer la santé et la sécurité des salariés en entreprise face à l’épidémie de COVID-19, dans sa version applicable à compter du 10 septembre 2021, rappelle qu’il appartient à l’employeur de relayer les messages des autorités sanitaires et d’assurer la communication auprès de ses salariés/agents des mesures de protection collective. L’employeur doit donc rappeler à ses salariés/agents les règles d’hygiène et de distanciation sociale ainsi que l’existence de l’application TousAntiCovid et l’intérêt de son activation pendant les horaires de travail.

Néanmoins, l’utilisation de l’application TousAntiCovid relève d’une démarche volontaire du salarié/agent. L’employeur ne peut pas imposer son utilisation, ou installer par défaut l’application sur les téléphones professionnels de ses salariés/agents.

Rappel : pour les établissements soumis à l’obligation de présentation du passe sanitaire, celle-ci peut se faire au format papier ou tout autre support numérique que l’application TousAntiCovid. Il n’est pas obligatoire de recourir à la fonctionnalité « carnet » de l’application TousAntiCovid.

Le rôle du CSE

Bien qu’il n’appartienne pas à la CNIL d’interpréter les dispositions du Code du travail, elle rappelle que les représentants du personnel disposent de certaines prérogatives telles que le droit d’alerte, notamment en cas d’atteintes aux droits des personnes ou de danger grave et imminent pour la santé et la sécurité des salariés/agents.

Aussi, si un membre de la délégation du personnel au CSE constate, notamment par l’intermédiaire d’un salarié/agent, qu’il existe une atteinte aux droits des personnes, à leur santé physique ou mentale, ou à leurs libertés individuelles, qui ne serait pas justifiée par la nature de la tâche à accomplir, ni proportionnée au but recherché, il lui appartient de saisir immédiatement l’employeur.

Une fois alerté, l’employeur doit procéder à une enquête avec les représentants du personnel qui ont lancé l’alerte, puis prendre les dispositions nécessaires pour remédier à cette situation et mettre en place des mesures de prévention.

Référence

Covid-19 : Questions-réponses de la CNIL sur la collecte des données personnelles sur le lieu de travail – 29 septembre 2021.

Retrouvez l’intégralité des questions-réponses de la CNIL dans nos dossiers :

Le coronavirus en RH et droit social

Protection des données personnelles : le RGPD