La gestion par l’employeur des données de santé et du télétravail en période de pandémie

Les données de santé : un encadrement spécifique 

L’employeur peut être amené à gérer des données de santé afin de répondre à son obligation de sécurité des salariés, et ce de manière plus systématique depuis le début de l’épidémie de Covid-19. Le traitement de ces données personnelles de santé doit alors se faire dans le respect de la réglementation et sans porter atteinte au respect de la vie privée des personnes concernées. 

Qu’est-ce qu’une donnée de santé ? 

D’après la CNIL, les données personnelles concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne.

Quelles données relatives à la santé l’employeur peut-il collecter et traiter ? 

Les données de santé sont des données dites « sensibles » autrement dit, elles sont par principe, interdites de traitement. 

L’employeur collecte ces données uniquement pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale. A ce titre il peut donc : 

• Collecter l’arrêt de travail ;
• Collecter les déclarations d’accidents du travail comportant le siège et la nature des lésions ;
• Collecter la déclaration de grossesse.

Dans le cadre de la pandémie de Covid-19, l’employeur est limité au traitement des signalements de contamination ou de suspicion de contamination par les salariés. 
Les logiciels de gestion administrative des salariés ne doivent donc pas consigner des informations relatives à l’état de santé des salariés (contamination du salarié, hospitalisation, présence d’un risque…), à leur situation familiale, leurs conditions de vie ou encore, leur éventuels déplacements. Seuls les personnels de santés compétents tel que la médecine du travail, peuvent collecter, mettre en œuvre et accéder à ces informations. 

Concrètement, la collecte par l’employeur d’informations relatives à la santé du salarié est limitée : 

• aux éléments liés à l’identité de la personne susceptible d’être infectée ;
  Attention : l’identité de la personne susceptible d’être infectée ne doit pas être communiquée aux autres salariés 
• au fait que la personne ait indiqué être contaminée ou suspectée de l’être.

La recherche d'éventuels symptômes présentés par un salarié/ agent et ses proches, telle que le relevé de température, est donc interdite.  L’efficacité et l’opportunité de la prise de température est contestée par la CNIL dans la mesure où elle n’est pas un symptôme systématique du COVID-19, ou peut témoigner d’une autre infection. En revanche, au titre de son devoir de conseil, l’employeur peut tout à fait rappeler à ses salariés de prendre régulièrement leur température. 

Quelles mesures l’employeur doit-il prendre en cas de suspicion de contamination ? 

Dès le signalement effectué par le salarié d’avoir pu être exposé ou exposé une partie de ses collègues ou du public au virus, l’employeur doit communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Si l’activité du salarié est compatible avec le télétravail, le signalement oblige également l’employeur à mettre le salarié en télétravail pendant une courte période. Ce laps de temps doit permettre au salarié de prendre contact avec un professionnel de santé, seul en mesure d’agir et de prescrire ou de renouveler un arrêt de travail. 

Il revient ensuite au service de santé au travail de proposer des mesures d’aménagement, d’adaptation ou de transformation du poste de travail ou du temps de travail. L’employeur applique ensuite les mesures prescrites. 

Comment sécuriser les données personnelles collectées ?

Depuis la mise en place du confinement, les cyberattaques ne cessent d’augmenter. 

La mise en place du télétravail sollicite grandement les équipements informatiques qui peuvent devenir plus vulnérables. Cette nouvelle organisation du travail expose les systèmes informatiques à un risque de failles de sécurité. 

L’employeur doit prendre les mesures nécessaires pour garantir au mieux la sécurité des données et minimiser les risques de piratage. Il est en effet tenu à une obligation légale d’assurer la sécurité des données personnelles qu’il détient. Il s’agit d’une obligation de résultat, autrement dit, s'il n’a pas mis en œuvre toutes les mesures adéquates pour prévenir l’attaque, sa responsabilité sera engagée. 

Le renforcement des mesures de sécurité doit être une priorité. 

A cette fin, des réflexes doivent être mis en place, et notamment :

• mises à jour de vos antivirus et logiciels ;
• changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations ;
• contrat avec prestataire de sécurité informatique ;
• instaurer des bonnes pratiques à appliquer et diffuser en interne : sécurisation matériel salarié, renforcer procédure d’authentification pour télétravail (accès VPN), outils de sécurité détectant cyber attaque, sensibiliser salariés et clientèle sur acte de cyberattaque.

Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, voici quelques questions à se poser :

• Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?
• Les accès aux locaux sont-ils sécurisés ?
• Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
• Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?

Quelles sont les obligations des salariés ? 

Chaque salarié / agent doit mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même. 

Ainsi, il doit se conformer aux instructions de son employeur et doit quotidiennement appliquer les règles sanitaires pour sa sécurité et celle de ses collègues. 

Il doit également informer son employeur : 

• en cas de déplacement dans une zone à risque ;
• en cas de non-respect des règles imposées par l’employeur ;
• en cas de suspicion de contact avec le virus,
• en cas de contamination ou de suspicion de contamination au virus, le salarié doit informer son employeur à chaque fois qu’il a pu exposer une partie de ses collègues au virus. En revanche, un employé en télétravail ou qui travaillerait de manière isolée sans contact avec ses collègues ou du public n’a pas à faire remonter cette information à son employeur.

En cas de contamination, le salarié devra uniquement communiquer à son employeur l’éventuel arrêt de maladie dont il pourrait bénéficier, sans précision sur son état de santé ou la nature de la pathologie.

Si le salarié adopte un comportement non conforme à ces prescriptions alors sa responsabilité pourra être mise en cause et il peut encourir une sanction disciplinaire. 

Le télétravail : une nouvelle organisation du travail

Avec la crise de Covid-19 nombre d’entreprises ont dû imposer à leurs salariés le télétravail comme nouveau mode de forme d’organisation du travail dont la mise en place est encadrée juridiquement. 

Quelles précautions prendre en cas d’utilisation par les salariés de leur équipement personnel (téléphone portable, ordinateur, tablette…) ?

L’employeur est responsable de la sécurité des données personnelles de son entreprise, quel que soit le terminal utilisé par le salarié pour accéder aux ressources informatiques de l’entreprise.

L’utilisation d’outils personnels est soumise à l’autorisation préalable de l’employeur. 

Quels sont les usages de la visioconférence dans le cadre du confinement ? 

La CNIL recommande aux employeurs et aux salariés :

• de lire attentivement les conditions d’utilisation des applications utilisées ;
• Important : les applications doivent informer les utilisateurs de l’usage fait de leurs données personnelles et notamment : quelles informations sont enregistrées et réutilisées (dans l’application elle-même ou sur son site web, par exemple), et dans quel objectif. 
• En effet, les données personnelles collectées ne se limitent pas toujours à ce que la personne a fourni et s’étendre à d’autres données permettant de vous ré-identifier telles que : adresse IP, identifiant de l’appareil, cookies ou technologies analogues.  
• de ne pas utiliser des applications ne garantissant pas la confidentialité des communications ou utilisant les données pour d’autres finalités.
• de  privilégier les solutions qui protègent la vie privée telles que Tixeo, certifiée par l'ANSSI ;
• d’éviter de télécharger l’application depuis un site web ou une source inconnus ;
• de lire les commentaires des utilisateurs ;
• de vérifier que l’éditeur a mis en place des mesures de sécurité essentielles, tel que le chiffrement des communications ;
• de sécuriser votre réseau Wi-Fi avec un mot de passe robuste ;
• de s’assurer que l’antivirus et le pare-feu sont à jour.

Quelles mesures de sécurités l’employeur doit-il mettre en place en cas de télétravail ? 

La sécurisation des données personnelles dans le cadre du télétravail est un impératif pour l’employeur. A ce titre il lui est conseillé de : 
éditer une charte de sécurité et la communiquer aux salariés

• équiper tous les postes de travail des salariés d’un pare-feu, d’un anti-virus et d’un outil de blocage de l’accès aux sites malveillants.
• mettre en place un dispositif d’authentification robuste de l’utilisateur (à l’aide d’un certificat électronique,  d’une carte à puce, etc.) ;
• mettre en place des mesures de chiffrement des flux d’informations (VPN, HTTPS, SFTP etc.)
• mettre en place des mécanismes d’authentification à double facteur sur les services accessibles à distance pour limiter les risques d'intrusions 
• lister les outils de communications (outils de visioconférence) et de travail collaboratif appropriés au travail distant et les communiquer aux salariés. 

Ces outils doivent garantir la confidentialité des échanges et des données partagées. Ils doivent donc fournir au minimum une authentification et un chiffrement des communications. 

• Pour plus d’informations, les entreprises peuvent consulter la fiche relative au Télétravail.