La pandémie actuelle donne lieu à de nombreuses questions pour les employeurs, comme nous l’avons vu dans une news précédente.
Ils s’interrogent notamment sur les questions qu’ils peuvent poser à leur personnel concernant leur santé, tout en conciliant le respect de la vie privée et la protection des données à caractère personnel. La prudence est en effet de mise puisque le principe posé par le RGPD est l’interdiction de la collecte et du traitement des données relatives à la santé, considérées comme « données particulières ».
1. Les employeurs peuvent-ils recueillir et traiter des informations sur le fait qu’un employé se trouvait dans une zone à risque ou est en contact direct avec une personne atteinte, par exemple, par le COVID-19 ?
En ces temps troublés, les employeurs seront quelque peu soulagés de pouvoir se raccrocher à des avis officiels.
L’Autorité belge de protection des données vient de se prononcer à ce sujet, comme certaines de ses homologues (française, italienne, irlandaise, espagnole et du land allemand du Bade-Wurtemberg, ainsi que le Comité européen de la protection des données) l’ont déjà fait.
Que dit le RGPD ?
Les données relatives à la santé ne peuvent pas être récoltées, sauf:
- avec le consentement de la personne concernée,
- ou dans quelques autres rares exceptions, dont l’une trouve à s’appliquer dans contexte, à savoir l’article 9.2.i du RGPD. Le traitement des données relatives à la santé peut avoir lieu s’il est est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, pour autant que cela soit prévu par le droit national.
Comment les autorités de contrôle interprètent-elles ces principes dans le contexte actuel ?
Les différentes autorités qui se sont prononcées soulignent l’obligation légale de l’employeur d’assurer la santé et la sécurité de son personnel sur le lieu de travail.
Elles admettent que cette obligation légale constitue la norme exigée par l’article 9.2.i du RGPD, même si elle ne contient aucune précision quant au traitement des données.
Par analogie, l’employeur belge pourrait donc invoquer l’article 20.2° de la loi du 3 juillet 1978 relative aux contrats de travail et ne devrait par conséquent pas recueillir le consentement de son personnel sur ce traitement de données.
Toutefois, l’Autorité belge de protection des données vient de préciser que “les entreprises et les employeurs ne peuvent invoquer l’article 9.2, i) du RGPD que si elles/ils agissent en exécution de directives explicites imposées par les autorités”.
Quelles sont les limites posées par les autorités de contrôle ?
L’employeur peut gérer les suspicions d’exposition au virus, mais ne peut pas mettre en œuvre des moyens d’investigation systématiques.
Cela signifie concrètement que l’employeur PEUT :
- demander aux personnes qui reviennent de vacances si elles ont séjourné dans une zone à risque,
- inviter son personnel à transmettre des informations les concernant en lien avec une éventuelle exposition (notamment via les proches), auprès de lui-même ou directement auprès des autorités sanitaires,
- faciliter la transmission de telles informations par la mise en place de canaux dédiés.
L’employeur NE PEUT PAS :
- exiger de chaque travailleur qu’il prenne et communique sa température chaque jour,
- inviter les membres du personnel à transmettre des informations concernant leurs collègues.
2. Quelles précautions prendre pour communiquer avec les autres membres du personnel à la suite d’une suspicion ou d’une contamination avérée ?
Une fois qu’un employeur est informé d’une contamination potentielle ou avérée, peut-il indiquer aux autres membres du personnel qui est le travailleur en cause ?
Le principe est que l’employeur doit éviter de mentionner le nom du travailleur concerné, pour éviter de le stigmatiser.
Cela ne posera en général pas de difficulté de prévenir les collègues de la personne concernée de ce qu’ils doivent se confiner, dès lors qu’un des membres de l’équipe ou du service, sans le nommer, est potentiellement infecté.
Ce n’est donc que dans des cas particuliers (par exemple des binômes) qu’il sera inévitable de nommer le travailleur en cause afin de protéger ses collègues. Le Comité européen de la protection des données insiste toutefois sur le fait que ” les employés concernés devront être informés à l’avance et leur dignité et leur intégrité seront protégés “.
Notre conseil :
S’agissant de données particulières, il est tout spécialement important que l’employeur consigne les éléments de sa décision, pour rencontrer son obligation d’accountability.
Il sera ainsi en mesure de faire face à une plainte d’un des travailleurs, ou à un contrôle de l’Autorité de protection des données.
