Covid-19 : Q/R de la Cnil sur la collecte des données personnelles sur le lieu de travail

Publié le 27/10/2021

Dans la droite ligne de ses dernières recommandations, la Cnil revient encore une fois sur l’épineuse problématique de la collecte des données personnelles des salariés en entreprise pour limiter le risque de contamination à la Covid-19.

A la lecture de ses Q/R, « rien de nouveau sous le soleil » semble-t-il... En matière de collecte de données personnelles des salariés sur le lieu de travail pour limiter la propagation de la Covid-19, deux exigences s’imposent à l’employeur : préserver la santé des salariés tout en préservant leur vie privée en ne collectant que les données strictement nécessaires pour éviter des contaminations.

La Commission vient toutefois étayer ce fil conducteur de l’action de l’employeur par des précisions et des exemples intéressants pour les parties à la relation de travail. Questions–réponses sur la collecte de données personnelles sur le lieu de travail, 29.09.21.

L’obligation de santé et de sécurité de l’employeur ne lui confère que le pouvoir de collecter les données des salariés strictement nécessaires à cette finalité

Comme elle l’avait déjà mainte fois indiquée en 2020 dans son rapport (1) et ses recommandations (2), l’employeur doit veiller à respecter deux exigences : préserver la santé et la vie privée du salarié. Cela passe par un jeu de mise en balance entre la préservation de la santé des salariés face au risque épidémique tout en prenant le soin, dans cet objectif, de ne collecter strictement que les données personnelles nécessaires.

  1. Assurer la santé et la sécurité de ses salariés. Cela passe par la mise en œuvre des actions de prévention des risques professionnels, de formation ou d’information ou encore par la mise en place d’une organisation du travail adapté (3).

 Afin de satisfaire à cette obligation légale, la Cnil recommande à l’employeur la mise en œuvre d’un certain nombre d’actions :
- rappeler aux salariés/agents leur obligation d’effectuer des remontées individuelles d’informations
 en cas de contamination ou suspicion de contamination auprès de lui ou des autorités sanitaires compétentes, afin de lui permettre d’adapter les conditions de travail ;
- faciliter la transmission de ces remontées
par la mise en place, au besoin, de canaux dédiés et sécurisés ;
- prendre les mesures nécessaires,
en fonction des informations dont ils disposent sur les risques auxquels sont exposés les salariés/agents, pour assurer leur sécurité ;
- favoriser les
modes de travail à distance ;
- encourager le
 recours à la médecine du travail.

 

  1. Collecter les données des salariés de manière strictement proportionnée à l’objectif de préservation de leur santé.

Toujours est-il que pour satisfaire à son obligation de sécurité et de santé de ses salariés, l’employeur ne peut collecter que les données strictement nécessaires à cette fin. Pour ce faire, il doit toujours au préalable respecter plusieurs conditions cumulatives :

  • la collecte de telles données doit être minime. C’est-à-dire – conformément au principe de minimisation des données du RGPD (4) – qu’elle soit limitée à ce qu'il est nécessaire de collecter pour satisfaire à l’objectif de préservation de la santé des salariés. Ainsi, comme la mainte fois rappelé la Cnil, il ne peut être, sauf exception, demandé « aux salariés/agents des informations sur leur état de santé, seule la médecine du travail [est] habilitée» ;

En cas de suspicion de contamination ou de contamination, seuls peuvent être traités par l’employeur les éléments liés à :
- l’identité de la personne concernée ;
- l’information selon laquelle elle serait contaminée ou suspectée de l’être ;
- les dates pertinentes, notamment pour déterminer quels salariés/agents pourraient être cas contacts (dates de contacts, date de début des symptômes, date de prélèvement de tests positifs) ; 
- les éventuels autres éléments permettant de déterminer quels salariés/agents pourraient être cas-contacts ;
- les mesures organisationnelles prises.

  • la finalité doit être licite : en l’occurrence que l’objectif poursuivi d’une collecte de telle données soit pour limiter les contaminations. L’employeur ne peut donc les utiliser pour prendre connaissance de leur statut vaccinal ou surveiller leur activité au travail ;

Si le salarié doit informer les services de santé au travail ou l’employeur en cas de contamination à la Covid-19 ou de suspicion, l’employeur ne peut lui demander la transmission de telles données de santé lorsqu’il est « placé en télétravail ou travaillerait de manière isolée sans contact avec ses collègues ou du public » selon la Cnil.

