L'organisation peut-elle collecter des données à caractère personnel dans le cadre de la mise en œuvre du plan d'urgence COVID-19 ?

Toute organisation peut collecter des données à caractère personnel dans le cadre de la mise en œuvre d'un plan d'urgence pour autant qu’elle s'assure qu'un ensemble d'exigences sont respectées. Dès lors, il faut s'assurer que les données à collecter sont appropriées et non excessives, et que seules les données réellement nécessaires à la finalité en question seront traitées.

Les exigences légales applicables varient en fonction du type de données à collecter et, dans certains cas, le type de personne concernée (salariés, membres de la famille des salariés, clients ou prestataires de services) peut également avoir une incidence sur les règles à respecter.

 

Les données relatives aux voyages peuvent-elles être collectées ?

Si l'organisation entend collecter des informations concernant les voyages effectués ou à effectuer, les lieux visités ou les personnes rencontrées (données pouvant être qualifiées de données relatives à la vie privée), elle doit s'assurer que, d'une part, ces données sont effectivement nécessaires à la mise en œuvre du plan d'urgence et que, d'autre part, l'une des conditions de licéité du traitement de ces données est remplie. 

 

Des données de santé relatives au contrôle de la température corporelle peuvent-elles être collectées ?

La résolution du Conseil des ministres n° 25-A/2022 du 17 février a déclaré une situation d'alerte dans le cadre de la pandémie de la maladie COVID-19. Avec son approbation, la résolution du Conseil des ministres n° 157/2021 du 27 novembre, qui comprenait une disposition sur le contrôle de la température corporelle, a été abrogée. En ces termes, dans le cadre des mesures exceptionnelles et temporaires en réponse à l'épidémie de SARS-CoV-2 et à la maladie COVID-19 dans le contexte de la déclaration d'une situation d'alerte, le dépistage ou la mesure de la température corporelle n'est actuellement prévu que pour les situations de trafic aérien, comme le prévoient les paragraphes c) et d) de l'article 8, paragraphe 1 du régime annexé à la résolution du Conseil des ministres n° 25-A/2022, du 17 février.

La Commission nationale de protection des données (Comissão Nacional de Proteção de Dados - CNPD) considère - dans ses lignes directrices publiées concernant le traitement des données personnelles de santé réglementé par le décret nº 8/2020, du 8 novembre (expiré), actuellement prévu dans le régime annexé à la Résolution du Conseil des Ministres n. 25-A/2022, du 17 février, que le contrôle de la température corporelle est un traitement de données personnelles de santé soumis au RGPD, lorsqu'il est possible d’identifier les personnes. C'est le cas, par exemple, lors de l'accès au lieu de travail, aux établissements d'enseignement et de formation ou aux salles de sport ; ou encore lorsque l'établissement ou le lieu est équipé de systèmes de contrôle avec lecture de données biométriques ou de vidéosurveillance avec enregistrement d'images (ce qui augmente la possibilité d'identification des personnes).

Bien qu'elle examine d'autres bases possibles, la CNPD considère que la base juridique la plus appropriée en vue de légitimer le traitement sera sa nécessité pour des raisons d'intérêt public en matière de santé publique, sur la base du droit de l'Union ou des États membres prévoyant des mesures appropriées et spécifiques pour sauvegarder les droits et libertés de la personne concernée, en particulier le secret professionnel (article 9, paragraphe 2, point i), du RGPD).

La CNPD considère que les mesures prévues par le décret n° 8/2020, du 8 novembre, concernant le contrôle de la température corporelle ne sauvegardaient pas suffisamment les droits et libertés des personnes concernées en ne prévoyant pas une règle obligeant les travailleurs chargés du contrôle de la température à un devoir de confidentialité. Avec la révocation du régime joint à la Résolution du Conseil des Ministres n° 157/2021, du 27 novembre (à savoir son article 4, n° 5), ce devoir de confidentialité des travailleurs n'est plus prévu.

Enfin, la CNPD estime que pour appliquer l'article 4 du décret 8/2020, du 8 novembre, conformément au RGPD, les responsables du traitement des données personnelles doivent également définir et mettre en œuvre les procédures qui suivent la détection d'un cas de température égale ou supérieure à 38ºC et qui garantissent la discrétion et la dignité du traitement de la personne contrôlée , ce qui est prévu au paragraphe d) de l'article 8, n° 1 du régime annexé à la résolution du Conseil des ministres n° 25-A/2022, du 17 février.

 

Des données de santé relatives à la réalisation de tests de diagnostic du SARS-COV-2 peuvent-elles être collectées ?

La réalisation de tests fait partie du traitement des données personnelles sur la santé soumis au RGPD.

Aux termes de l'article 4 du régime annexé à la Résolution du Conseil des Ministres n° 25-A/2022, du 17 Février, la réalisation de tests de diagnostic du SARS-COV-2, ainsi que l'utilisation du certificat numérique COVID de l'UE, n’entrave pas le droit à la protection des données à caractère personnel, étant expressément interdit d'enregistrer ou de conserver les données personnelles qui y sont associées, y compris la preuve de la réalisation du test et les données concernant l'identité de la personne - sauf autorisation expresse de sa part - et la consultation de ces données doit être limitée à ce qui est strictement nécessaire selon l'objectif du test.

Selon la CNPD, la règle énoncée dans le décret n° 8/2020, du 8 novembre (actuellement l'article 4 du régime annexé à la Résolution du Conseil des Ministres n° 25-A/2022, du 17 Février), ne définit pas les circonstances dans lesquelles les tests de diagnostic peuvent être imposés par des entités publiques et privées, ni ne définit qui collecte l'échantillon à des fins de diagnostic et qui analyse les résultats des tests (dans un contexte de tendance à la stigmatisation et à la discrimination des porteurs du virus).

Cette compréhension de la CNPD ne varie pas en fonction du type de tests effectués, et s'applique également aux tests rapides d'antigènes. Les conditions d'utilisation des différents types de tests de diagnostic sont définies dans la norme de la Direction générale de la santé (Direção-Geral da Saúde – DGS) n° 019/2020 du 26 octobre 2020 (mise à jour au 1er décembre 2021) relative à la stratégie nationale de dépistage du SARS-CoV-2.

Par conséquent, la CNPD considère que pour pouvoir appliquer la règle contenue dans l'article 5 du décret n° 8/2020 du 8 novembre (actuellement l'article 4 du régime annexé à la Résolution du Conseil des Ministres n° 25-A/2022, du 17 Février), conformément au RGPD, les responsables du traitement des données à caractère personnel doivent (i) s'assurer que c'est un professionnel de la santé, soumis à l'obligation de secret professionnel, qui effectue les tests de diagnostic ; et (ii) définir et exécuter les procédures qui découlent de la détection d'un résultat positif, qui doivent garantir la discrétion et la dignité du traitement de la personne testée.

 

Quelles autres précautions faut-il prendre ?

Dans tous les cas, l'organisation doit fournir des informations sur les conditions dans lesquelles les données seront traitées dans le cadre du plan d'urgence et identifier les fins pour lesquelles les données seront utilisées. Dans le cas de la collecte de données auprès des membres de la famille des employés, et puisque l'organisation n'a pas de relation directe avec ces personnes, il peut être plus difficile de garantir la fourniture d'informations.

Étant donné la sensibilité des données, des mesures de sécurité, techniques et organisationnelles appropriées doivent être prises pour garantir la confidentialité des données.

Compte tenu de la limitation du traitement (c'est-à-dire que la collecte des données est liée à l'adoption d'un plan d'urgence COVID-19), il convient de s'assurer qu'à la fin de cette période, les données seront supprimées par l'organisation et ne seront pas utilisées à d'autres fins.

 

L'organisation peut-elle contrôler l’exécution du travail du salarié en télétravail ?

La CNPD a émis des directives, établissant que l'employeur conserve les pouvoirs de diriger et de contrôler l'exécution du travail. Sans préjudice, la règle générale d'interdiction de l'utilisation de moyens de surveillance à distance, afin de contrôler les performances professionnelles du salarié, s'applique.

Par conséquent, les solutions technologiques de contrôle à distance des performances des travailleurs, telles que les logiciels qui contrôlent le temps de travail et d'arrêt, enregistrent les pages Internet visitées, la localisation en temps réel du terminal et l'utilisation d'appareils périphériques, ne sont pas autorisées. De même, il n'est pas permis d'exiger du salarié qu'il maintienne la caméra vidéo allumée en permanence, ni, en principe, d'autoriser la possibilité d'enregistrer des téléconférences entre l'employeur (ou les dirigeants) et les salariés.

Toutefois, la CNPD admet que l'enregistrement du temps de travail peut être effectué en utilisant des solutions technologiques spécifiques dans ce régime de télétravail, qui doivent se limiter à reproduire l'enregistrement effectué lorsque le travail est effectué dans les locaux de l'employeur. Sans ces outils, il est exceptionnellement légitime pour l'employeur de fixer l'obligation d'envoyer un e-mail, un SMS ou toute autre moyen similaire.

 

Les autorités de protection des données se sont-elles prononcées sur cette question ?

Certaines autorités de protection des données ont déjà publié des lignes directrices à ce sujet :

Récemment, la CNPD a publié une série de directives :

Concernant l'application STAYAWAY COVID, et suite à la résolution 2020/277 de la CNPD, le décret-loi 52/2020 du 11 août a été approuvé, établissant, comme entité responsable du traitement des données à caractère personnel collectées, la DGS, et réglementant également l'intervention du médecin dans le système STAYAWAY COVID.

 

 

__________________________________

Cette information est régulièrement mise à jour.

Les informations fournies et les opinions exprimées sont de nature générale et ne remplacent pas le recours à des conseils juridiques appropriés pour la résolution de cas spécifiques.