Qui peut légitimement les collecter ?
D’après le Règlement général sur les données personnelles, la santé produit des « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique […] »
Ces données très sensibles engendrent des risques d’atteintes à la vie privée et au secret médical. Leur traitement est par principe interdit, mais cette règle souffre d’exceptions. Les données de santé peuvent être collectées par exemple dans l’intérêt public, pour de la pharmacovigilance ou de la recherche.
Dans quelles mesures les employeurs peuvent-ils collecter les données de santé de leurs employés ? Est-ce considéré comme une atteinte au respect de la vie privée ?
Les employeurs ne peuvent pas collecter les données de santé de leurs employés. Cela serait une atteinte au respect de la vie privée. Le dossier médical de l’employé est détenu par les services de la médecine du travail. L’employeur ou le service des ressources humaines n’ont pas le droit de posséder des informations médicales sur le personnel, excepté dans le cas d’un accident du travail ou d’une maladie professionnelle dont il serait responsable.
L’employeur est-il soumis à des obligations d’hygiène et de sécurité envers ses salariés dans une situation de crise sanitaire ?
L’employeur est soumis à une obligation générale de sécurité envers ses salariés. Il doit mettre en œuvre les mesures de prévention nécessaires ainsi que des actions d’information et de formation. L’employeur doit donc procéder à l’évaluation du risque dans l’entreprise en identifiant les situations de travail dans lesquelles les risques de contamination sont importants. Le Document unique d’évaluation des risques (Duerp) sera mis à jour afin d’intégrer cette évaluation et le risque coronavirus. Les mesures prises par l’employeur devront faire l’objet d’une communication aux salariés. À défaut de respect par l’employeur de son obligation, il s’expose à ce que sa responsabilité soit engagée.
L’employé/e a-t-il lui/elle aussi une responsabilité sanitaire envers autrui dans l’entreprise ?
Le/la salarié/e est également soumis/e à une obligation de sécurité. Il/elle doit prendre soin de sa santé et de sa sécurité et de celles des autres personnes concernées par ses actes ou ses omissions au travail. Elle/il doit informer son employeur en cas de suspicion de contact avec le virus. À défaut, elle/il pourrait commettre un manquement à cette obligation.
Quelles sont les recommandations de la Cnil à propos de la collecte des données personnelles de santé ? À quelles sanctions s’exposent les contrevenant/es ?
Le 6 mars 2020, la Cnil a apporté des recommandations spécifiques au coronavirus. Les employeurs ne peuvent pas prendre de mesures portant atteinte au respect de la vie privée des employés, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. La collecte systématique et généralisée, par enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé et ses proches – exemple : relevés obligatoires des températures corporelles de chaque employé – est interdite.
Il peut par exemple, au regard de sa responsabilité de la santé et de la sécurité des salariés, inviter ses employés à l’informer ou informer les autorités sanitaires en cas d’une éventuelle exposition.
En cas de signalement, un employeur peut consigner :
• la date et l’identité de la personne suspectée d’avoir été exposée,
• les mesures organisationnelles prises (confinement, télétravail, etc.).
Il pourra ainsi communiquer aux autorités sanitaires les circonstances de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale.
À quelles sanctions s’expose-t-on en cas de non-respect de ces recommandations ?
L’employeur s’expose à des sanctions pénales. S’il/elle met ou conserve en mémoire informatisée, sans le consentement exprès de l’employé, des données à caractère personnel relatives à la santé, il/elle risque 5 ans d’emprisonnement et 300 000 euros d’amende. En cas de constatation de violations de données personnelles, le responsable de traitement a une obligation d’en notifier la Cnil et la personne intéressée. En l’absence de notification, celui-ci risque 5 ans d’emprisonnement et 300 000 euros d’amende.
Mélanie Erber, avocate associée chez Coblence avocats
Laurent Guardelli, avocat associé chez Coblence avocats