Le Coronavirus et la collecte des données de santé du salarié par l'employeur
Apparu à la fin de l'année 2019, le Covid-19 a provoqué une situation sans précédent, mettant à l'arrêt forcé une grande partie du monde. A la crise sanitaire s'ajoute les difficultés économiques auxquelles doivent faire face petites et grandes entreprises.
Je m'abonneLes employeurs se retrouvent confrontés en très peu de temps à des questions dont les réponses ne sont pas évidentes. Parmi ces nombreuses questions, celle de la collecte des données personnelles de santé s'avère être primordiale. L'employeur peut-il collecter les données personnelles de ses employés ?
L'interdiction de traitement des données de santé
Une donnée de santé est une donnée à caractère personnel relative à la santé physique ou mentale d'une personne physique. Ces données sont considérées comme sensibles et demandent une protection adaptée. Elles sont protégées par l'article 9 du Règlement Général sur la Protection des Données. L'article pose le principe d'interdiction de traitement des données de santé puis énonce les exceptions. La collecte des données de santé est ainsi rendue possible par exemple pour des motifs d'intérêt public dans le domaine de la santé publique ou aux fins de la médecine du travail.
L'employeur n'a pas le droit de posséder les informations médicales des employés hors cas d'un accident du travail ou d'une maladie professionnelle. S'il décide de collecter des données de santé en dehors de ces deux hypothèses, cela serait considéré comme une atteinte au respect à la vie privée du salarié.
L'obligation de sécurité de l'employeur et de l'employé
L'employeur est soumis à une obligation générale de sécurité envers ses salariés. Celle-ci s'applique également en cas de crise sanitaire. Cette obligation de sécurité implique la mise en place de mesures de prévention, des actions d'information et de formation et l'organisation de tout moyen pertinent afin d'assurer la sécurité de ses employés. L'employeur doit par conséquent évaluer le risque de contamination dans l'entreprise en fonction des postes de travail et adapter les mesures. L'évaluation du risque doit être ajoutée dans le Document Unique D'évaluation des Risques (DUERP).
Chaque mesure prise dans le cadre de l'obligation de sécurité de l'employeur doit être portée à l'attention des employés afin qu'ils puissent les appliquer efficacement.
En l'absence de respect par l'employeur de son obligation, sa responsabilité pour faute inexcusable pourrait être engagée dans l'hypothèse d'une maladie professionnelle.
Il est important d'ajouter que l'employé est également soumis à une obligation de sécurité. Il a l'obligation de faire attention à sa sécurité et sa santé ainsi qu'à celles des personnes touchées par ses actes. De cette obligation découle la nécessité d'informer son employeur s'il suspecte un contact avec le virus ou l'apparition de symptômes. Si l'employeur lui demande son lieu de vacances, celui-ci doit répondre. L'absence de réponse du salarié serait considérée comme un manquement.
Les recommandations de la Cnil
Face à la situation exceptionnelle engendrée par le Covid-19, le 6 mars 2020, la Cnil a adressé ses recommandations. L'employeur peut demander des informations aux salariés sur leur état de santé ou leurs destinations de vacances mais les demandes ne doivent jamais dépasser la recherche d'exposition au virus. La collecte systématique et généralisée, par enquêtes et demandes individuelles, des informations est interdite. Elle doit être individuelle.
Néanmoins, il peut inviter ses employés à l'informer ou informer les autorités sanitaires en cas d'une éventuelle exposition au virus ou l'apparition de symptômes.
En cas de signalement, un employeur peut noter plusieurs informations afin de les communiquer aux autorités sanitaires :
- la date et l'identité de la personne suspectée d'avoir été exposée ;
- les mesures organisationnelles prises (confinement, télétravail, etc.).
Les sanctions en cas de violation des données de santé
Si l'employeur met ou conserve en mémoire informatisée, sans le consentement exprès de l'employé, des données à caractère personnel relatives à la santé, celui-ci risque 5 ans d'emprisonnement et 300 000 euros d'amende. Il a, de plus, obligation de notifier toute violation des données personnelles à la CNIL et à la personne concernée. En l'absence de notification, celui-ci risque 5 ans d'emprisonnement et 300.000 € d'amende.
Pour en savoir plus :
Mélanie Erber est avocat associé au sein du cabinet Coblence avocats. Elle conseille ses clients tant en conseil qu'en pré contentieux ou contentieux sur des problématiques de droit de la propriété intellectuelle de droit de l'informatique et des nouvelles technologies et de droit de la concurrence et de la distribution.