17/04/20

Traitement de données à caractère personnel sur le lieu de travail en période de Coronavirus : quels sont les do’s and d…

L’employeur est tenu en vertu de la loi du 3 juillet 1978 de veiller à ce que le travail s’accomplisse dans des conditions convenables du point de vue de la sécurité et de la santé du travailleur. A l’heure où les stratégies de sortie du confinement sont étudiées par le gouvernement, nombreux sont ainsi les employeurs qui envisagent de prendre des mesures préventives liées au retour des travailleurs sur le lieu de travail : prise de température des travailleurs et/ou de visiteurs avant de pénétrer sur le lieu de travail, questionnaires relatifs à la santé et/ou aux voyages récents des travailleurs, etc.

Se pose toutefois la question de la conformité de ces mesures avec les droits fondamentaux des travailleurs, notamment, au respect de la vie privée et de leurs données à caractère personnel. La réponse de l’Autorité belge de protection des données (APD) ? Prévention et droit à la vie privée ne sont pas incompatibles. Il n’est toutefois pas nécessairement aisé de distinguer les mesures préventives que la règlementation sur la protection des données à caractère personnel (notamment le RGDP) permet d’implémenter de celles qu’elle ne permet pas.

Emboîtant le pas à son homologue européen, l’APD a récemment publié des lignes de conduite relatives au traitement de données à caractère personnel sur le lieu de travail dans le contexte particulier de la crise du COVID-19.

Nous les analysons ici brièvement.

    Les principes généraux de traitement en période de COVID-19

L’APD rappelle tout d’abord que bien que la gestion de la crise du COVID-19 nécessite des réponses rapides et exceptionnelles, un tel contexte ne pourrait justifier un assouplissement des principes généraux consacrés par le RGPD, en particulier, de licéité, transparence, proportionnalité et de sécurité.

Le principe général est que tout traitement de données à caractère personnel doive reposer sur une des bases de licéité listées à l’article 6 du RGPD. Il incombe dès lors à tout employeur désireux de mettre en place des mesures préventives qui impliqueraient le traitement de données à caractère personnel d’identifier la base légale la plus appropriée aux finalités de traitement envisagées. L’APD insiste à cet égard sur le fait que le contexte de crise sanitaire actuel ne pourrait justifier un recours systématique à la base légale relative aux intérêts vitaux des personnes concernées (art. 6(1)(d) RGPD). L’intention du législateur européen est en effet non équivoque : « le traitement de données à caractère personnel fondé sur l’intérêt vital d’une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique ». Cela ne devrait a priori pas empêcher la mise en place de telles mesures dès lors que la liste des bases légales est suffisamment diversifiée pour envisager celles-ci : obligation légale à laquelle l’employeur est soumis (notamment, l’obligation de veiller à ce que le travail s’accomplisse dans des conditions convenables) (art. 6(1)(c); intérêts légitimes poursuivis par l’employeur (art. 6(1)(f) RGPD); ou encore consentement des travailleurs (art. 6(1)(a) RGPD).

La mise en place de mesures préventives peut également entraîner le traitement de catégories particulières de données à caractère personnel, dont le sort est réglé par l’article 9 du RGPD. Il s’agit entre autres de données concernant la santé. Le traitement de ce type de données est en principe interdit sauf si une des conditions de l’article 9(2) est remplie (consentement explicite de la personne concernée (art. 9(2)(a)); le traitement est nécessaire aux fin de l’exécution des droits et obligations propres au responsable du traitement en matière de droit du travail (art. 9(2)(b)) ; le traitement est nécessaire pour des motifs d’intérêt public important  (art. 9(2)(g); etc.).

Dans le contexte du COVID-19, toute mesure préventive n’impliquera pas nécessairement le traitement de données concernant la santé des travailleurs. Il est donc essentiel pour l’employeur d’identifier les mesures qui impliqueraient le traitement de données concernant la santé, telles que la prise de température des travailleurs/visiteurs/fournisseurs, des questionnaires relatifs à la santé des travailleurs/visiteurs/fournisseurs, etc. En revanche, des questionnaires relatifs aux voyages récents des travailleurs ou relatifs à l’infection au COVID-19 de proches et/ou collègues des travailleurs ne devraient pas, a priori, impliquer le traitement de données concernant la santé des travailleurs.

L’article 9 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (qui implémente le RGPD en Belgique) prévoit des mesures supplémentaires en cas de traitement de données concernant la santé. Il appartiendra ainsi à l’employeur de :

  • désigner les catégories de personnes ayant accès aux données à caractère personnel avec une description précise de leur fonction par rapport au traitement des données ;
  • tenir la liste des catégories de personnes désignées à la disposition de l’APD ; et
  • veiller à ce que les personnes désignées soient tenues au respect du caractère confidentiel des données visées.

Il appartiendra également à l’employeur qui envisage des mesures préventives impliquant le traitement de données concernant la santé de mettre en place des mesures techniques (confidentialité, anonymisation, encryption, ségrégation des données, etc.) et organisationnelles (limiter l’accès aux données à un nombre défini et restreint de personnes dûment autorisées, etc.) afin de garantir les droits et libertés de la personne concernée.

    Quelles sont les mesures préventives qu’un employeur peut envisager ?

L’APD s’est ensuite arrêtée sur la conformité de quelques mesures préventives qu’un employeur pourrait être amené mettre en place :

  • Prise de température des travailleurs/visiteurs/fournisseurs : la simple prise de température d’un travailleur/visiteur/fournisseur n’emporte pas en tant que telle l’application du RGPD à condition qu’elle ne s’accompagne pas d’un enregistrement ou d’un traitement ultérieur. En revanche, l’imposition de tests systématiques, généralisés et préalables de température à toute personne se rendant sur le lieu de travail ne cadre pas avec l’esprit du RGPD. Il semble plus judicieux d’encourager ou d’inviter les travailleurs/visiteurs/fournisseurs qui présentent des symptômes de rester chez eux ou de contacter le médecin du travail ;
  • Questionnaires médicaux ou relatifs aux voyages récents : ces démarches doivent être purement volontaires. L’employeur ne peut pas obliger des travailleurs à compléter de tels questionnaires. Il peut toutefois encourager ou inviter les travailleurs à signaler spontanément des voyages à risques, la présence de symptômes, des contacts récents avec des personnes infectées ou à risques, etc. ;
  • Révélation des noms des personnes infectées au sein de l’entreprise : même en vue de prévenir la propagation du virus, l’employeur ne peut pas librement révéler les noms des personnes concernées au sein de l’entreprise ou à des tiers, à l’exception du médecin du travail. En revanche, il peut tout à fait informer les autres travailleurs d’une contamination au sein de l’entreprise en maintenant l’anonymat de la ou les personne(s) concernée(s).

En d’autres termes, tout n’est pas interdit, mais tout n’est pas permis.

Il s’agira essentiellement de mettre en balance l’obligation de l’employeur de veiller à la sécurité et à la santé de ses travailleurs avec les droits fondamentaux au respect de la vie privée des personnes concernées en assurant une transparence, proportionnalité et sécurité optimale des opérations de traitement envisagées.

dotted_texture