Aussi impérieuse soit-elle, la lutte contre l’épidémie de Covid-19 au travail ne doit pas venir empiéter sur la protection des données personnelles des salariés. C’est en substance la mise en garde de la Commission nationale de l’informatique et des libertés (Cnil), à l’attention des entreprises. Un rappel à l’ordre visiblement nécessaire, face aux inquiétudes suscitées par l’épidémie et aux injonctions pour tenter de l’endiguer.
C’est que les employeurs se trouvent pris entre deux exigences. D’une part, ils sont tenus de respecter la vie privée de leurs salariés. D’autre part, ils sont responsables de la santé et de la sécurité de leurs effectifs sur le lieu de travail. Or, par précaution, et au nom de ce dernier principe, certains ont pu être amenés à collecter des données nouvelles, ici pour identifier les personnes vulnérables, là pour recenser les malades et les cas contact, voire pour organiser et suivre des prises de température ou des opérations de dépistage.
Problème : ces pratiques impliquent la manipulation de données de santé, par définition sensibles, avec un risque d’intrusion dans l’intimité des salariés. La Cnil vient donc remettre au clair ce qui ne l’était plus vraiment dans le contexte du Covid-19.
Ce que l’employeur peut faire : prévenir et réagir
Épidémie ou pas, les règles habituelles, en matière de données personnelles, restent de rigueur. Priment donc les principes de finalité (but précis, légal et légitime de la collecte ; en l’occurrence, ici, assurer la santé et la sécurité au travail) et de proportionnalité (récupération des données strictement nécessaires à cet objectif). Traduction de la Cnil : "Si l’employeur a, particulièrement en cette période, une obligation de moyens renforcée, celle-ci est néanmoins circonscrite à l’élaboration de mesures de prévention. Ainsi, il [lui] appartient uniquement de prendre des mesures de protection collective […] [ou] liées aux signalements qui lui sont adressés, ainsi que de relayer les messages des autorités sanitaires."
• En prévention : encourager les salariés exposés à se signaler
Vu sous cet angle, l’entreprise peut donc encourager ses salariés à se signaler comme cas confirmés ou suspects de Covid-19, "aux seules fins de lui permettre d’adapter [leurs] conditions de travail". Et ce d’autant plus que, "dans un contexte de pandémie […], un employé qui travaille au contact d’autres personnes […] doit, à chaque fois qu’il a pu exposer une partie de ses collègues au virus, informer son employeur en cas de contamination ou de suspicion de contamination".
Attention toutefois, l’entreprise n’a pas à connaître cette information pour les personnes en télétravail ou isolé à leur poste, c’est-à-dire sans lien avec autrui.
• En cas de contamination : collecter un minimum de données
Une fois le signalement reçu, l’entreprise n’est autorisée à traiter qu’un nombre limité de données : la date, l’identité et le statut de la personne (cas positif ou suspect), ainsi que "les mesures organisationnelles prises" en réponse à la situation. Elle peut également adapter ses conditions de travail individuelles, mais à titre provisoire, "le temps qu'[il] prenne contact avec un professionnel de santé". En revanche, pas question de diffuser son nom à l’ensemble du personnel.
Dernier cas possible de collecte de données : celle effectuée à la demande des autorités publiques. Pour tout le reste, l’employeur doit absolument s’en remettre à la médecine du travail.
Ce que l’employeur ne peut pas faire : dépister et diagnostiquer
Les données de santé, considérées comme sensibles, bénéficient, en tant que telles, d’une protection juridique renforcée. C’est pourquoi leur récupération par l’employeur ne doit pas aller "au-delà de la gestion des suspicions d’exposition au virus aux fins de protéger les employés et le public". Ce qui exclut un bon nombre de pratiques.
• Enregistrement des températures, dépistages et questionnaires : c’est non
La Cnil rappelle d’abord que, depuis qu’il existe, le protocole sanitaire en entreprise déconseille la prise de température et proscrit l’organisation de tests par l’employeur.
Ceci étant, et du strict point de vue des données personnelles, il est, de toute façon, interdit de constituer des fichiers compilant les températures corporelles de ses salariés. Tout comme il n’est pas possible "de mettre en place des outils de captation automatique (telles que des caméras thermiques)". Quant à la prise manuelle de fièvre "sans constitution d’un fichier ni remontée d’information", la Cnil ne se prononce pas : cette pratique sort de son champ de compétences.
Son avis est, en revanche, beaucoup plus clair concernant les campagnes de dépistage, les tests ou les questionnaires de santé : l’employeur n’a pas à s’en mêler. Ces actions relèvent exclusivement du domaine médical et du secret qui l’accompagne. Tout au plus l’entreprise aura-t-elle à enregistrer un "avis d’aptitude ou d’inaptitude à reprendre le travail émis par [un] professionnel de santé", comme pour un banal arrêt maladie.
• Pas d’acte médical ni d’évaluation du risque…
Plus largement, tout ce qui relève d’un acte médical ou d’une donnée de santé est à bannir. Impossible donc d’établir un diagnostic ou "une analyse de la vulnérabilité" de son personnel, ni même de "systématiser seul l’évaluation du niveau de risque individuel […] de chacun de ses salariés".
Il est donc interdit de lister les maladies préexistantes au sein de son personnel, et qui sont susceptibles d’aggraver une contamination au coronavirus (ce qu’on appelle les comorbidités). Même la simple indication, par un chiffre ou un code couleur, qu’une personne est à risque face au Covid-19, est à bannir : il s’agit déjà, en soi, d’une donnée personnelle de santé.
•… ni d’adaptation unilatérale des conditions de travail
Autre limite pour l’employeur : il ne peut imposer de lui-même des conditions de travail individualisées à un salarié, en fonction de son état de santé (si ce n’est temporairement, entre le moment où celui-ci l’avertit de sa maladie et celui où il va consulter un médecin). Cette prérogative appartient aux seuls services de santé au travail, insiste la Cnil. L’entreprise doit alors se contenter d’appliquer les mesures qui lui auront été transmises.
• Les services de santé au travail, interlocuteurs privilégiés
Dans tous les cas, et sur tous ces sujets, la médecine du travail apparaît comme l’interlocuteur incontournable des employeurs. Dans le cadre de l’épidémie, ses missions ont justement été renforcées, en matière de prévention et d’évaluation des risques. Elle peut également délivrer des arrêts de travail pour cause de Covid-19 et réaliser des tests de dépistage.
Enfin, si un cas symptomatique se déclare dans l’entreprise, le protocole sanitaire renvoie expressément vers le service de santé au travail. L’employeur est alors invité à "suivre ses consignes, y compris pour le nettoyage et la désinfection du poste de travail et le suivi des salariés ayant été en contact avec le [malade]".
Autant donc s'appuyer sur cette expertise à disposition des entreprises, plutôt que de risquer de se mettre en infraction pour un usage abusif des données personnelles. Car en cette matière aussi, mieux vaut prévenir que guérir.
⏩ POUR ALLER PLUS LOIN : la dernière version du protocole sanitaire en entreprise et la fiche du ministère du Travail sur le rôle des services de santé au travail pendant l’épidémie