  • enfin, elle ne doit pas porter une atteinte disproportionnée à d’autres droits et libertés (5). Quand bien même l’employeur souhaiterait préserver la santé des salariés et organiser en ce sens des campagnes de dépistage ou de vaccination à la Covid-19, il ne peut les contraindre à y participer.

 Une utilisation des technologies pour lutter contre la Covid-19 strictement encadrée

Pour la Commission, il n’est aucunement possible de recourir à des solutions logicielles (telle qu’une application mobile) afin de mesurer l’exposition d’un salarié. Pourquoi ? Au-delà du fait que les systèmes algorithmiques de contrôle des salariés doivent être justifiés et proportionnés (5), c’est d’abord pour la Cnil en raison du traitement par ces systèmes de données de santé (température, poids, statut vaccinal, maladie…).

Pour plus de détails sur les limites au pouvoir qu’a l’employeur de collecter les données de santé des travailleurs, consultez la brève dédiée.

A juste titre, elle rappelle que les solutions logicielles qui modélisent le risque à partir de données personnelles de santé n’ont pas à être connues de l’employeur.

Doivent être entendues plus largement comme « données de santé » pour la Commission « tout dispositif de représentation de la vulnérabilité ou du risque d’exposition d’un salarié/agent à la Covid-19 (par exemple : indicateur chiffré, code couleur, etc…) ».

Elle en déduit « qu’il n’est donc pas possible pour l’employeur d’établir un diagnostic, une analyse de la vulnérabilité ou toute autre analyse médicale, ni d’organiser une collecte de l’ensemble des salariés agents ».

Quid cependant lorsqu’une plateforme numérique telle que CoPass modélise à partir de données de santé connue des seuls salariés leur « niveau de sensibilité Covid-19 », permettant la délivrance d’un QR code dont la couleur déterminera un protocole de travail défini par l’entreprise (maintien en télétravail, retour sur site, orientation vers un test de dépistage…) ?

Si, dans cette hypothèse, l’employeur n’aurait pas directement accès aux données de santé mais au seul protocole de travail délivré à chaque salarié via le QR Code, cela le renseigne tout du moins indirectement sur son état de santé. Il conviendra selon nous de rester extrêmement vigilant en associant systématiquement le CSE lors de l’introduction de telles technologies dans l’entreprise.

A ce dernier titre, bien que la Cnil rappelle que le CSE dispose du droit d’alerte (6) lorsqu’il existe une atteinte aux droits des personnes, à leur santé physique et mentale ou aux libertés individuelles, il aurait été plus judicieux de rappeler son droit d’information-consultation (7). A compter du moment où l’employeur décide de déployer un système numérique contrôlant ou surveillant l’activité des salariés, que cela soit ou non dans le but de limiter la propagation du virus, il doit en effet préalablement informer et consulter le CSE (7).

Exit également, selon nous, les systèmes de géolocalisation en temps réel tel que le « distance assistant » qui, pendant la crise sanitaire, faisait en sorte que les employés d’Amazon respectent une distance de sécurité pour lutter contre l’épidémie. Outre qu’ils déshumanisent le travail des salariés dans les entrepôts, à en croire la doctrine de la Cnil, ils apparaissent comme des mesures disproportionnées face à l’objectif d’enrayement de la crise épidémique.

Exit enfin, pour l’employeur, la possibilité d’imposer aux salariés l’utilisation de l’application TousAntiCovid ou de TousAntiCovid Signal. Il ne pourra pas non plus l’installer par défaut sur le portable professionnel de ses salariés. Là-encore, la Cnil considère le procédé illicite.

Rappelons tout de même, que lorsque l’employeur est responsable d’un établissement visé par la loi relative à la gestion de la crise sanitaire, il peut imposer la présentation du pass sanitaire aux salariés.

 

Recommandation publiée à la sortie de l’été, le contexte d’une peur de reprise de l’épidémie à la lecture de ses préconisations est à prendre en compte. Si le gendarme des données rappelle un certain nombre de garde-fou pour éviter toute dérive qui conduirait à un contrôle panoptique, il n’est pas certain que ses recommandations suffissent à contrecarrer une certaine forme d’accoutumance à la surveillance de nos données : toujours bien sûr dans un but légitime de sécurité et de santé…

Restons donc vigilants !

 

(1) 41è Rapport d’activité annuel 2020 Cnil.

(2) Communiqué de la Cnil, 7.05.20

(3) Art. L.4121-1 C.trav. 

(4) Art. 5. c), RGPD.

(5) Art. L.1121-1 C.trav.

(6) Art. L.2312-59 C.trav.

(7) Art. L.2312-8 et L.L2312-38 C.trav.