Claeys & Engels
Rechercher

Newsflash RGPD: Quelles sont les données à caractère personnel que les entreprises peuvent traiter dans la lutte contre le COVID-19 ?

Newsflash
Protection des données et de la vie privée

En raison de la pandémie du COVID-19, les entreprises prennent diverses mesures de prévention pour éviter la propagation du virus. Cela passe par des questionnaires (sur les destinations récentes, les symptômes médicaux,..), à la mesure de la température corporelle (avec un thermomètre ou même avec des caméras thermiques) et à la fourniture de tests d'immunité. Dans le cadre de ces mesures, des données à caractère personnel des travailleurs et des visiteurs font l’objet, dans la plupart des cas, d’un traitement. Il convient donc de se demander jusqu'où une entreprise peut aller à cet égard ?

Traitement des données sensibles

Les examens médicaux ne constituent pas en soi un traitement de données à caractère personnel. Cependant, dès que des informations sont collectées, stockées, transmises, consultées,... des données à caractère personnel sont traitées, ce qui implique l’obligation de respecter la législation sur la protection des données, en ce compris le RGPD.

Dès que des données relatives à la santé d'une personne sont traitées, une prudence supplémentaire s'impose. En effet, les données relatives à la santé sont des données sensibles et bénéficient d'une protection spécifique en vertu du RGPD.

Dans ses récentes lignes directrices 03/2020, le Comité Européen de la Protection des Données a rappelé que les données relatives à la santé représentent un vaste concept. Tant les résultats d'un test médical ou d'un traitement médical, que les informations traitées dans le cadre d'une enquête (par exemple, sur les symptômes) tombent sous le concept de ce que l’on appelle les « données relatives à la santé ».

Base juridique ?  

Le RGPD stipule que tout traitement de données à caractère personnel nécessite une base juridique (par exemple, une obligation légale ou les intérêts légitimes de l'entreprise). En outre, si des données sensibles sont traitées, l'entreprise devra invoquer une exception spécifique car ce traitement est en principe interdit.

Par exemple, on pourrait défendre qu’une entreprise puisse invoquer une base juridique valable pour recueillir des informations par le biais, par exemple, de questionnaires sur des destinations récentes ou sur des symptômes. Ainsi, une entreprise pourrait faire valoir qu'elle a l'obligation, en vertu de la législation relative au bien-être au travail, d'analyser les risques résultants du COVID-19  afin de pouvoir prendre des mesures adéquates pour assurer la santé, la sécurité et le bien-être de ses travailleurs, ou pourrait invoquer son intérêt légitime à protéger notamment (la santé de) ses travailleurs et ses clients et ses intérêts économiques (en empêchant que tous les travailleurs tombent malades en même temps).  

Toutefois, pour traiter des données relatives à la santé, il est non seulement nécessaire d’invoquer une base juridique générale, mais aussi de disposer d'une exception permettant un tel traitement. Dans le cadre de consultation de données médicales, ou de l'introduction de tests médicaux associés au traitement de données relatives à la santé, les exceptions suivantes peuvent être pertinentes :   

1. Le consentement explicite de la personne concernée 

Le RGPD exige que le consentement soit libre, spécifique, éclairé et univoque. Cela signifie, entre autres, qu'il ne peut pas y avoir de rapport de force inégal entre la personne responsable du traitement et la personne concernée. Pour cette raison, le consentement ne constitue pas une exception solide dans le contexte d'une relation de travail. En outre, si le consentement peut être donné, il peut aussi être révoqué à chaque instant. 

2. La nécessité de respecter et d'exercer les droits spécifiques du responsable du traitement ou de la personne concernée en matière de droit du travail et de droit de la sécurité sociale ou pour des finalités relatives à la médecine préventive ou à la médecine du travail

Dans le cadre de la législation relative au bien-être et du "duty of care", l'employeur est tenu de prendre des mesures préventives, après analyse des risques et consultation des services de prévention interne et externe et de l'organe de concertation compétent (CPPT/délégation syndicale, ou à défaut , les travailleurs eux-mêmes). Il ne semble pas exclu que, dans certaines organisations, pour certaines fonctions, de tels tests puissent être justifiés. Il convient donc de tenir compte des limites de la législation relative au bien-être au travail (le contrôle est effectué par un médecin du travail ou sous sa supervision et est limité  aux fonctions à haut risque).

3. Nécessité pour des raisons d'intérêt public majeur lorsque le droit de l'Union ou des États membres le prévoit. Pour l'instant, le droit belge ne prévoit pas de telles dérogations pour les entreprises.

Point de vue du Comité Européen de la Protection des Données

Dans une déclaration générale du 16 mars 2020 (complétée le 19 mars 2020), le Comité Européen de la Protection des Données a déclaré que le RGPD n'entravait pas la lutte contre le COVID-19, y compris par les employeurs, mais que cela ne devait toutefois pas empêcher, même en cette période, de continuer à veiller à ce que la législation sur la protection des données soit respectée. Cependant, en ce qui concerne le traitement des données à caractère personnel par les employeurs, le Comité se réfère principalement à l'applicabilité du droit national.

Point de vue de l’Autorité de Protection des Données

L'autorité de protection des données (APD) a publié sur son site internet une position assez stricte sur le traitement des données à caractère personnel dans le cadre de la relation de travail, dans laquelle elle déclare, entre autres, que :

  • Les employeurs ne peuvent pas obliger leurs travailleurs à compléter des questionnaires médicaux ou des questionnaires relatifs aux récents voyages. Selon l’APD, il est recommandé d'encourager les travailleurs à signaler spontanément des voyages à risques ou des symptômes ;
     
  • En vue de prévenir la propagation du virus COVID-19, un employeur ne peut pas librement révéler les noms des personnes concernées / des travailleurs. L’employeur peut seulement informer les travailleurs d’une contamination, sans mentionner l'identité de la (des) personne(s) concernée(s) ;
     
  • La simple prise de température corporelle ne constitue pas en soi un traitement de données à caractère personnel (et le RGPD n’est donc pas d’application) pour autant que ces prises de température ne s’accompagnent pas d’un enregistrement ou d’un traitement de données à caractère personnel. L’APD insiste toutefois sur le fait qu’un employeur ne peut pas prendre de mesures qui sortent du cadre du droit du travail existant.

Point d'action

Si vous souhaitez traiter des données à caractère personnel dans le but de lutter contre les risques liés au COVID-19, analysez soigneusement les risques et les limites dans le cadre de la législation relative au bien-être au travail mais aussi au regard du droit à la protection des données.

En outre, si le traitement est autorisé, les principes du RGPD doivent être strictement respectés, notamment :

  • Traitement minimal des données (ne traiter que ce qui est strictement nécessaire) ;
  • Limitation du stockage (ne conserver les données qu'aussi longtemps que nécessaire) ;
  • Respect du devoir de transparence ;
  • Sécurité des données et limitation de l'accès à une liste restreinte de personnes soumises à une obligation de confidentialité.