La CNIL reçoit actuellement de nombreuses questions sur les possibilités de collecter, en dehors de toute prise en charge médicale, des données concernant des employés, agents ou visiteurs, afin de déterminer si ces personnes présentent des symptômes du coronavirus, ou des données relatives à des déplacements et évènements pouvant relever de la sphère privée.

1- Ce qu’il ne faut pas faire

Les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus : ces données font l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique.

Il n’est ainsi pas possible de mettre en œuvre, par exemple :
- des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ;
- ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents. 

2- Ce qu’il est possible de faire

L’employeur est responsable de la santé et de la sécurité des salariés et agents. Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés. Dans ce contexte, il peut :
- sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
- faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
- favoriser les modes de travail à distance et encourager le recours à la médecine du travail.
 
En cas de signalement, un employeur peut consigner :
- la date et l’identité de la personne suspectée d’avoir été exposée ;
- les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).

Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition,  nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

Chaque employéou agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même : il doit informer son employeur en cas de suspicion de contact avec le virus.

Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L'évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.

(source : CNIL, 6 mars 2020)

Retrouvez le fil d'actualité du CNPA