COVID-19 et traitement de données à caractère personnel sur le lieu de travail

Suite à l'apparition du COVID-19, l'Autorité de protection des données a récemment reçu un certain nombre de questions récurrentes concernant les mesures préventives prises par des entreprises et des employeurs, visant à prévenir la propagation du virus, et les conditions dans lesquelles des données à caractère personnel - en particulier des données de santé - peuvent être traitées dans ce contexte.

Conformément à l'article 20, 2° de la loi du 3 juillet 1978, l'employeur a l'obligation "de veiller en bon père de famille à ce que le travail s'accomplisse dans des conditions convenables au point de vue de la sécurité et de la santé du travailleur". En exécution de cette disposition, de nombreux employeurs prennent dès lors des mesures préventives. La question se pose toutefois de savoir comment cette obligation se concilie avec le droit du travailleur à la protection de sa vie privée et de ses données à caractère personnel.

Il appartient évidemment à l'employeur de prendre un certain nombre de mesures de prévention en matière d'organisation du travail (horaires flexibles, télétravail, report des fêtes du personnel, ...) ainsi que de sensibilisation à la distanciation sociale et à l'hygiène sur le lieu de travail (voir le  site Internet du SPF Emploi). Toutefois, dès le moment où des mesures de prévention au travail à prendre s'accompagnent d'un traitement de données à caractère personnel, il convient également de respecter les dispositions du Règlement général sur la protection des données (ci-après : "RGPD").

À nos yeux, la santé publique est primordiale et prévention et droit à la vie privée ne sont pas incompatibles. Nous recommandons de respecter les instructions des autorités compétentes - dont le SPF Santé publique - afin que toutes les mesures prises soient proportionnées. Cela permettra de garantir à la fois une bonne hygiène de vie et une bonne "hygiène des données" !

En réaction aux questions récemment posées, l'Autorité de protection des données rappelle ci-après quelques principes généraux en matière de protection des données et apporte des réponses sous forme de FAQ.

1.    Licéité du traitement (articles 6 et 9 du RGPD)

Même dans le cadre de la prise de mesures sanitaires préventives, le principe général est que tout traitement de données à caractère personnel doit répondre aux conditions de l'article 6.1 du RGPD et reposer sur une des bases de légitimité mentionnées dans cet article.

À cet égard, il convient de souligner en particulier qu'à ce stade et sur la base des dernières informations publiées par le SPF Santé publique concernant le COVID-19, rien ne justifie une application plus étendue ou systématique de la base de légitimité reprise à l'article 6.1.d) du RGPD (“ ("traitement  nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique") dans le cadre de la prise de mesures de prévention par les entreprises et les employeurs.

Cela s'applique d'autant plus à un éventuel traitement de données de santé, pour lesquelles l'article 9 du RGPD prévoit en principe une interdiction de traitement. Il convient d'attirer l'attention sur le fait que pour le traitement de cette catégorie de données à caractère personnel, les entreprises et les employeurs ne peuvent invoquer l'article 9.2, i) du RGPD que si elles/ils agissent en exécution de directives explicites imposées par les autorités.

En outre, l'évaluation des risques pour la santé ne doit pas être effectuée par les entreprises et les employeurs, mais par le médecin du travail, qui est compétent pour détecter les infections et pour informer l'employeur et les personnes qui ont été en contact avec la personne infectée. Ces informations sont fournies par le médecin du travail sur la base des articles 6.1, c) et 9.2, b) du RGPD (traitement aux fins de l'exécution d'une obligation en matière de droit du travail).

2.    Mesures de prévention et principes généraux en matière de traitement de données à caractère personnel

En cas de traitement éventuel de données à caractère personnel dans le cadre de l'application de mesures de prévention relatives au COVID-19, outre les dispositions susmentionnées du RGPD, il convient également de respecter les principes généraux en matière de traitement de données.

Les mesures impliquant en particulier un traitement de données à caractère personnel doivent tenir compte du principe de proportionnalité et du principe de minimisation (article 5.1, c) et e) du RGPD). 

Comme pour chaque traitement de données, seule la quantité minimale nécessaire de données peut être traitée en vue d'atteindre la finalité recherchée.

En outre, les entreprises doivent être transparentes par rapport aux mesures prises et informer suffisamment leurs travailleurs et leurs visiteurs à propos des finalités de traitement et de la durée de conservation des données à caractère personnel collectées dans ce cadre (article 5.1, a) du RGPD).

Enfin, les mesures de sécurité nécessaires doivent être respectées en vue de protéger les données à caractère personnel à traiter (art. 32 du RGPD).

3.    FAQ

A) Une entreprise ou un travailleur peut-elle/il pratiquer des contrôles généralisés et systématiques de la température corporelle des travailleurs et/ou des visiteurs) ?

L’APD ne considère pas la simple prise de température comme un traitement de données personnelles. Si ces prises de température ne s’accompagnent pas d’un enregistrement ou d’un traitement de données personnelles, le RGPD n’est donc pas d’application.

De manière générale, un employeur ne peut pas prendre des mesures qui sortent du cadre du droit du travail existant ou des instructions des autorités compétentes.

B) Un employeur peut-il contraindre ses travailleurs à remplir un questionnaire médical ou un questionnaire relatif à ses récents voyages ?

L'employeur ne peut pas obliger des travailleurs à compléter de tels questionnaires. Il est recommandé d'encourager les travailleurs à signaler spontanément des voyages à risques ou des symptômes. Dans ce cas également, le rôle du médecin du travail doit être souligné.

C) En vue de prévenir la propagation du virus, une entreprise ou un employeur peut-elle/il révéler les noms des personnes/travailleurs infecté(e)s ?

En vertu du principe de confidentialité (article 5.1, f) du RGPD) et du principe de minimisation des données (article 5.1, c) du RGPD), un employeur ne peut pas librement révéler les noms des personnes concernées. La proportionnalité est également un principe important à respecter lors du traitement de données personnelles (médicales ou non). En vue de, par exemple, prévenir la propagation du virus, l’employeur peut évidemment informer les autres travailleurs d’une contamination, sans mentionner l'identité de la (des) personne(s) concernée(s).

En effet, dans la plupart des cas, il n’est pas nécessaire (ni même souhaitable) de révéler le nom de la personne concernée, car cela pourrait avoir comme effet la stigmatisation de la personne.

Le nom de la personne infectée peut être communiqué au médecin du travail ou encore aux autorités compétentes.

D) Est-ce que mon employeur peut m’interdire de participer à des réunions ou rassemblements avec de la famille ou des amis pendant mon temps libre, ou encore m’interdire de voyager à l’étranger ?
 
Si ces demande d’un employeur à un employé ne s’accompagnent pas d’un traitement effectif de données à caractère personnel, le RGPD n’est pas d’application. De manière générale, un employeur ne peut pas prendre des mesures qui sortent du cadre du droit du travail existant ou des instructions des autorités compétentes.

E) D'autres questions ?

Si après avoir lu ce texte, vous avez encore des questions sur le traitement de données à caractère personnel dans le cadre de la mise en place de mesures de prévention relatives au COVID 19, vous pouvez les envoyer à l'Autorité de protection des données via l'adresse contact@apd-gba.be



* Texte publié le 13/03/2020 et actualisé le 02/04/2020 ; ce texte peut être mis à jour en fonction de l'évolution de la situation. Suivez les recommandations des autorités compétentes, en particulier du SPF Santé publique.