L'organisation peut-elle collecter des données à caractère personnel dans le cadre de la mise en œuvre du plan d'urgence COVID-19 ?

Toute organisation peut collecter des données à caractère personnel dans le cadre de la mise en œuvre d'un plan d'urgence pour autant qu’elle s'assure qu'un ensemble d'exigences sont respectées. Dès lors, il faut s'assurer que les données à collecter sont appropriées et non excessives, et que seules les données réellement nécessaires à la finalité en question seront traitées.

Les exigences légales applicables varient en fonction du type de données à collecter et, dans certains cas, le type de personne concernée (salariés, membres de la famille des salariés, clients ou prestataires de services) peut également avoir une incidence sur les règles à respecter.

 

Les données relatives aux voyages peuvent-elles être collectées ?

Si l'organisation entend collecter des informations concernant les voyages effectués ou à effectuer, les lieux visités ou les personnes rencontrées (données pouvant être qualifiées de données relatives à la vie privée), elle doit s'assurer que, d'une part, ces données sont effectivement nécessaires à la mise en œuvre du plan d'urgence et que, d'autre part, l'une des conditions de licéité du traitement de ces données est remplie. 

 

Des données de santé relatives au contrôle de la température corporelle peuvent-elles être collectées ?

La Commission nationale de protection des données ("CNPD") comprend - dans ses lignes directrices publiées sur le traitement des données personnelles de santé réglementées dans le décret n° 8/2020 du 8 novembre, actuellement réglementées par le décret n° 7/2021 du 17 avril -, que le contrôle de la température corporelle est un traitement de données personnelles de santé soumis au RGPD, lorsqu'il est possible d’identifier les personnes. C'est le cas, par exemple, lors de l'accès au lieu de travail, aux établissements d'enseignement et de formation ou aux salles de sport ; ou encore lorsque l'établissement ou le lieu est équipé de systèmes de contrôle avec lecture de données biométriques ou de vidéosurveillance avec enregistrement d'images (ce qui augmente la possibilité d'identification des personnes).

Bien qu'elle examine d'autres bases possibles, la CNPD considère que la base juridique la plus appropriée en vue de légitimer le traitement sera sa nécessité pour des raisons d'intérêt public en matière de santé publique, sur la base du droit de l'Union ou des États membres prévoyant des mesures appropriées et spécifiques pour sauvegarder les droits et libertés de la personne concernée, en particulier le secret professionnel (article 9, paragraphe 2, point i), du RGPD).

La CNPD considère que les mesures prévues par le décret n° 8/2020 concernant le contrôle de la température corporelle ne sauvegardaient pas suffisamment les droits et libertés des personnes concernées en ne prévoyant pas une règle obligeant les travailleurs chargés du contrôle de la température à un devoir de confidentialité. Ce devoir de confidentialité des travailleurs est désormais prévu à l'article 7, n° 5 du décret n°7/2021.

Enfin, la CNPD estime que pour appliquer l'article 4 du décret 8/2020 (actuellement l’article 7 du décret n° 7/2021), conformément au RGPD, les responsables du traitement des données personnelles doivent également définir et mettre en œuvre les procédures qui suivent la détection d'un cas de température égale ou supérieure à 38ºC et qui garantissent la discrétion et la dignité du traitement de la personne contrôlée.

 

Des données de santé relatives à la réalisation de tests de diagnostic du SARS-COV-2 peuvent-elles être collectées ?

La réalisation de tests fait partie du traitement des données personnelles sur la santé soumis au RGPD. Selon la CNPD, la règle actuellement énoncée dans le décret 7/2021 ne définit pas les circonstances dans lesquelles les tests de diagnostic peuvent être imposés par des entités publiques et privées, ni ne définit qui collecte l'échantillon à des fins de diagnostic et qui analyse les résultats des tests (dans un contexte de tendance à la stigmatisation et à la discrimination des porteurs du virus).

