Comment sécuriser les données personnelles de santé dans le contexte de crise sanitaire ?

Actualité
INFOREG

Afin de faire face à l’épidémie de Covid-19, l’employeur doit prendre des mesures adéquates en matière de protection de la santé et de gestion des données personnelles. 

De quelles données personnelles s’agit-il ? 

La collecte des données personnelles de santé par l’employeur est un moyen complémentaire pour lutter contre le Covid-19.
 

Ainsi, de nombreux employeurs collectent et gèrent des données personnelles et notamment des données de santé. 
 

D’après la CNIL, les données personnelles concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne.
 

Ces données font l’objet d’une protection particulière justifiée par la sensibilité des données. L’employeur devra assurer la protection afin de ne pas porter atteinte au respect de la vie privée des personnes concernées.

Quelles sont vos obligations en tant qu’employeur ? 

Quelles informations peuvent être consignées dans le registre pour assurer la sécurité des salariés ? 

L’employeur est responsable de la santé physique et mental et de la sécurité de ses salariés / agents.  A ce titre, il met en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et une organisation et des moyens adaptés.
 

La collecte de données de santé doit : 
 

  • répondre à une finalité/objectif déterminé en amont ;
  • être strictement nécessaire au regard de la finalité poursuivie ;
  • être conservées uniquement pour la période fixée pour atteindre l’objectif fixé. 

Le non-respect de ce principe peut être sanctionné. 

 

C’est ainsi que les informations relatives à la recherche d'éventuels symptômes présentés par un employé / agent et ses proches, telle que le relevé de température des salariés, est disproportionnée au regard de la finalité recherchée. 


En revanche, l’employeur peut rappeler à ses salariés de prendre régulièrement leur température, comme un devoir de conseil. 

 

En ce sens, la collecte des informations de santé à l’aide de fiches ou questionnaires médicaux est interdite

 

De la même façon, les logiciels de gestion administrative des salariés ne doivent pas consigner des informations relatives à l’état de santé des salariés (contamination du salarié, hospitalisation, présence d’un risque…).

 

Enfin, dans le respect de la confidentialité des informations et du respect de la vie privée, il faut limiter la circulation des informations. 

 

Si l’employeur souhaite s’informer de l’état de santé de ses salariés, il doit privilégier la communication par email en invitant ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition. 

 

En cas de signalement, un employeur peut consigner la date et l’identité de la personne suspectée d’avoir été exposée ainsi que les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail...).

 

Si la collecte des données de santé est bien nécessaire à l’objectif poursuivi, les informations contenues dans le fichier crée par l’employeur pour la gestion de la crise Covid-19 vont être consignées dans un registre. 

 

L’employeur devra informer toutes les personnes concernées (salariés, visiteurs, agents) de l’existence de ce fichier. L’employeur fournira cette information sur un support consultable et disponible par toutes les personnes concernées. Il peut s’agir par exemple du règlement intérieur dont une section sera dédiée à la protection des données personnelles et explicitera la finalité du fichier et son contenu. L’employeur fournira également une information individualisée par exemple en envoyant un email à chaque salarié.

Comment sécuriser les données personnelles collectées ?

Depuis la mise en place du confinement, les cyberattaques ne cessent d’augmenter. 
 

La mise en place du télétravail sollicite grandement les équipements informatiques qui peuvent devenir plus vulnérables. Cette nouvelle organisation du travail expose les systèmes informatiques à un risque de failles de sécurité. 

 

L’employeur doit prendre les mesures nécessaires pour garantir au mieux la sécurité des données et minimiser les risques de piratage. Il est en effet tenu à une obligation légale d’assurer la sécurité des données personnelles qu’il détient. Il s’agit d’une obligation de résultat, autrement dit, s'il n’a pas mis en œuvre toutes les mesures adéquates pour prévenir l’attaque, sa responsabilité sera engagée. 

 

Le renforcement des mesures de sécurité doit être une priorité. 

 

A cette fin, des réflexes doivent être mis en place :

 

  • mises à jour de vos antivirus et logiciels ;
  • changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations ;
  • contrat avec prestataire de sécurité informatique ;
  • instaurer des bonnes pratiques à appliquer et diffuser en interne : sécurisation matériel salarié, renforcer procédure d’authentification pour télétravail (accès VPN), outils de sécurité détectant cyber attaque, sensibiliser salariés et clientèle sur acte de cyberattaque.

Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, voici quelques questions à se poser :
 

  • Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?
  • Les accès aux locaux sont-ils sécurisés ?
  • Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
  • Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?

Pour vous aider en cas de difficultés (un sinistre, une attaque informatique...), le site gouvernemental cybermalveillance.gouv.fr vous propose de l’aide en ligne ainsi qu’une liste de prestataires approuvés. D’autant plus que même si on est une victime on peut avoir un rôle actif et avoir participé à la survenance de cette attaque et endosser une responsabilité. 

Source CNIL 

Quelles sont vos obligations en tant que salarié ? 

Chaque employé / agent doit mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même
 

Ainsi, il doit se conformer aux instructions de son employeur et doit quotidiennement appliquer les règles sanitaires pour sa sécurité et celle de ses collègues
 

Il doit également informer son employeur : 
 

  • en cas de déplacement dans une zone à risque ;
  • en cas de non-respect des règles imposées par l’employeur ;
  • en cas de suspicion de contact avec le virus.

Si le salarié adopte un comportement non conforme à ces prescriptions alors sa responsabilité pourra être mise en cause et il peut encourir une sanction disciplinaire. 
 

Sources

Liens utiles

Mis à jour le 31/03/2020
Entreprise relancez votre activité

Faites le point sur la reprise de votre activité avec la "Check-list Relance" et balayez l'ensemble des questions clefs pour reprendre en toute sécurité.

Coronavirus / COVID-19 : foire aux questions (FAQ)

Retrouvez sur cette page les questions les plus fréquemment posées sur la situation des entreprises suite à l'épidémie de coronavirus qui touche le pays.

 

Quel impact sur votre organisation ? Avez-vous droit au chômage partiel ? Pouvez-vous continuer à exercer votre activité ?...

 

Coronavirus / COVID-19 : consultez les derniers textes publiés

Retrouvez sur cette page, en temps réel, toute l'actualité juridique et les derniers textes adoptés

 

Activité partielle : Précisions forfaits jours et modalités de calcul de l’indemnité d’AP pour certains salariés (16 avril 2020)

Un décret précise les modalités de calcul de l’indemnité et de l’allocation d’activité partielle au titre des salariés dont la durée du travail est décomptée en jours, en fixant les règles de conversion des jours ou demi-journées de travail en heures et pour ceux qui ne sont pas soumis aux dispositions légales ou conventionnelles relatives à la durée du travail. Source

 

Arrêt de travail, précisions (16 avril 2020)

Un décret adapte de façon temporaire des délais et modalités de versement de l’indemnité complémentaire prévue en cas de maladie ou accident pour les salariés qui bénéficient d’un arrêt de travail indemnisé par l’assurance maladie. Source

 

 

...