La crise sanitaire due à la propagation du virus Covid-19 est susceptible d’amener les entreprises à vouloir traiter des informations relatives à la santé de leurs salariés. Pour autant, la collecte de ce type d’informations est soumise à une réglementation stricte et le contexte actuel ne permet pas d’y déroger.

Toute information relative à la santé d’un salarié, notamment concernant les symptômes qu’un salarié pourrait ressentir ou les raisons d’un arrêt maladie, constitue une donnée à caractère personnel de santé, soumise, à ce titre, au RGPD[1], à la loi informatique et libertés[2], mais également aux dispositions du Code de la santé publique et du Code du travail.

Les données personnelles de santé bénéficient notamment d’une protection accrue en raison de leur appartenance à une catégorie particulière de données personnelles (article 9 du RGPD).

Par principe, ce type de données ne peut être traité que pour des exceptions strictement énumérées, comme par exemple, sous réserve du recueil du consentement du salarié ou pour des raisons de médecine du travail et de diagnostic médical lorsque mis en œuvre par un professionnel de santé soumis au secret professionnel.

En conséquence, il est interdit aux entreprises d’interroger leurs salariés sur les potentiels symptômes du Covid-19, ou de leur demander de prouver qu’ils ne seraient pas porteurs du virus, par quelque moyen que ce soit. Les mesures systématiques et organisées, comme un questionnaire obligatoire, ou les demandes individuelles sont, à ce titre, prohibées, ainsi que cela a été précisé par la CNIL dans son communiqué du 6 mars 2020.[3]

En revanche, il est autorisé pour toute entreprise d’inciter leurs salariés à se manifester et à prévenir leur employeur dans le cas où ces salariés présenteraient des symptômes susceptibles d’indiquer une contamination par le virus du Covid-19.

Les entreprises peuvent alors collecter ces informations afin de prévoir les mesures adéquates pour assurer la sécurité au sein de leurs établissements (confinement, gestes barrières, télétravail, contact du médecin du travail, etc.).

De plus, quand bien même leurs salariés sont en télétravail, les salariés doivent informer leur employeur dans le cas où leur état de santé ne leur permet pas de continuer à effectuer leurs missions.

Le médecin du travail ou tout professionnel de santé soumis au secret professionnel qui pourrait être présent au sein de l’entreprise doit être l’interlocuteur privilégié des salariés, dans les cas où il y aurait un risque en rapport avec le Covid-19 puisqu’ils sont, par principe, autorisés à collecter toute donnée de santé.

En revanche, la collecte de données personnelles en lien avec le Covid-19 par les ressources humaines et/ou tout membre de direction doit être limitée au strict minimum de ce qui est requis pour mettre en place des mesures adéquates de protection : la date et l’identité de la personne concernée et le fait que pour des raisons sanitaires des mesures spécifiques doivent être prises la concernant.

Ce traitement sera fondé, pour les données personnelles autres que de santé, sur l’obligation légale à la charge de l’employeur de préserver la sécurité et la santé de ses salariés (article 6.2 c) du RGPD) et pour les données de santé, sur la poursuite de motifs d’intérêt public dans la santé publique par l’employeur (article 9.2 i) du RGPD), le considérant 46 du RGPD visant expressément le suivi des épidémies comme finalité autorisée pour cette base légale.

Cette analyse a été confirmée par l’EDPB dans une déclaration du 19 mars 2020.[4]

Enfin, comme pour tout traitement de données personnelles, il est recommandé :

  • d’informer les salariés de manière claire et précise, en respectant les mentions requises par le RGPD, sur tout traitement de leurs données mis en œuvre en raison de l’épidémie Covid-19, par tout moyen approprié ;
  • de mettre en œuvre des mesures de sécurité adaptées pour protéger les données personnelles collectées en lien avec l’épidémie de Covid-19 ;
  • de ne transmettre des données de santé concernant leurs salariés qu’aux autorités sanitaires à leur demande ;
  • de communiquer auprès de leurs salariés concernant les cas de Covid-19 en s’abstenant de désigner des personnes identifiées ;
  • de prévoir une durée extrêmement limitée à la conservation de telles données, et notamment de les supprimer dès la fin de la crise sanitaire dès lors que l’employeur a accompli l’ensemble de ses obligations légales en lien avec cette dernière.

[1] Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[2] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[3] https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles

[4]https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf