RGPD et gestion, par l’employeur, des employés (potentiellement) infectés par le Covid-19

En cette période exceptionnelle, de nombreuses entreprises sont contraintes de fermer ou de fonctionner sur la base quasi-exclusive du télétravail. Dans certains cas, et notamment dans les secteurs cruciaux, les employés restent toutefois autorisés à se rendre sur leur lieu de travail.

Face à cette situation, les employeurs concernés vont devoir réaliser un délicat exercice de funambulisme entre l’obligation légale qui leur incombe de préserver la santé de leurs employés et les règles applicables en matière de protection de la vie privée.

L’obligation de l’employeur de veiller à la sécurité et à la santé de ses travailleurs trouve sa source dans l’article 20, 2°, de la loi belge du 3 juillet 1978. En vertu de cette disposition, l’employeur doit « veiller en bon père de famille à ce que le travail s’accomplisse dans des conditions convenables au point de vue de la sécurité et de la santé du travailleur ». Une obligation similaire est mise en place par l’article L.312-1 du Code du travail luxembourgeois (« L’employeur est obligé d’assurer la sécurité et la santé des salariés dans tous les aspects liés au travail. »).

Les mesures envisagées ou nécessaires à ce titre pourraient impliquer le traitement, voire le partage de données à caractère personnel relatives à des employés. Différentes questions peuvent se poser à cet égard.

Avant toute chose, il convient de rappeler que les données relatives à la santé d’un individu constituent des données particulièrement sensibles et que le Règlement général sur la protection des données (« RGPD ») interdit en principe de traiter de telles données, tout en ménageant certaines exceptions telles que notamment :

  • le consentement explicite de la personne concernée ;
  • des obligations et l’exercice de droits propres à l’employeur ou au travailleur en matière de droit du travail, dans la mesure où le traitement est autorisé par la réglementation d’un Etat membre ou de l’UE ;
  • le traitement de données manifestement rendues publiques par la personne concernée.

Pouvoir s’appuyer sur l’une de ces exceptions ne dispensera pas l’employeur de se conformer au reste des règles contenues dans le RGPD telles que par exemple les principes de limitation des finalités, de minimisation des données, d’information préalable des personnes concernées ou encore de confidentialité.

En gardant ces principes en tête, examinons donc différentes questions pratiques que les employeurs peuvent être amenés à se poser.

1. En tant qu’employeur, puis-je contrôler la santé de mes employés de façon systématique ?

L’employeur peut-il quotidiennement contrôler la température de tous ses employés ou exiger qu’ils remplissent un questionnaire médical ?

Bien que l’Autorité belge de protection des données (« APD ») ait pris le parti de considérer que « la simple prise de température [si elle] ne s’accompagn[e] pas d’un enregistrement ou d’un traitement de données personnelles » ne constitue pas un traitement de données personnelles, la prudence s’impose. En effet, il sera vraisemblablement difficile de mettre en place de tels contrôles de façon utile sans enregistrer / collecter de données à caractère personnel (quand bien même un tel enregistrement serait limité aux employés présentant de la fièvre) : à défaut, comment justifier les mesures d’écartement qui seraient prises à l’encontre d’un employé sur cette base ?

A cet égard, il nous semble donc plus raisonnable de se rallier aux recommandations des autorités française (Commission Nationale de l’Informatique et des Libertés (« CNIL »)) et luxembourgeoise (Commission Nationale pour la Protection des Données (« CNPD »)) de protection des données qui n’envisagent pas de contrôle sans traitement / collecte de données et tranchent de façon plus catégorique en estimant que « les employeurs doivent s’abstenir de collecter de manière systématique et généralisée […] des informations relatives à la recherche d’éventuels symptômes présentés par un employé » .

Un tel traitement pose en effet problème au regard des principes de nécessité et de proportionnalité : il apparaît que de nombreux porteurs du Covid-19 sont en réalité asymptomatiques , de sorte que cette mesure particulièrement invasive en termes de vie privée n’est pas particulièrement efficace pour identifier les cas de contamination.

Il est dès lors recommandé de privilégier des mesures de sensibilisation des employés, en les invitant à signaler toute information pertinente (voyage à l’étranger, symptômes, contact avec une personne contaminée) à leur employeur et/ou à leur médecin.

2. Les employés ont-ils l’obligation d’informer leur employeur d’une potentielle contamination ?

L’article 17, 4°, de la loi belge du 3 juillet 1978 relative aux contrats de travail souligne que le travailleur a l’obligation « de s’abstenir de tout ce qui pourrait nuire, soit à sa propre sécurité, soit à celle de ses compagnons, de l’employeur ou de tiers ». Une disposition similaire est reprise à l’article L.313-1 du Code luxembourgeois du droit du travail en vertu duquel il incombe à chaque salarié de « prendre soin, selon ses possibilités, de sa sécurité et de sa santé ainsi que de celle des autres personnes concernées » et de « signaler immédiatement à l’employeur […] toute situation de travail dont il [a] un motif raisonnable de penser qu’elle présente un danger grave et immédiat pour la sécurité et la santé ».

Au regard de cette disposition, l’on peut considérer que les employés ont l’obligation d’informer leur employeur de toute situation pouvant entraîner une suspicion contact avec le virus et/ou de contamination, pour permettre à leur employeur de prendre les mesures nécessaires pour protéger les autres employés.

3. Puis-je partager l’identité d’un employé (suspecté d’être) contaminé ?

En temps normal, les données relatives à la santé d’un employé sont strictement confidentielles. C’est ainsi que, par exemple, l’employeur n’aura jamais connaissance du motif pour lequel un certificat médical est octroyé à l’un de ses employés.

La confidentialité des données personnelles en général et médicales en particulier est aussi consacrée par les articles 5.1, f) et 32.1, b) du RGPD, en vertu desquels le responsable de traitement doit mettre en place des mesures de sécurité appropriées au risque que présentent les données traitées.

Dans le cas particulier d’une maladie hautement contagieuse, les principes exposés ci-avant doivent toutefois être réévalués en tenant compte de la finalité du traitement et des obligations de l’employeur en termes de prévention. La divulgation de données devra impérativement tenir compte des principes de nécessité et de proportionnalité par rapport à la finalité poursuivie.

Ainsi, l’employeur devra se demander si, par rapport au contexte spécifique à son entreprise, il est impératif de divulguer aux autres travailleurs l’identité d’une personne (suspectée d’être) contaminée ou si l’information d’un cas de contamination est suffisante. L’employeur devra donc évaluer la nécessité et la proportionnalité d’une telle mesure au regard de l’objectif de protection des autres travailleurs : est-il possible d’identifier et d’avertir les travailleurs ayant été en contact avec cette personne sans en communiquer le nom ? est-il possible de prendre les mesures de désinfection nécessaires ?

Les autorités de protection des données (notamment belge et britannique) sont d’avis que, dans la plupart des cas, il ne sera pas nécessaire de divulguer l’identité précise de la personne concernée . En pratique, il faut cependant également garder à l’esprit qu’il ne sera pas toujours possible d’éviter de révéler indirectement une telle information, par exemple dans une petite entreprise où seul un employé serait absent et où des mesures de désinfection devraient être prises.