En mars dernier, l’Agence espagnole de protection des données (AEPD) a publié un rapport et un document de questions-réponses dans le but de clarifier, entre autres, ce que les entreprises peuvent faire avec les données des travailleurs pour lutter contre le COVID-19 dans leurs organisations.
L’AEPD est contraignante et stipule catégoriquement que les employeurs peuvent traiter des informations relatives à la santé de leurs travailleurs, sans obtenir leur consentement, mais elle établit quelles circonstances doivent exister et quelles exigences doivent être satisfaites pour que la lutte contre le COVID-19 sur le lieu de travail respecte la réglementation en matière de protection des données personnelles.
On le voit ci-dessous :
- Le respect de la loi sur la prévention des risques professionnels (LPRL) en tant que circonstance permettant d’éviter l’interdiction de traiter des catégories particulières de données
L’article 14 de la LPRL établit que l’employeur a le devoir de protéger les travailleurs contre les risques professionnels qui peuvent survenir au cours du travail, en garantissant leur santé et leur sécurité.
Conformément à cette obligation, l’employeur peut – voire a l’obligation de – traiter les données de santé de ses employés pour les protéger contre le COVID-19, cette obligation prévue dans la LPRL étant la circonstance qui permet le traitement de ces données (article 9.2.b du RGPD : respect des obligations en matière de Droit du Travail et de la Sécurité et Protection Sociales), en relation avec l’article 6.1.c du RGPD (respect d’une obligation légale applicable au responsable du traitement).
Le Comité européen de la protection des données dans sa « Déclaration sur le traitement des données à caractère personnel dans le cadre de l’épidémie de COVID-19 ».
- Traitement des données autorisé dans le cadre de COVID-19
Le traitement des données relatives à la santé que l’entreprise peut effectuer sur ses employés peut prendre la forme suivante :
-
-
-
-
-
-
- La collecte de données sur les employés
-
-
-
-
-
L’employeur doit savoir si le travailleur est infecté ou non afin de concevoir un plan d’urgence pour le COVID-19 qu’il juge le plus approprié, avec l’aide de l’équipe de prévention des risques, pour éviter la propagation du virus sur le lieu de travail.
Pour cette raison, l’employeur peut poser des questions à son personnel, mais uniquement sur l’existence de symptômes, ou si le travailleur a été testé positif au coronavirus, ou encore s’il est tenu de respecter la quarantaine.
Il est contraire aux principes de minimisation des données de faire circuler des questionnaires sanitaires étendus et détaillés, ou d’inclure des questions qui ne sont pas strictement liées à la pandémie.
-
-
-
-
-
-
- Transfert des données relatives aux employés aux autorités
-
-
-
-
-
À la demande des autorités, l’entreprise peut fournir à ces dernières les informations de santé recueillies auprès de ses travailleurs. Ce transfert doit respecter les principes de limitation de la finalité du traitement et de minimisation des données, et toujours en conformité avec les recommandations ou instructions émises par les autorités.
Par exemple, si l’entreprise a eu connaissance d’une infection et peut protéger la santé des travailleurs sans préciser l’identité de la personne infectée (sous forme de pseudonyme), elle doit procéder de cette manière. Si, au contraire, les pratiques d’information partielle ou de pseudonymisation ne protègent pas la santé des employés, ou si les autorités compétentes (en particulier les autorités sanitaires) conseillent de fournir toutes les informations, l’entreprise peut fournir les données d’identification des employés infectés.
- Obligations du travailleur dans le cadre du COVID-19
Dans le même esprit, et selon l’article 29 de la LPRL, le travailleur doit assurer sa propre sécurité et sa propre santé au travail, ainsi que celles de ses collègues.
C’est pourquoi il doit informer immédiatement son supérieur et la personne responsable de la prévention des risques de toute situation que, à son avis, comporte, pour des motifs raisonnables, un risque pour la sécurité et la santé des travailleurs.
Cette obligation est spécifique dans la mesure où le travailleur doit informer son entreprise (et l’entreprise peut le savoir) si une personne est infectée, ou si elle est soupçonnée d’avoir été infectée par le virus, afin de préserver sa propre santé et d’éviter l’infection du reste des travailleurs de l’entreprise. Ainsi, l’employeur peut appliquer les mesures appropriées pour assurer des conditions de travail sûres qui ne présentent pas de risques pour la sécurité et la santé du personnel, conformément à la LPRL.
L’entreprise doit traiter les informations personnelles fournies par le travailleur concerné, conformément au RGPD, en appliquant les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adéquat (art. 32 RGPD).
Enfin, l’AEPD insiste sur le fait que les réglementations relatives à la protection des données ne peuvent pas être utilisées pour entraver le respect des décisions ou limiter les mesures prises par les autorités compétentes (en particulier les autorités sanitaires) pour enrayer la pandémie de coronavirus.
En tout état de cause, le traitement des données relatives à la santé doit respecter les principes énoncés dans la réglementation relative à la protection des données, notamment en ce qui concerne la minimisation des données, la limitation de la finalité et la limitation de la durée de conservation des données.