Cette compréhension de la CNPD ne varie pas en fonction du type de tests effectués, et s'applique également aux tests rapides d'antigènes. Les différents tests de diagnostic ne peuvent être effectués que par des professionnels de la santé, conformément à la norme DGS n° 019/2020 du 26 octobre 2020 (mise à jour le 26 mars 2021), concernant la stratégie nationale de dépistage du SARS-CoV-2, où les conditions d'utilisation des différents types de tests sont définies.

Par conséquent, la CNPD considère que pour pouvoir appliquer la règle actuellement contenue dans l'article 8 du décret n° 7/2021, conformément au RGPD, les responsables du traitement des données à caractère personnel doivent (i) s'assurer que c'est un professionnel de la santé, soumis à l'obligation de secret professionnel, qui effectue les tests de diagnostic ; et (ii) définir et exécuter les procédures qui découlent de la détection d'un résultat positif, qui doivent garantir la discrétion et la dignité du traitement de la personne testée.

 

Quelles autres précautions faut-il prendre ?

Dans tous les cas, l'organisation doit fournir des informations sur les conditions dans lesquelles les données seront traitées dans le cadre du plan d'urgence et identifier les fins pour lesquelles les données seront utilisées. Dans le cas de la collecte de données auprès des membres de la famille des employés, et puisque l'organisation n'a pas de relation directe avec ces personnes, il peut être plus difficile de garantir la fourniture d'informations.

Étant donné la sensibilité des données, des mesures de sécurité, techniques et organisationnelles appropriées doivent être prises pour garantir la confidentialité des données.

Compte tenu de la limitation du traitement (c'est-à-dire que la collecte des données est liée à l'adoption d'un plan d'urgence COVID-19), il convient de s'assurer qu'à la fin de cette période, les données seront supprimées par l'organisation et ne seront pas utilisées à d'autres fins.

 

L'organisation peut-elle contrôler l’exécution du travail du salarié en télétravail ?

La CNPD a émis des directives, établissant que l'employeur conserve les pouvoirs de diriger et de contrôler l'exécution du travail. Sans préjudice, la règle générale d'interdiction de l'utilisation de moyens de surveillance à distance, afin de contrôler les performances professionnelles du salarié, s'applique.

Par conséquent, les solutions technologiques de contrôle à distance des performances des travailleurs, telles que les logiciels qui contrôlent le temps de travail et d'arrêt, enregistrent les pages Internet visitées, la localisation en temps réel du terminal et l'utilisation d'appareils périphériques, ne sont pas autorisées. De même, il n'est pas permis d'exiger du salarié qu'il maintienne la caméra vidéo allumée en permanence, ni, en principe, d'autoriser la possibilité d'enregistrer des téléconférences entre l'employeur (ou les dirigeants) et les salariés.

Toutefois, la CNPD admet que l'enregistrement du temps de travail peut être effectué en utilisant des solutions technologiques spécifiques dans ce régime de télétravail, qui doivent se limiter à reproduire l'enregistrement effectué lorsque le travail est effectué dans les locaux de l'employeur. Sans ces outils, il est exceptionnellement légitime pour l'employeur de fixer l'obligation d'envoyer un e-mail, un SMS ou toute autre moyen similaire.

 

Les autorités de protection des données se sont-elles prononcées sur cette question ?

Certaines autorités de protection des données ont déjà publié des lignes directrices à ce sujet :

Récemment, la CNPD a publié une série de directives :

Concernant l'application STAYAWAY COVID, et suite à la résolution 2020/277 de la CNPD, le décret-loi 52/2020 du 11 août a été approuvé, établissant, comme entité responsable du traitement des données à caractère personnel collectées, la Direction Générale de la Santé, et réglementant également l'intervention du médecin dans le système STAYAWAY COVID.

 

 

__________________________________

Cette information est régulièrement mise à jour.

Les informations fournies et les opinions exprimées sont de nature générale et ne remplacent pas le recours à des conseils juridiques appropriés pour la résolution de cas spécifiques.