Smart Alert Covid-19 | IP-IT | Covid-19 et données de santé : qu’est-il possible de faire ?
Eva Naudon
Olivia RocheCollaborateurParisOlivia Roche
Prudence CadioAssociéParisPrudence Cadio
20 mars 2020
Covid-19 et données de santé : qu’est-il possible de faire ?
La gestion de la crise sanitaire liée au virus Covid-19 implique la mise en œuvre de traitements exceptionnels de données personnelles par les entreprises et, notamment, des données relatives à la santé. Comment s’assurer que ces traitements ne sont pas excessifs et respectent les exigences réglementaires ?
***
Qu’elle que soit leur activité, toutes les entreprises sont amenées à mettre en œuvre des traitements de données de santé afin de gérer la crise sanitaire actuelle. Bien que ces traitements s’inscrivent dans un contexte exceptionnel, la Commission Nationale Informatique et Libertés (« CNIL ») et le Comité Européen à la Protection des Données (« CEPD ») ont rappelé que les principes imposés par le Règlement (UE) Général sur la Protection des Données 2016/679 (« RGPD ») et les législations nationales doivent être respectés.
Pour mémoire les données relatives à la santé, telles que le recensement d’une contamination ou de symptômes, constituent des données dites « sensibles » dont le traitement est par principe interdit (art. 9 du RGPD).
Le RGPD prévoit, néanmoins, certaines dérogations : il est notamment possible de traiter des données de santé lorsque cela est nécessaire pour des raisons d’intérêt public dans le domaine de la santé publique, pour protéger des intérêts vitaux ou pour se conformer à une obligation légale.
La CNIL et le CEPD ont ainsi confirmé que les traitements de données de santé exceptionnellement mis en œuvre par les employeurs pour gérer la crise du Covid-19 étaient licites, sans qu’ils aient à obtenir le consentement de leurs salariés, dès lors qu’ils avaient vocation à lutter contre l’épidémie. En France, cette dérogation se rattache notamment à l’obligation des employeurs prévue par le Code du travail (art. L.4121-1) d’assurer la sécurité et la santé de leurs salariés.
L’autorité de contrôle française a néanmoins rappelé que les entreprises devaient veiller à respecter l’ensemble des exigences et des principes du RGPD. En particulier, les employeurs doivent veiller à la proportionnalité des traitements de données de santé. La CNIL invite ainsi, par exemple, les entreprises à « s’abstenir de collecter de manière systématique et généralisée » des informations relatives à la recherche de symptômes présentés par leurs salariés et leurs proches. Les entreprises sont plutôt invitées à :
- Sensibiliser leurs salariés et leur demander de notifier une éventuelle exposition au virus ;
- En cas de signalement, consigner la date et l’identité de la personne concernée, ainsi que les mesures de prise en charge de celle-ci afin de pouvoir, si nécessaire, les transmettre aux autorités sanitaires.
Naturellement, l’ensemble des autres exigences du RGPD, telles que l’information des personnes concernées ou le respect de leurs droits, doivent également être respectées.
Pour en savoir plus :
• Recommandation de la CNIL
• Recommandation du CEPD
L’equipe IP-IT / Privacy de LPA-CGR avocats se tient à votre disposition pour vous accompagner dans la mise en place de ces mesures et pour toute information complémentaire.