S’il doit tout faire pour prévenir les risques de contamination par le covid-19, l’employeur peut-il librement collecter les données de santé des salariés ? Pour répondre à cette question, la Cnil a publié une note rappelant les règles entourant le traitement de ces informations particulières.
Une donnée de santé n’est pas une donnée personnelle comme une autre. Elle fait partie des données « sensibles » et à ce titre, la loi encadre strictement leur collecte et leur exploitation.
L’employeur ne peut collecter les données de santé des salariés que sous certaines conditions. Photo : Unsplash
Au sein des entreprises, les services RH sont amenés à collecter de très nombreuses données personnelles, en particulier pour le traitement de la paie. Sauf rares exceptions – notamment en cas d’accident du travail ou de maladie professionnelle-, ils n’ont pas le droit de détenir d’informations sur l’état de santé de leur personnel. En effet, seule la médecine du travail a accès au dossier médical du salarié. Ainsi, lorsqu’un salarié est placé en arrêt maladie, aucune information sur la nature de sa pathologie ne doit être transmise à l’employeur.
____________
Consulter les offres de formation au Document unique
____________
La transmission des données de santé est autorisée dans certains cas
Cependant la crise sanitaire crée pour l’employeur et pour le salarié des obligations particulières, et rend parfois nécessaire la transmission d’informations liées à l’état de santé de la personne, en particulier si elle a été contaminée.
Comme le rappelle la Cnil, dans une note publiée le 7 mai, l’employeur a l’obligation de protéger la santé de ses salariés (article L4121-1 du code du travail), et dans ce cas précis, du risque de contamination par le covid-19. De même, chaque travailleur doit prendre soin de sa santé et de sa sécurité ainsi que de celle des « autres personnes concernées par ses actes ou omissions au travail » (art. L4122-1).
Par ailleurs, l’employeur a le droit de collecter des données de santé lorsqu’elles sont strictement nécessaires au respect de ses obligations en matière de droit du travail, de sécurité sociale et de protection sociale.
Dans le contexte sanitaire actuel, la Cnil juge donc légitime que l’employeur demande à ses salariés de l’informer en cas de contamination ou de suspicion de contamination. Cette obligation ne s’impose pourtant au salarié que s’il est susceptible d’avoir transmis le virus à une autre personne, c’est-à-dire s’il a été au contact de collègues ou de clients. « Un employé qui serait placé en télétravail ou qui travaillerait de manière isolée sans contact avec ses collègues ou du public n’a pas à faire remonter cette information à son employeur », souligne la commission. Y compris si le salarié en question est placé en arrêt de travail.
Qu’est-ce que le RGPD ? |
|
Le règlement général sur la protection des données (RGPD) est applicable dans tous les pays de l’Union européenne (UE) depuis mai 2018. Il encadre la collecte et le traitement des données à caractère personnel, y compris les données des salariés insérées et exploitées par les fichiers RH.
L’application du RGPD a mis fin à l’obligation de déclaration des fichiers à la Cnil, mais impose aux « responsables de traitement » (ceux qui collectent et exploitent les fichiers) la tenue d’un registre de conformité, susceptible d’être contrôlé. Le RGPD prévoit des sanctions financières élevées en cas de non-respect de la loi : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise. |
____________
Consulter les offres de formation Harcèlement sexuel
____________
Données de santé : confidentialité et transparence
De plus, cette information ne doit être traitée par l’employeur qu’à des fins précises : prendre des mesures organisationnelles (télétravail par exemple), orienter vers le médecin du travail, ou mettre en place des actions de prévention des risques professionnels. Les données récoltées doivent donc se limiter à l’identité de la personne, au fait qu’elle ait indiqué avoir été ou avoir pu être contaminée, et aux mesures organisationnelles prises.
Par ailleurs, l’employeur doit garantir la confidentialité des données récoltées : s’il doit informer les salariés qu’ils ont pu être en contact avec une personne à risque, il ne doit en aucun cas divulguer son identité.
Enfin, il doit assurer une « parfaite transparence » à l’égard des salariés, et les informer (ainsi que le CSE) — comme pour tout dispositif traitant des données personnelles — sur les informations collectées, la finalité, le(s) destinataire(s) de ces données, les droits des personnes (rectification, effacement…), la durée de conservation, etc. (articles 12 et suivants du RGPD).
_______________
Consulter les offres de formation Démarche QVT
_______________
Pas de caméras thermiques ni de campagnes de dépistage
Les données pouvant être traitées par l’employeur dans le cadre de la gestion du risque pandémique, ainsi que leur usage, sont donc fortement limitées. C’est pourquoi la Cnil alerte aussi sur les mesures interdites que certaines entreprises pourraient être tentées de mettre en place.
Ainsi les relevés de température corporelle des personnes entrant sur site sont prohibés, dès lors qu’ils sont enregistrés dans un fichier, ou qu’ils sont automatisés, par exemple s’ils sont effectués au moyen de caméras thermiques.
Seule la prise de température opérée par un thermomètre manuel (comme un thermomètre infrarouge à distance) est permise, à condition qu’aucune trace ne soit conservée, et qu’aucune remontée d’information ne soit effectuée.
Contrôle de température : le ministère du travail le déconseille aussi |
| Même s’il est effectué conformément au RGPD (manuellement et sans traitement des données), le contrôle de température corporelle à l’entrée de l’entreprise est déconseillé par le ministère du Travail. D’une part, son efficacité est contestable : une température corporelle trop élevée n’est pas un symptôme systématique du covid-19, et peut témoigner d’une autre infection. D’autre part, il peut porter une atteinte disproportionnée aux droits des personnes. Les salariés restent notamment en droit de refuser un tel contrôle. « Si l’employeur, devant ce refus, ne laisse pas le salarié accéder à son poste, il peut être tenu de lui verser le salaire correspondant à la journée de travail perdue ». |
_____________
Consulter les offres de formation Prévention des risques professionnels
_____________
Sont également interdits le recensement des salariés présentant des risques particuliers (comorbidités), les campagnes de dépistage du covid-19, les questionnaires sur l’état de santé. Seule la médecine du travail — vers laquelle l’employeur peut se tourner — est habilitée à mettre en place de telles mesures, rappelle la Cnil, et à recueillir les informations médicales sur le salarié, mais aussi des données relatives à sa situation familiale, à ses conditions de vie ou à ses éventuels déplacements. En outre, le résultat des tests de dépistage est soumis au secret médical. L’employeur ne pourra connaître que l’éventuel avis d’aptitude ou d’inaptitude du salarié à reprendre le travail.
Élodie Sarfati
À savoir égal
Agence de digital learning en social-RH
Autres articles dans la même catégorie :
-
DUERP. Quelles nouvelles obligations depuis le 31 mars 2022 ?
-
Port du masque, vaccin, prévention. Quel protocole sanitaire en entreprise ?
-
Tickets-restaurant. Le plafond maintenu à 38 euros
-
Hausse de 10 % du barème kilométrique
-
Protocole sanitaire au travail : ce qu'il faut retenir
-
Passe vaccinal. A qui et où s'impose-t-il ?
-
Comment doit être utilisé le budget ASC du CSE ?
-
Un accident survenu pendant une activité sportive peut-il être un accident de travail ?
-
Les principales mesures de la loi Santé au travail. DU numérique, médecin du travail...
-
Passe sanitaire. Où et à qui s'impose-t-il ?