Communiqué – Le RGPD dans la lutte contre le Covid-19


 

Lire le communiqué au format PDF

 

LE RGPD DANS LA LUTTE CONTRE LE COVID-19

Chers Clients,

Dans le contexte actuel de pandémie, nombreux sont ceux qui s’interrogent sur les mesures à mettre en œuvre afin d’endiguer la propagation du Covid-19 et sur les conditions dans lesquelles les données à caractère personnel, notamment de santé, peuvent être utilisées.

Pour rappel, les traitements de données à caractère personnel sont régis par le règlement européen n°2016/679 du 27 avril 2016 dit « RGPD » et par la loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée.

Sont concernées par cette réglementation les données directement ou indirectement identifiantes, ce qui exclut donc de son champ d’application les données anonymes ou à tout le moins anonymisées.

Ces règles n’ont pas été modifiées par les mesures récemment prises en urgence par le Gouvernement et développées dans nos précédents communiqués.

La crise sanitaire liée au Covid-19 ne suspend pas l’application des règles de droit en matière de collecte de données et ne justifie donc pas une exception aux règles existantes.

C’est ainsi que la CNIL a été amenée à rappeler sur son site internet que les employeurs doivent s’abstenir de collecter des données de santé de leurs salariés, en diffusant par exemple un questionnaire médical, ou encore en exigeant d’eux qu’ils communiquent des relevés de leurs températures corporelles.

Se pose donc la question de l’utilisation des données personnelles tant dans l’entreprise que par les acteurs publics dans le cadre du Tracking.

  1. La gestion des données personnelles par l’entreprise dans le contexte actuel de crise sanitaire (de lege lata)

La collecte des données à caractère personnel, en particulier relatives à la santé, interroge particulièrement dans le domaine de l’entreprise. En effet, les informations relatives à la santé constituent des données sensibles faisant l’objet d’une réglementation renforcée.

L’article 9 du RGPD énonce d’ailleurs un principe général d’interdiction de traitement des données de santé assorti d’exceptions limitativement énumérées.

Pour autant, la protection de la santé et de la sécurité des salariés est une obligation de tout employeur imposée en particulier par l’article L.4121-1 du Code du travail, de sorte qu’il est légitime de mettre en œuvre au sein de l’entreprise des traitements de données à caractère personnel poursuivant une telle finalité.

Dans la période actuelle de confinement, l’employeur doit à ce titre prévoir une organisation et des moyens adaptés afin de favoriser les modes de travail à distance, la sensibilisation des équipes sur les « gestes barrières » à effectuer, ou encore leur orientation vers la médecine du travail.

A cet égard, il peut donc être envisagé, sur le fondement juridique de l’article 6.1.c du RGPD, de consigner les signalements de collaborateurs de l’entreprise ayant contracté le virus ou suspectés d’avoir été exposés (date et identité) et les mesures organisationnelles prises à leur égard en vue de les communiquer aux autorités qui le demanderaient.

Il est en revanche exclu de constituer des collectes de données qui iraient au-delà de la gestion des suspicions d’exposition au virus, tels que des fichiers comportant des données médicales, c’est-à-dire des informations contenant des détails sur la santé d’un ou plusieurs salariés.

Cette obligation générale de sécurité à la charge de l’employeur exige encore la mise en place de mesures de prévention, se traduisant en particulier par une évaluation du risque de contamination dans l’entreprise en fonction des postes de travail et l’adaptation des mesures prises.

L’actualisation du Document unique d’évaluation des risques professionnels (DUERP), prévue par l’article R.4121-2 du Code du travail, devra ainsi être faite, à notre sens, dans un objectif d’information et de formation de tout le personnel.

Dans la perspective de la reprise des activités économiques prévues à compter du 11 mai, toutes ces questions vont se poser avec une nouvelle acuité. Nous y reviendrons par un prochain communiqué.

  1. La collecte massive de données par les outils numériques (de lege feranda)

Au-delà des démarches individuelles des entreprises, il convient encore de s’interroger sur les initiatives de Tracking prévoyant, afin de lutter efficacement contre le coronavirus, une utilisation massive de données personnelles dans le « monde de demain » prévu actuellement à partir du 11 mai prochain.

En particulier, le Gouvernement étudie la possibilité de mettre en place une application mobile ayant pour objet de tracer les déplacements des personnes via les données collectées par les opérateurs de communications électroniques afin de déterminer les parcours des personnes contaminées et identifier ainsi les individus avec lesquels ces dernières ont pu être en contact.

Auditionnée par la commission des lois de l’Assemblée Nationale le 8 avril dernier, la Présidente de la CNIL a eu l’occasion de s’exprimer concernant l’utilisation de technologies se fondant sur la localisation des individus.

Sur l’usage d’un tel dispositif de traçage des individus en France, elle rappelle que si son recours ne devait pas reposer sur la base du volontariat mais était mis en place de façon obligatoire, il nécessiterait alors une disposition législative prévoyant un certain nombre de garanties.

Ce dispositif devrait notamment être réellement nécessaire pour répondre à la crise sanitaire et proportionné. De même, la durée de ce dispositif et la conservation des données collectées devront être strictement limitées, afin de répondre uniquement aux besoins de gestion de la présente crise sanitaire.

Enfin, et bien que les modalités de mise en place de cette application soient encore à l’étude, il convient d’ores et déjà de noter que toute utilisation de données non anonymisées devra faire l’objet

a minima d’une analyse d’impact et d’une information des individus préalable à tout traitement, conformément aux articles 12 et 35 du RGPD.

* * *

La gestion de cette crise sanitaire permet ainsi de questionner l’adéquation du RGPD aux outils à notre disposition.

Elle ouvre en particulier la voie à une réflexion plus large, en termes de libertés publiques notamment, sur l’opportunité de recourir ou non à des stratégies assumées de traçages numériques individualisés permettant d’anticiper efficacement un début de nouvelle épidémie, à l’instar de la Corée du Sud.

Toute l’équipe de PH AVOCATS