Covid-19 sur le lieu de travail
Suite à l'apparition du COVID-19, l'Autorité de protection des données a récemment reçu un certain nombre de questions récurrentes concernant les mesures préventives prises par des entreprises et des employeurs, visant à prévenir la propagation du virus, et les conditions dans lesquelles des données à caractère personnel - en particulier des données de santé - peuvent être traitées dans ce contexte.
Conformément à l'article 20, 2° de la loi du 3 juillet 1978, l'employeur a l'obligation "de veiller en bon père de famille à ce que le travail s'accomplisse dans des conditions convenables au point de vue de la sécurité et de la santé du travailleur". En exécution de cette disposition, de nombreux employeurs prennent dès lors des mesures préventives. La question se pose toutefois de savoir comment cette obligation se concilie avec le droit du travailleur à la protection de sa vie privée et de ses données à caractère personnel.
Il appartient évidemment à l'employeur de prendre un certain nombre de mesures de prévention en matière d'organisation du travail (horaires flexibles, télétravail, report des fêtes du personnel, ...) ainsi que de sensibilisation à la distanciation sociale et à l'hygiène sur le lieu de travail (voir le site Internet du SPF Emploi). Toutefois, dès le moment où des mesures de prévention au travail à prendre s'accompagnent d'un traitement de données à caractère personnel, il convient également de respecter les dispositions du Règlement général sur la protection des données (ci-après : "RGPD").
À nos yeux, la santé publique est primordiale et prévention et droit à la vie privée ne sont pas incompatibles. Nous recommandons de respecter les instructions des autorités compétentes - dont le SPF Santé publique - afin que toutes les mesures prises soient proportionnées. Cela permettra de garantir à la fois une bonne hygiène de vie et une bonne "hygiène des données"! En réaction aux questions récemment posées, l'Autorité de protection des données rappelle ci-après quelques principes généraux en matière de protection des données et apporte des réponses sous forme de FAQ.
* Texte publié le 13/03/2020 et actualisé le 13/10/2020 ; ce texte peut être mis à jour en fonction de l'évolution de la situation. Suivez les recommandations des autorités compétentes, en particulier du SPF Santé publique.
Même dans le cadre de la prise de mesures sanitaires préventives, le principe général est que tout traitement de données à caractère personnel doit répondre aux conditions de l'article 6.1 du RGPD et reposer sur une des bases de légitimité mentionnées dans cet article.
À cet égard, il convient de souligner en particulier qu'à ce stade et sur la base des dernières informations publiées par le SPF Santé publique concernant le COVID-19, rien ne justifie une application plus étendue ou systématique de la base de légitimité reprise à l'article 6.1.d) du RGPD (“ ("traitement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique") dans le cadre de la prise de mesures de prévention par les entreprises et les employeurs.
Cela s'applique d'autant plus à un éventuel traitement de données de santé, pour lesquelles l'article 9 du RGPD prévoit en principe une interdiction de traitement. Il convient d'attirer l'attention sur le fait que pour le traitement de cette catégorie de données à caractère personnel, les entreprises et les employeurs ne peuvent invoquer l'article 9.2, i) du RGPD que si elles/ils agissent en exécution de directives explicites imposées par les autorités. En outre, l'évaluation des risques pour la santé ne doit pas être effectuée par les entreprises et les employeurs, mais par le médecin du travail, qui est compétent pour détecter les infections et pour informer l'employeur et les personnes qui ont été en contact avec la personne infectée. Ces informations sont fournies par le médecin du travail sur la base des articles 6.1, c) et 9.2, b) du RGPD (traitement aux fins de l'exécution d'une obligation en matière de droit du travail).
En cas de traitement éventuel de données à caractère personnel dans le cadre de l'application de mesures de prévention relatives au COVID-19, outre les dispositions susmentionnées du RGPD, il convient également de respecter les principes généraux en matière de traitement de données.
Les mesures impliquant en particulier un traitement de données à caractère personnel doivent tenir compte du principe de proportionnalité et du principe de minimisation (article 5.1, c) et e) du RGPD).
Comme pour chaque traitement de données, seule la quantité minimale nécessaire de données peut être traitée en vue d'atteindre la finalité recherchée.
