Covid-19. Prise de température, dépistage. Quid de la confidentialité des données médicales ?

Si la crise du coronavirus nécessite pour l’employeur de collecter certaines informations, tout n’est pas permis rappelle la Cnil* dans une note sur le traitement des données médicales. L’employeur peut-il contrôler la température à l’entrée des bâtiments, organiser des tests de dépistage du covid-19 ou encore établir un fichier des salariés contaminés ?

 

donnees_medicales

L’employeur a un devoir de confidentialité et de transparence dans la collecte des données médicales des salariés. Photo : Unsplash

Même s’il est amené à organiser les visites médicales, à gérer des arrêts de travail ou des situations d’inaptitude, l’employeur n’a pas, en principe, à connaître la situation médicale de ses salariés, la nature de leur éventuelle pathologie, et encore moins à établir des fichiers comprenant ce type de données de santé. Pour autant, il doit prévenir tout risque de contamination des travailleurs par le covid-19, dans le cadre de son obligation légale de protection de la santé et de la sécurité. Dans ces conditions, comment peut-il agir ?

 

_______________

Consulter les offres de formation SSCT pour CSE

_______________

 

Remontées de données médicales : autorisées mais limitées

 

Dans le contexte sanitaire actuel, l’employeur a le droit de demander aux salariés de l’informer en cas de contamination ou de suspicion de contamination. Mais cette obligation ne s’impose au salarié que s’il est susceptible d’avoir transmis le virus à une autre personne, c’est-à-dire s’il a été au contact de collègues ou de clients. « Un employé qui serait placé en télétravail ou qui travaillerait de manière isolée sans contact avec ses collègues ou du public n’a pas à faire remonter cette information à son employeur », souligne la Cnil. Y compris si le salarié en question est placé en arrêt de travail.

 

En outre, cette information ne doit être traitée par l’employeur qu’à des fins précises : prendre des mesures organisationnelles (télétravail par exemple), orienter vers le médecin du travail, ou mettre en place des actions de prévention des risques professionnels. Les listes ou traitements (fichiers) tenus par l’employeur doivent donc se limiter à l’identité de la personne, au fait qu’elle ait indiqué avoir été ou avoir pu être contaminée, et aux mesures organisationnelles prises.

Par ailleurs, l’employeur doit garantir la confidentialité des données récoltées : s’il doit informer les salariés qu’ils ont pu être en contact avec une personne à risque, il ne doit en aucun cas divulguer son identité.

_______________

Consulter les offres de formation Consultations du CSE

_______________

 

Les salariés doivent être informés

 

La règlementation sur la protection des données (RGPD) impose d’informer toutes les personnes dont les données personnelles sont collectées dans un fichier, salariés compris. Cette obligation de transparence porte sur les données collectées, l’objectif poursuivi, le(s) destinataire(s) de ces données, les droits des personnes (rectification, effacement…), la durée de conservation. Le CSE pourra donc lui aussi mettre ces questions à l’ordre du jour si un fichier des personnes exposées au coronavirus est élaboré. Comme l’indique la Cnil dans sa note, « la parfaite transparence comme le dialogue social » sur les dispositifs utilisés ou traitement des données mise en œuvre, « au-delà d’être une obligation résultant tant de la législation du travail que des textes relatifs à la protection des données, est une composante essentielle de la gestion de la crise sanitaire et participe à rassurer les personnes concernées ».

 

_____________

Consulter les offres de formation CSSCT du CSE

_____________

 

Contrôle de la température : déconseillé

 

Reprenant à son compte la position du ministère du Travail, la Cnil déconseille d’effectuer des contrôles de température corporelle à l’entrée des bâtiments. D’abord parce que leur efficacité est contestable : une température corporelle trop élevée n’est pas un symptôme systématique du covid-19, et peut témoigner d’une autre infection.

D’autre part, ce type de mesure peut porter une atteinte disproportionnée aux droits des personnes. Les salariés, précise le ministère, restent notamment en droit de refuser un tel contrôle. Et « si l’employeur, devant ce refus, ne laisse pas le salarié accéder à son poste, il peut être tenu de lui verser le salaire correspondant à la journée de travail perdue ».

 

Si l’employeur souhaite quand même effectuer des relevés de température, il devra utiliser un procédé manuel (type thermomètre infrarouge à distance), ne remonter aucune information et ne conserver aucune donnée médicale. La Cnil est claire sur ce point : des contrôles de température enregistrés dans des fichiers ou automatisés (par exemple en recourant à des caméras thermiques) sont strictement interdits au regard de la législation sur la protection des données personnelles.

 

_______________

Consulter les offres de formation Référent harcèlement CSE

_______________

 

Campagnes de dépistage : prohibées

 

Sont également proscrits le recensement des salariés présentant des risques particuliers (comorbidités), les campagnes de dépistage du covid-19, les questionnaires sur l’état de santé. Seule la médecine du travail, rappelle la Cnil, est habilitée à mettre en place de telles mesures.

 

 

Élodie Sarfati
À savoir égal
Agence de digital learning en social-RH

 

*La commission nationale de l’informatique et des libertés (Cnil) a été créée par la loi Informatique et Libertés du 6 janvier 1978.
Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.