RGPD et COVID-19 : points de vigilance
- Vous demandez à vos employés de vous communiquer s’ils sont cas de contamination ou cas contact ?
- Avez-vous à traiter ces signalements ?
- Avez vous mis en place ou prévoyez de mettre en place des tests sérologiques et de questionnaires sur l’état de santé des employés ?
- Avez vous mis en place des plans de continuité de l’activité ?
- Avez-vous dû prendre des mesures de réorganisation du travail ?
Vous demandez à vos employés de vous communiquer s’ils sont cas de contamination ou cas contact ?
La CNIL se prononce comme suit :
“Dans un contexte de pandémie telle que celle du COVID-19, un employé qui travaille au contact d’autres personnes (collègues, [clients] et public) doit, à chaque fois qu’il a pu exposer une partie de ses collègues au virus, informer son employeur en cas de contamination ou de suspicion de contamination au virus.
En revanche, un employé qui serait par exemple placé en télétravail ou qui travaillerait de manière isolée sans contact avec ses collègues ou du public n’a pas à faire remonter cette information à son employeur. En effet, en l’absence de mise en danger d’autres personnes, les évènements en lien avec une éventuelle exposition, particulièrement un arrêt de travail qui en découlerait, devront être traités conformément à la procédure normale des arrêts de travail.”
Attention donc à vos pratiques internes concernant ce type de déclaration.
Avez-vous à traiter ces signalements ?
L’employeur ne peut collecter et traiter que les éléments liés à la date, à l’identité de la personne, au fait qu’elle ait indiquée être contaminée ou suspectée de l’être ainsi que les mesures organisationnelles prises.
La CNIL précise que : “En cas de besoin, l’employeur sera en mesure de communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.”
Ainsi, vous pouvez communiquer l’identité de la personne à une autorité sanitaire ou à la médecine du travail. Vous ne devez en aucun cas recueillir les éléments concernant les symptômes, les copies de résultats de tests, la température, etc.
“En tout état de cause, l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres employés.” - met en garde ainsi la CNIL.
En vue de, par exemple, prévenir la propagation du virus, vous ne pouvez qu’informer les autres travailleurs d’une contamination, sans mentionner l'identité de la (des) personne(s) concernée(s).
Dans ce cadre, la procédure de signalements doit être mise en place en suivant les règles de la protection de données personnelles, à savoir la minimisation de données, la définition des finalités et l’établissement d’une équipe destinée à gérer ces situations (notamment la médecine du travail).
Avez vous mis en place ou prévoyez de mettre en place des tests sérologiques et de questionnaires sur l’état de santé des employés ?
Seuls les personnels de santé compétents (notamment la médecine du travail) peuvent collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des employés. Il en va de même pour les tests médicaux, sérologiques ou de dépistage du COVID-19 dont les résultats sont soumis au secret médical : l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé.
Avez vous mis en place des plans de continuité de l’activité ?
Il est alors possible de créer un fichier nominatif pour l’élaboration et la tenue du plan qui ne doit contenir que les données nécessaires à la réalisation de cet objectif.
Avez-vous dû prendre des mesures de réorganisation du travail ?
Si vous avez une obligation de moyen renforcée sur la santé et la sécurité de vos salariés, celle-ci est néanmoins circonscrite à l’élaboration de mesures de prévention collectives (et non individuelles). La seule situation qui suppose pour vous de prendre des mesures individuelles est le signalement effectué par le salarié lui-même lorsque ce dernier a pu être exposé ou a exposé ses collègues ou du public au virus. Suite à un signalement, si vous décidez de mettre en place une mesure individuelle, celle-ci devra être limitée dans le temps ; plus précisément, jusqu’à ce que le salarié prenne contact avec un professionnel de santé (seul en mesure d’agir et de prescrire ou de renouveler un arrêt de travail).
Il n’est donc pas possible pour vous d’établir un diagnostic, une analyse de la vulnérabilité particulière d’un salarié ou toute autre analyse médicale. Il faut faire intervenir la médecine du travail, sans collecter aucun élément sur la pathologie même s’il s’avère nécessaire de mettre en place temporairement des mesures individualisées. Il appartient au médecin du travail de proposer des mesures individuelles d’aménagement, d’adaptation ou de transformation du poste de travail ou du temps de travail. Le rôle de l’employeur consiste à appliquer ces mesures.
Avez-vous eu recours à un outil de visioconférence ?
Avant d’utiliser un outil de visioconférence, il est important de vérifier le niveau de protection des données personnelles (précisé dans les CGU). A ce titre, retrouvez nos articles sur : Les erreurs à ne pas faire avec l’utilisation d’un outil de visioconférence.
Pour aller plus loin :
- Dois-je supprimer systématiquement le dossier d'un usager après son départ ?
- Un salarié demande ses fiches de paie 5 ans après son départ, que dois-je faire ?