En outre, les entreprises doivent être transparentes par rapport aux mesures prises et informer suffisamment leurs travailleurs et leurs visiteurs à propos des finalités de traitement et de la durée de conservation des données à caractère personnel collectées dans ce cadre (article 5.1, a) du RGPD).
Enfin, les mesures de sécurité nécessaires doivent être respectées en vue de protéger les données à caractère personnel à traiter (art. 32 du RGPD).
Questions
Non, ce n'est pas permis. La température corporelle d’une personne est une donnée de santé.
Conformément à l’article 9.1 du RGPD, le traitement de données relatives à la santé est interdit, sauf exception prévue par une loi. En l’absence d’une telle exception légale (par exemple une CCT), un responsable du traitement ne peut pas mesurer la température corporelle des travailleurs au moyen de technologies numériques avancées tels que des scanners de température et des caméras thermiques.
Non, ce n'est pas permis.
Le RGPD s’applique à l’enregistrement de données à caractère personnel dans le questionnaire. Une organisation ne peut jamais obliger des visiteurs ou des travailleurs à compléter un tel questionnaire. Ces questions permettent d'évaluer l'état de santé du visiteur ou du travailleur, ce qui vous amènerait à traiter des données relatives à la santé.
En vertu de l’article 9.1 du RGPD, le traitement de données de santé est interdit, à moins qu’une exception soit prévue par une loi ou que la personne concernée y consente librement. Dans la relation entre travailleur et employeur, le consentement du travailleur est rarement libre car un travailleur peut subir une importante pression pour donner son consentement.
Remplir le questionnaire est donc uniquement possible si le travailleur ou le visiteur peut refuser en toute liberté de remplir le questionnaire sans en subir de conséquences négatives (par ex. ne pas obtenir accès au lieu de travail). Par conséquent, vous ne pouvez pas obliger un visiteur ou un travailleur à remplir ce questionnaire.
Non, ce n'est pas permis. Un employeur ne peut pas imposer un tel test à son personnel sur la seule base de son autorité patronale. Cela affecte en effet l’intégrité physique des travailleurs. Sans base légale, un travailleur ne peut pas être contraint de se faire tester. L’Autorité souligne cependant qu’il peut parfois être très important qu’un membre du personnel se fasse tester, comme dans le secteur médical, par exemple.
Situation 1: le bracelet contribue uniquement et de façon anonyme au maintien d’une distance de sécurité (ce qu'on appelle la "distanciation sociale").
Oui, c’est permis.
Si le bracelet émet simplement un signal lorsque deux bracelets se trouvent dans un périmètre préétabli, l’Autorité ne voit pas de problème : les deux bracelets mesurent alors uniquement la distance et si celle-ci devient trop courte (<1.5 m) un signal est émis pour avertir les personnes concernées. Aucun lien n’est possible avec une personne identifiable. C’est permis.
Situation 2 : le bracelet ne contribue pas seulement au maintien d’une distance de sécurité (ce qu’on appelle la "distanciation sociale), mais enregistre aussi des données de localisation.
Non, ce n'est pas permis.
Dans ce cas, le RGPD s’applique car des données (de localisation) de personnes identifiables sont utilisées.
Vu qu’il est question ici d’un stockage d’informations ou de l’obtention de l’accès à des informations stockées dans l’équipement terminal (ici : le bracelet) du travailleur, l’article 5 (3) de la Directive e-Privacy et l’article 129 de la loi du 13 juin 2005 relative aux communications électroniques s’appliquent. Cela signifie que le consentement du travailleur est nécessaire au déploiement de ce système.
Ce consentement doit être libre, comme le prescrit l’article 7.4 du RGPD. Dans la relation entre travailleur et employeur, le consentement du travailleur est rarement libre car ce dernier peut subir une pression pour donner son consentement. Le port du bracelet n’est donc pas possible car le travailleur ne peut pas le refuser en toute liberté sans en subir de conséquences négatives (par ex. : ne pas obtenir accès au lieu de travail).
Non, ce n'est généralement pas permis.
La caméra qui filme le visiteur du magasin exécute un traitement de données à caractère personnel, même si les images de caméras ne sont enregistrées que de manière locale et pour une très courte durée (détection en temps réel).
