
Le Règlement Général sur la Protection des Données concerne toutes les entreprises qui collectent, stockent et/ou traitent des données personnelles.
La pandémie de coronavirus impose à l’employeur une vigilance accrue en termes de gestion des données de santé et de la mise en place du télétravail. Ces missions répondent à un cadre législatif spécifique que l’employeur se doit de maîtriser.
L’employeur peut être amené à gérer des données de santé afin de répondre à son obligation de sécurité des salariés, et ce de manière plus systématique depuis le début de l’épidémie de Covid-19. Le traitement de ces données personnelles de santé doit alors se faire dans le respect de la réglementation et sans porter atteinte au respect de la vie privée des personnes concernées.
D’après la CNIL, les données personnelles concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne.
Les données de santé sont des données dites « sensibles » autrement dit, elles sont par principe, interdites de traitement.
L’employeur collecte ces données uniquement pour satisfaire à ses obligations en matière de droit du travail, de la sécurité sociale et de la protection sociale. A ce titre il peut donc :
Dans le cadre de la pandémie de Covid-19, l’employeur est limité au traitement des signalements de contamination ou de suspicion de contamination par les salariés.
Les logiciels de gestion administrative des salariés ne doivent donc pas consigner des informations relatives à l’état de santé des salariés (contamination du salarié, hospitalisation, présence d’un risque…), à leur situation familiale, leurs conditions de vie ou encore, leur éventuels déplacements. Seuls les personnels de santés compétents tel que la médecine du travail, peuvent collecter, mettre en œuvre et accéder à ces informations.
Concrètement, la collecte par l’employeur d’informations relatives à la santé du salarié est limitée :
La recherche d'éventuels symptômes présentés par un salarié/ agent et ses proches, telle que le relevé de température, est donc interdite. L’efficacité et l’opportunité de la prise de température est contestée par la CNIL dans la mesure où elle n’est pas un symptôme systématique du COVID-19, ou peut témoigner d’une autre infection. En revanche, au titre de son devoir de conseil, l’employeur peut tout à fait rappeler à ses salariés de prendre régulièrement leur température.
Dès le signalement effectué par le salarié d’avoir pu être exposé ou exposé une partie de ses collègues ou du public au virus, l’employeur doit communiquer aux autorités sanitaires qui en ont la compétence, les éléments nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.
Si l’activité du salarié est compatible avec le télétravail, le signalement oblige également l’employeur à mettre le salarié en télétravail pendant une courte période. Ce laps de temps doit permettre au salarié de prendre contact avec un professionnel de santé, seul en mesure d’agir et de prescrire ou de renouveler un arrêt de travail.
Il revient ensuite au service de santé au travail de proposer des mesures d’aménagement, d’adaptation ou de transformation du poste de travail ou du temps de travail. L’employeur applique ensuite les mesures prescrites.
Depuis la mise en place du confinement, les cyberattaques ne cessent d’augmenter.
La mise en place du télétravail sollicite grandement les équipements informatiques qui peuvent devenir plus vulnérables. Cette nouvelle organisation du travail expose les systèmes informatiques à un risque de failles de sécurité.
L’employeur doit prendre les mesures nécessaires pour garantir au mieux la sécurité des données et minimiser les risques de piratage. Il est en effet tenu à une obligation légale d’assurer la sécurité des données personnelles qu’il détient. Il s’agit d’une obligation de résultat, autrement dit, s'il n’a pas mis en œuvre toutes les mesures adéquates pour prévenir l’attaque, sa responsabilité sera engagée.
Le renforcement des mesures de sécurité doit être une priorité.
A cette fin, des réflexes doivent être mis en place, et notamment :
Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, voici quelques questions à se poser :
Chaque salarié / agent doit mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même.
Ainsi, il doit se conformer aux instructions de son employeur et doit quotidiennement appliquer les règles sanitaires pour sa sécurité et celle de ses collègues.
Il doit également informer son employeur :
En cas de contamination, le salarié devra uniquement communiquer à son employeur l’éventuel arrêt de maladie dont il pourrait bénéficier, sans précision sur son état de santé ou la nature de la pathologie.
Si le salarié adopte un comportement non conforme à ces prescriptions alors sa responsabilité pourra être mise en cause et il peut encourir une sanction disciplinaire.
Avec la crise de Covid-19 nombre d’entreprises ont dû imposer à leurs salariés le télétravail comme nouveau mode de forme d’organisation du travail dont la mise en place est encadrée juridiquement.
L’employeur est responsable de la sécurité des données personnelles de son entreprise, quel que soit le terminal utilisé par le salarié pour accéder aux ressources informatiques de l’entreprise.
L’utilisation d’outils personnels est soumise à l’autorisation préalable de l’employeur.
La CNIL recommande aux employeurs et aux salariés :
La sécurisation des données personnelles dans le cadre du télétravail est un impératif pour l’employeur. A ce titre il lui est conseillé de :
éditer une charte de sécurité et la communiquer aux salariés
Ces outils doivent garantir la confidentialité des échanges et des données partagées. Ils doivent donc fournir au minimum une authentification et un chiffrement des communications.
Le Règlement Général sur la Protection des Données concerne toutes les entreprises qui collectent, stockent et/ou traitent des données personnelles.