Gérer les données personnelles à l’heure du Covid-19

La crise actuelle soulève des problématiques inédites vis-à-vis du respect de la vie privée et de la protection des données personnelles. Les organisations doivent notamment jongler avec de nouvelles données relatives à la santé de leurs collaborateurs, dans l’optique de protéger celle des autres.

La grande majorité des organisations sait aujourd’hui que l’utilisation des données personnelles est encadrée par le Règlement Général sur la Protection des Données (RGPD). Si la plupart des acteurs se sont mis en conformité vis-à-vis de cette réglementation européenne, la crise actuelle soulève de nouvelles problématiques.

Lors d’un récent webinaire dédié aux acteurs en charge de la protection des données au sein des organisations, les experts de PwC Luxembourg ont fait le point sur ces enjeux.

Parmi eux, l’obligation d’assurer la protection de nouveaux traitements de données relatives à la santé des collaborateurs.

Légalement, tout employeur a pour obligation de garantir la santé et la sécurité de ses employés sur le lieu de travail. Avec cette crise, le législateur grand-ducal a cependant introduit une série de mesures, précisant notamment qu’un employé doit immédiatement rapporter à son employeur toute situation relative à un danger sérieux et immédiat pour la sécurité et la santé de chacun dans le contexte de la pandémie actuelle.

Les organisations, contraintes de gérer des données de santé

Si jusqu’à présent un collaborateur absent pour raison médicale n’était pas tenu d’informer son employeur sur la nature de son indisponibilité, ce même collaborateur est désormais contraint, du fait de la situation liée à la Covid-19, de préciser que ce virus en est ou pourrait en être la cause.

Dès lors, les organisations sont tenues de gérer une catégorie spéciale de données, c’est-à-dire celles relatives à la santé des personnes.

Or, si l’on s’en réfère au RGPD, un régime spécifique s’applique à la gestion de ces informations particulières. En l’occurrence, traiter des données personnelles relatives à la santé est formellement interdit en dehors de quelques exceptions bien établies. Parmi elles, l’exécution des obligations et l’exercice des droits spécifiques du responsable du traitement ou de la personne concernée dans le domaine du droit du travail et de la sécurité sociale. Les organisations, dès lors, pourraient justifier le traitement de ces données à travers les nouvelles obligations qui leurs incombent.

Comment protéger ses collaborateurs dans le respect du RGPD ?

Les responsables de la protection des données personnelles doivent cependant avoir conscience du caractère particulier de ces données et prendre les mesures adaptées à leur traitement. Dans le contexte actuel, confrontés à une situation inédite, il faut se méfier de certaines décisions prises dans l’urgence, en pensant bien faire, et qui impliquent l’utilisation de données de santé. Par exemple, l’identité d’une personne qui pourrait être contaminée ne doit pas être communiquée aux autres employés. L’employeur ne peut pas demander des informations complémentaires en lien avec une contamination. Il ne peut pas accumuler des données relatives à l’état de santé de ses employés afin d’identifier les individus les plus à risque en cas de contamination.

Seuls les professionnels de la santé sont autorisés à constituer des notes relatives à l’état de santé d’une personne. Ainsi, par exemple, mesurer la température des employés ou d’un client, même à des fins de prévoyance, est interdit.

Considérer les données uniquement prévenir les risques

Que peuvent faire les organisations avec ces données de santé que les employés ont l’obligation de leur transmettre ? Les employeurs peuvent traiter ces données uniquement pour ce qui relève de leurs obligations légales, pour déterminer le moment où il est nécessaire de mettre en œuvre des mesures organisationnelles, comme le télétravail, afin de garantir la sécurité de tous. Ces données peuvent être utilisées pour mesurer et prévenir les risques professionnels dans leur ensemble.

Informer les employés de leurs obligations

Cela ne doit toutefois pas interdire aux employeurs de rappeler aux collaborateurs qui sont amenés à entrer en contact avec d’autres personnes dans le contexte professionnel leur obligation de les informer, ainsi que la Direction de la Santé, de toute contamination ou suspicion de contamination, et ce uniquement afin de garantir des conditions de travail sûres pour tous. Ayant pris connaissance d’un cas de suspicion ou de contamination, l’employeur ne manquera pas d’inviter son employé à consulter un médecin et de continuer à travailler à distance.

Limiter les données, en quantité et dans la durée

Dans l’ensemble, il est important que le responsable de la protection des données mette en place des mesures de “privacy by design”. On doit s’assurer que l’on ne garde l’information que si elle est nécessaire pour répondre à nos obligations. On doit limiter les données conservées, tant au niveau de la quantité que de la durée. Concernant les données de santé transmises dans le contexte de la Covid-19 plus particulièrement, il n’y a pas lieu de conserver ces données au-delà 15 jours, tout au plus 21 jours.