L'article 5 du RGPD prescrit qu'un traitement de données à caractère personnel doit toujours être proportionnel : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité poursuivie.
Le magasin devra prouver que cette détection à l'aide d'images de caméras constituait la seule mesure efficace et que des solutions moins intrusives pour la vie privée (comme le contrôle visuel par un employé du magasin) étaient insuffisantes. Sauf circonstances exceptionnelles, l'Autorité estime que ce mode de détection est disproportionné dans la plupart des situations.
Non, ce n'est généralement pas permis.
La caméra qui filme les travailleurs exécute un traitement de données à caractère personnel, même si les images de caméras ne sont enregistrées que de manière locale et pour une très courte durée (détection en temps réel).
L'article 5 du RGPD prescrit qu'un traitement de données à caractère personnel doit toujours être proportionnel : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité poursuivie. La convention collective de travail n° 68 relative à la surveillance par caméras sur le lieu de travail répète également ce principe.
L'employeur devra prouver que la détection à l'aide d'images de caméras constituait la seule mesure efficace et que des solutions moins intrusives pour la vie privée (comme le contrôle visuel par l'employeur) étaient insuffisantes. Sauf circonstances exceptionnelles, l'Autorité estime que ce mode de détection est disproportionné dans la plupart des situations.
Si l'employeur peut prouver que le traitement est proportionnel, il doit respecter les dispositions de la convention collective de travail n° 68 relative à la surveillance par caméras sur le lieu de travail.
En vertu du principe de confidentialité (article 5.1, f) du RGPD) et du principe de minimisation des données (article 5.1, c) du RGPD), un employeur ne peut pas librement révéler les noms des personnes concernées. La proportionnalité est également un principe important à respecter lors du traitement de données personnelles (médicales ou non). En vue de, par exemple, prévenir la propagation du virus, l’employeur peut évidemment informer les autres travailleurs d’une contamination, sans mentionner l'identité de la (des) personne(s) concernée(s).
En effet, dans la plupart des cas, il n’est pas nécessaire (ni même souhaitable) de révéler le nom de la personne concernée, car cela pourrait avoir comme effet la stigmatisation de la personne.
Le nom de la personne infectée peut être communiqué au médecin du travail ou encore les autorités compétentes.
Non. Toutefois, en vertu de la Loi relative aux contrats de travail et de la Loi relative au bien-être, les travailleurs sont obligés de prendre soin de la sécurité et de la santé des autres travailleurs et des tiers. Dans ce cadre, les travailleurs ont également l’obligation de s’abstenir de tout ce qui pourrait nuire aux autres travailleurs et aux tiers. Ces obligations n’impliquent pas que l’employeur puisse exiger de ses travailleurs qu’ils l’informent directement en cas de contamination par le Covid-19.
Un travailleur qui a été contaminé par le Covid-19 peut le signaler de son plein gré à son employeur. Cela n’autorise toutefois pas l’employeur à traiter cette information. Cette information est une donnée à caractère personnel à la lumière du RGPD et ne peut en principe pas être traitée. Ainsi, l’employeur ne peut pas communiquer l’identité du travailleur contaminé aux autres travailleurs. Cependant, sur la base de la communication volontaire, l’employeur peut par contre informer les autres travailleurs d’une contamination en vue de prévenir une propagation du virus mais l’identité du travailleur concerné ne peut pas être divulguée.
Lorsque les activités des travailleurs impliquent des contacts humains intensifs, un employeur peut néanmoins demander aux travailleurs de notifier en toute confidentialité les contaminations par le Covid-19 au médecin du travail.
Lorsqu'un travailleur demande un petit chômage pour se faire vacciner, vous ne pouvez, en tant qu'employeur, réclamer que les informations strictement nécessaires pour contrôler le motif (vaccination contre le Covid-19) et le moment. L'employeur peut dès lors demander de présenter la confirmation du rendez-vous fixé pour la vaccination.
L'employeur ne peut toutefois pas faire une copie de cette confirmation ni enregistrer quels travailleurs se sont fait vacciner à quel moment. Une fois que l'on a contrôlé la confirmation du rendez-vous, il suffit d'enregistrer l'absence comme petit chômage.
Vous trouverez plus d'informations dans l'avis n° 25/2021 du Centre de Connaissances.