Les employeurs font face à une situation sans précédent dans la crise épidémiologique actuelle, car ils doivent protéger la santé de leurs salariés contre un ennemi invisible. Les porteurs asymptomatiques du coronavirus compliquent la tâche des gestionnaires et des patrons qui doivent prendre les mesures appropriées pour assurer un environnement de travail sain et sécuritaire à leurs employés, tout en respectant la législation sur la protection des données personnelles.
Le régime dérogatoire en matière de droit du travail
Le Règlement général sur la protection des données (RGPD) prévoit un régime juridique dérogatoire pour le traitement des données de santé par un employeur, mais celui-ci répond à des conditions strictes. Les informations relatives à la santé appartiennent en effet à des catégories particulières de données à caractère personnel1 en raison de leur nature sensible (cf. Les données de santé au temps du coronavirus).
Le traitement de catégories particulières de données à caractère personnel dans le domaine de l’emploi n’est possible que si cela est nécessaire, s’il est autorisé par la loi d’un État Membre ou une convention collective et s’il existe des garanties appropriées pour protéger les droits fondamentaux et les intérêts des travailleurs2.
Cela implique qu’il n’y a pas de règles générales applicables à l’ensemble de l’Union européenne et que l’exception au traitement des données personnelles sensibles ne peut être comprise que sur une base nationale. Les États Membres peuvent autoriser les employeurs, par des dispositions expresses, à collecter des données personnelles sensibles pour différentes raisons, y compris pour assurer la santé et la sécurité au travail de leurs salariés.
De façon générale, et il s’agit d’un principe applicable à l’ensemble de l’Union européenne, les employeurs ne peuvent prendre de mesures qui porteraient atteinte à la vie privée des travailleurs. Ils doivent respecter les principes de base énoncés dans les lois relatives à la protection des données personnelles (cf. Guide pratique sur la protection des données).
Le traitement des données de santé par un employeur doit être proportionné à l’objectif de la protection de la santé de ses employés. Il est difficile de concevoir dans ces circonstances qu’un employeur puisse recueillir des données de santé allant au-delà de la gestion des cas suspects de contamination au coronavirus, à condition d’y être autorisé par son droit national.
Un employeur ne pourrait pas collecter systématiquement des données de santé au moyen de questionnaires médicaux, à la recherche de symptômes d’infection au coronavirus, d’enquêtes sur les voyages récents de ses salariés ou d’une prise quotidienne de leur température corporelle.
Il ne pourrait davantage exiger de ses employés de montrer un «code vert» (passeport immunitaire) à partir d’une application pour téléphone en vue de les autoriser à pénétrer dans ses locaux. Ces exigences ne seraient pas considérées comme proportionnées à l’objectif de fournir un lieu de travail sûr, sauf si une loi nationale le prévoyait.
Les limites du consentement dans la relation employeur-employé
Les employeurs pourraient également avoir recours au consentement explicite de leurs employés3. Ils pourraient leur demander de partager volontairement des informations sur leur état de santé s’ils soupçonnent qu’ils ont été exposés au virus ou qu’ils présentent des symptômes de contamination.
Toutefois, il serait difficile pour un employeur de s’appuyer sur cette exception pour traiter des données de santé. Le Comité européen de la protection des données, dans ses lignes directrices sur le consentement, considère la relation entre employeurs et salariés comme asymétrique4. Un salarié ne serait donc pas en mesure d’exprimer un consentement «libre
» face à son employeur.
Si le recours au consentement est possible ou si l’exception en matière de droit du travail est applicable, l’employeur pourra traiter les informations relatives à l’identité de l’employé concerné et les mesures prises à son encontre (arrêt maladie, travail à distance ou consultation d’un médecin du travail). Les données personnelles recueillies ne doivent être traitées que dans le but spécifique de faire face à la pandémie et devront être supprimées dès qu’elles ne seront plus nécessaires pour atteindre cet objectif.
Enfin, les employeurs ne peuvent divulguer l’identité des employés infectés, car ils doivent respecter la confidentialité des données collectées5. Ils peuvent informer les travailleurs de la situation générale dans l’entreprise sans révéler le nom des personnes concernées, sauf si cela est nécessaire et si la législation nationale le permet. Sinon, cela pourrait conduire à la discrimination ou à la stigmatisation de ces personnes par leurs collègues.
* An English version of this article has been published under the title Covid-19: Processing Employees’ Health Data.
1 Art. 9 (1) RGPD.
2 Art. 9 (2) (b) RGPD.
3 Art. 9 (2) (a) RGPD.
4 Groupe de travail «Article 29», Lignes directrices sur le consentement au sens du règlement 2016/679 (2018), p. 6 à 8.
5 Art. 5 (1) (f) RGPD.