Covid-19 : comment protéger la santé de mon personnel sur site en respectant sa vie privée et le RGPD ?

Certains employeurs souhaitent mettre en place des mesures préventives pour enrayer la propagation du Corona virus, mais comment les justifier du point de vue du RGPD ?

Aucun employeur belge n’a pu passer à côté des différents arrêtés ministériels et des mesures de distanciation sociale à mettre en place. Outre les mesures physiques que toutes les sociétés sont amenées à respecter afin de veiller à la sécurité et à la santé des travailleurs, certains employeurs pourraient être tentés d’aller encore plus loin.

La question se pose de savoir s’il est possible d’instaurer un contrôle systématique de la température du travailleur ou de lui faire remplir un questionnaire relatif à sa santé. Tous ces éléments doivent être analysés du point de vue du droit social évidemment mais également sous l’angle de la protection des données.

Si l’employeur doit en effet veiller à la santé du travailleur conformément à la loi du 3 juillet 1978 relative aux contrats de travail et au Code sur le bien-être au travail, il doit également respecter sa vie privée. Ainsi, et dès lors qu’il traite des données dites à caractère personnel, l’employeur doit respecter le Règlement Général sur la Protection des Données (ci-après RGPD).

1. Champ d'application du RGPD

Il convient tout d’abord pour l’employeur de vérifier que la mesure qu’il souhaite mettre en place constitue bien un traitement de données et est donc soumis au RGPD.

L’Autorité de Protection des Données (ci-après l’APD) indique par exemple à ce sujet que la prise de température seule (par caméra thermique ou autre moyen) n’est pas considérée comme un traitement de données à caractère personnel tant qu’elle ne s’accompagne pas d’un enregistrement ou d’un autre traitement de données personnelles.

2. Licéité et fondement légal du traitement de données

Conformément au RGPD, tout traitement doit reposer sur l’une des bases de légitimité reprise à l’article 6 du RGPD afin de pouvoir être considéré comme licite. Les traitements des données prises dans le cadre des mesures sanitaires préventives en cette période de crise ne font pas exception.

Rappelons par ailleurs que la collecte de données relatives à la santé (considérées comme des données dites « sensibles ») est en outre normalement interdite par le RGPD excepté dans certains cas précis listés à l’article 9.2 du Règlement.

En l’occurrence, seules 2 exceptions pourraient couvrir la mise en place de mesures spécifiques traitant des données liées à la santé :

Le traitement se base sur le consentement de la personne concernée
Attention, nous nous devons de préciser que l’utilisation du consentement dans la relation employeur-employé doit être limitée voir évitée vu les difficultés à prouver (par l’employeur) que le consentement est donné librement par l’employé. L’existence d’un lien de subordination entre les deux parties fait en effet perdre son caractère “libre” au consentement de l’employé.
Le traitement est nécessaire à l'exécution d'une obligation en matière du droit du travail
Dans ce cas, soulignons que l’évaluation de santé ne peut être effectuée que par le médecin de travail lui-même et non par l’employeur.
Un employeur pourrait être tenté de justifier un traitement en indiquant que celui-ci est “nécessaire à la sauvegarde des intérêts vitaux” d’un individu. Cette base légale ne peut toutefois être utilisée que dans des circonstances très strictes telles que l’admission d’une personne inconsciente aux urgences pour laquelle il faudrait consulter son dossier médical sans son consentement. L’APD indique par conséquent que, dans l’état actuel des choses, rien ne justifie une application étendue de cette base légale malgré les circonstances exceptionnelles.
En ce qui concerne la base légale « nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique » mentionnée à l’article 9.2 i) du RGPD, elle ne pourrait quant à elle se justifier que si une recommandation formelle des autorités imposait la mesure mise en place par l’entreprise, ce qui n’est toujours pas le cas actuellement.

3. Autres principes en matière de protection des données

Outre les principes relatifs à la licéité, l’employeur devra être attentif à respecter l’ensemble des règles imposées par le RGPD.

Par conséquent, l’employeur devra veiller à tenir compte du principe de proportionnalité et du principe de minimisation prévus à l’article 5.1 c) et e) du RGPD. Seules les données strictement nécessaires pour atteindre le but recherché devront être collectées et traitées par l’employeur.

Le principe de transparence (article 5.1 a) du RGPD) devra également être respecté par l’entreprise qui collecte les données de ses travailleurs. Celle-ci est évidemment invitée à informer les employés et les éventuels visiteurs de l’ensemble des traitements réalisés et de la durée de conservation des données.

Enfin, l’employeur devra être attentif aux mesures de sécurité mises en place notamment afin d’assurer l’intégrité et la confidentialité des données traitées.

4. En pratique

En pratique, l’employeur est évidemment invité à discuter avec ses représentants du personnel de la crise actuelle et des éventuelles mesures qu’il met en place.

L’employeur peut toujours interroger ses employés sur d’éventuels voyages dans des zones à risques ou sur d’éventuels symptômes mais ne peut en aucun cas obliger le travailleur à remplir un questionnaire relatif à sa santé. Même en cas de réponse volontaire de la part de l’employé, nous invitons l’employeur à ne pas traiter administrativement ou à enregistrer, à des fins propres, les informations du travailleur relatives à son éventuelle contamination.

L’employeur peut toujours suggérer au travailleur qui présente des symptômes de se rendre chez son médecin ou de mettre en place un système de télétravail, il peut également prendre contact avec le médecin du travail qui décidera ou non de soumettre le travailleur à une évaluation de santé conformément au Code du bien-être au travail.

A nouveau, les données de santé récoltées dans le cadre de cette évaluation ne doivent selon nous pas être conservées par l’employeur dès lors que celui-ci ne dispose pas d’une base légale pour ce faire.

Précisons enfin, que l’employeur n’est pas autorisé à divulguer le nom de l’employé contaminé aux autres membres de son personnel, sous peine de créer une certaine stigmatisation. Rien n’empêche toutefois l’entreprise d’avertir les travailleurs de la présence de cas au sein de la société.

Il est évident que la situation de crise entraîne la prise de mesures exceptionnelles. Toutefois, ces mesures ne doivent pas mettre à mal la vie privée des travailleurs.

Avez-vous un doute sur la conformité des mesures que vous voulez mettre en place ? Contactez nos experts !

Géraldine Polet – Consultante et DPO (CIPP/E) @ CTI Consulting

 

Portait Florence Garcet

Florence Garcet – Avocate @ Henry et Mersch

 

Étiqueté