L'organisation peut-elle collecter des données à caractère personnel dans le cadre de la mise en œuvre du plan d'urgence COVID-19 ?

Toute organisation peut collecter des données à caractère personnel dans le cadre de la mise en œuvre d'un plan d'urgence pour autant qu’elle s'assure qu'un ensemble d'exigences sont respectées. Dès lors, il faut s'assurer que les données à collecter sont appropriées et non excessives, et que seules les données réellement nécessaires à la finalité en question seront traitées.

Les exigences légales applicables varient en fonction du type de données à collecter et, dans certains cas, le type de personne concernée (salariés, membres de la famille des salariés, clients ou prestataires de services) peut également avoir une incidence sur les règles à respecter.

 

Les données relatives aux voyages et à la santé peuvent-elles être collectées ?

Si l'organisation entend collecter des informations concernant les voyages effectués ou à effectuer, les lieux visités ou les personnes rencontrées (données pouvant être qualifiées de données relatives à la vie privée), elle doit s'assurer que, d'une part, ces données sont effectivement nécessaires à la mise en œuvre du plan d'urgence et que, d'autre part, l'une des conditions de licéité du traitement de ces données est remplie. 

Si l'organisation souhaite collecter des données sur la santé (données qualifiées de catégories particulières de données), les exigences légales sont plus strictes, car la règle est que cette collecte est interdite.
Le RGPD prévoit toutefois un certain nombre de situations exceptionnelles qui permettent le traitement de données relatives à la santé - parmi lesquelles (i) le consentement, (ii) la nécessité de traiter des données aux fins de l'exécution des obligations et de l'exercice des droits en matière d'emploi, et (iii) la nécessité de traitement pour des raisons de santé publique.

La Commission nationale de protection des données (CNPD) a publié, le 23 avril 2020, des lignes directrices concernant la collecte de données sur la santé des salariés, étant entendu que la prévention de la contamination peut en effet justifier l'intensification des soins d'hygiène des salariés (p. ex. concernant le lavage des mains), ainsi que l'adoption de mesures organisationnelles concernant la répartition dans l'espace des salariés ou leur protection physique, et certaines mesures de surveillance, comme établi dans les lignes directrices de la Direction générale de la santé.

Cependant, la CNPD estime qu'il n'est pas justifié d'accomplir des actes qui, selon le droit national, seules les autorités sanitaires ou le salarié lui-même, dans un processus d'autocontrôle, peuvent accomplir.

La CNPD considère qu'un employeur ne peut pas collecter et enregistrer la température corporelle de ses employés ou toute autre information relative à la santé ou à un éventuel comportement à risque de ses employés. Toutefois il reste possible pour le professionnel de santé de la médecine du travail d'évaluer l'état de santé des salariés et d'obtenir toute information nécessaire pour évaluer l'aptitude au travail, selon les termes généraux définis dans la loi sur la sécurité et la santé au travail.

Entre-temps, le décret-loi 20/2020, qui prévoit la possibilité de prise de la température des travailleurs à des fins d'accès et de permanence sur le lieu de travail, a été publié. Aux termes dudit décret-loi, il est expressément interdit d'enregistrer la température corporelle associée à l'identité de la personne, sauf autorisation formelle de celle-ci.

Dans la mesure où la CNPD n'a pas encore émis un avis ou modifié les lignes directrices émises suite à l'approbation du décret-loi 20/2020, les organisations devront suivre les développements futurs afin d'évaluer et d'identifier les mesures appropriées

 

Quelles autres précautions faut-il prendre ?

Dans tous les cas, l'organisation doit fournir des informations sur les conditions dans lesquelles les données seront traitées dans le cadre du plan d'urgence et identifier les fins pour lesquelles les données seront utilisées. Dans le cas de la collecte de données auprès des membres de la famille des employés, et puisque l'organisation n'a pas de relation directe avec ces personnes, il peut être plus difficile de garantir la fourniture d'informations.

Étant donné la sensibilité des données, des mesures de sécurité, techniques et organisationnelles appropriées doivent être prises pour garantir la confidentialité des données.

Compte tenu de la limitation du traitement (c'est-à-dire que la collecte des données est liée à l'adoption d'un plan d'urgence COVID-19), il convient de s'assurer qu'à la fin de cette période, les données seront supprimées par l'organisation et ne seront pas utilisées à d'autres fins.

 

L'organisation peut-elle contrôler l’exécution du travail du salarié en télétravail ?

La CNPD a émis des directives, établissant que l'employeur conserve les pouvoirs de diriger et de contrôler l'exécution du travail. Sans préjudice, la règle générale d'interdiction de l'utilisation de moyens de surveillance à distance, afin de contrôler les performances professionnelles du salarié, s'applique.

Par conséquent, les solutions technologiques de contrôle à distance des performances des travailleurs, telles que les logiciels qui contrôlent le temps de travail et d'arrêt, enregistrent les pages Internet visitées, la localisation en temps réel du terminal et l'utilisation d'appareils périphériques, ne sont pas autorisées. De même, il n'est pas permis d'exiger du salarié qu'il maintienne la caméra vidéo allumée en permanence, ni, en principe, d'autoriser la possibilité d'enregistrer des téléconférences entre l'employeur (ou les dirigeants) et les salariés.

Toutefois, la CNPD admet que l'enregistrement du temps de travail peut être effectué en utilisant des solutions technologiques spécifiques dans ce régime de télétravail, qui doivent se limiter à reproduire l'enregistrement effectué lorsque le travail est effectué dans les locaux de l'employeur. Sans ces outils, il est exceptionnellement légitime pour l'employeur de fixer l'obligation d'envoyer un e-mail, un SMS ou toute autre moyen similaire.

 

Les autorités de protection des données se sont-elles prononcées sur cette question ?

Certaines autorités de protection des données ont déjà publié des lignes directrices à ce sujet :

La Commission nationale de protection des données, dans sa Délibération 2020/170, a déterminé l'interruption des délais de réponse aux projets de résolution actuels, avec effet immédiat, jusqu'à la déclaration, par l'organe souverain compétent, de la fin de la période exceptionnelle que traverse le pays en raison de la pandémie.

Récemment, la CNPD a publié une série de directives :

 

 

__________________________________

Cette information est régulièrement mise à jour.

Les informations fournies et les opinions exprimées sont de nature générale et ne remplacent pas le recours à des conseils juridiques appropriés pour la résolution de cas spécifiques.