Non, le RGPD n’est pas en confinement !

20 mars 2020

Depuis ce mardi midi, l’heure est au confinement. Au delà de limiter la propagation du virus Covid-19, il s’agit d’un véritable défi aussi bien légal que business à surmonter pour les entreprises. Il faut non seulement assurer la continuité de l’activité, mais également protéger la santé des salariés et leur vie privée. Car non, urgence sanitaire et crise pandémique ne signifient pas protection amoindrie des données personnelles, et notamment de santé.

Vous avez reçu un SMS du gouvernement: quid de votre consentement ? 

Tout d’abord, sachez que le gouvernement n’a à priori pas eu accès à vos numéros de téléphone, donnée considérée comme ayant un caractère personnel dans le cadre du RGPD. Le gouvernement a fait appel à vos opérateurs téléphoniques qui détiennent vos numéros, pour vous envoyer ce message. Ils agissent, ainsi, en tant que sous-traitants de l’Etat. Dans ce cadre, nul besoin de consentement. Le gouvernement s’appuie en effet sur la base légale suivante : la sauvegarde des intérêts vitaux.

Par ailleurs, l’intérêt légitime peut justifier l’absence de demande de consentement d’un organisme pour traiter vos données ; à condition que ce traitement ne crée pas de « déséquilibre au détriment des droits et intérêts des personnes ».

En l’occurrence, la mise en balance entre l’intérêt légitime de la santé publique et de la sécurité de la nation avec la vie privée des personnes concernées a bel et bien permis de mettre en évidence la nécessité de cette action.

Employeur : le principe de collecte proportionnelle de données est maintenu 

On peut dès lors envisager que dans cette période inédite, de nouvelles données soient collectées : 

  • informations sur les voyages des personnes concernées:  sur la date et l’identité de la personne qui fut potentiellement exposée, l’existence ou non de symptômes pouvant être liés au virus. 
  • informations sur le fait de savoir si un salarié est en télétravail, ou a été renvoyé chez lui pour s’isoler, ainsi que le lieu dans lequel le salarié a décidé d’effectuer son confinement. 

Ces données sont sans aucun doute des données à caractère personnel en ce qu’elles sont relatives à une personne physique identifiée ou identifiable. 

De même, certaines de ces données peuvent également être catégorisées de données de santé et appartiennent donc à un régime spécifique de protection applicable aux données dites sensibles au vu du risque élevé qui pèse sur la vie privée de la personne concernée.

Concrètement, la CNIL a eu l’occasion de rappeler qu’aucun employeur ne pouvait porter atteinte au respect de la vie privée des personnes concernées via cette collecte de données de santé si celle-ci va au delà « de la gestion des suspicions d’exposition au virus».

Ainsi, la collecte systématique et généralisée d’informations relatives aux symptômes, la prise de température des salariés et/ou visiteurs, ou encore les questionnaires médicaux sont totalement interdits.

Supprimez les données une fois les finalités remplies !

Dans le cas où l’employé donne accès à son employeur aux données portant sur son état de santé, ou si l’employeur les a collectées en raison d’une suspicion d’exposition, un tel traitement devra prendre fin dès que les finalités de celui-ci seront terminées. 

Ainsi, on peut considérer qu’une période nécessaire de traitement permettra non seulement d’identifier les risques et scénarios de menaces afin de mettre en place des plans d’actions immédiats mais également d’assurer un suivi des salariés en isolement ou en télétravail. 

Que ces informations soient collectées sur papier, ou de manière informatique, une purge et destruction sera nécessaire à mettre en oeuvre une fois la durée de conservation de ces données arrivée à son terme. 

En télétravail, respectez la vie privée de vos collaborateurs et sensibilisez-les !

L’organisation du télétravail a grandement été recommandée par le Gouvernement, dans le cas où cela ne va pas à l’encontre de l’exercice des professions. 

Bien évidemment, le télétravail ne doit pas empêcher l’employeur d’exercer son contrôle sur ses salariés, même à distance, en raison du lien de subordination et du contrat de travail qui existent entre eux. Cependant, la frontière entre ce lien de subordination et le caractère privé du lieu où est exercé le travail est parfois amoindrie dans ce cas de figure.

La mise en place d’un dispositif de contrôle de l’activité du salarié est légale ; à condition qu’il soit proportionné et pertinent et que le télé travailleur en soit informé avant son installation. À titre d’exemple, il est possible de limiter l’utilisation d’internet pour les employés tant que ces restrictions ne constituent pas d’atteinte à leur vie privée. De même, en tant que fournisseur d’accès internet pour ses employés, l’employeur a l’obligation légale de conserver tous les logs permettant de retracer de potentielles activités illégales. Attention, toute installation de logiciel de surveillance doit faire l’objet d’une déclaration préalable à la CNIL.

Au delà des risques d’intrusion des employeurs, les collaborateurs travaillant avec des données personnelles doivent être sensibilisés à leurs traitements ainsi qu’aux risques liés aux libertés et à la vie privée, d’autant plus s’ils travaillent avec leur matériel personnel, parfois bien moins sécurisés que le matériel de l’entreprise.

La CNIL précise : «Concrètement, toute action sur un traitement de données à caractère personnel, qu’il s’agisse d’opérations d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d’utilisateurs, dans des documents auxquels ces derniers peuvent se référer.»

Le défi de l’entreprise: entre plan de continuité d’activité et protection de la vie privée

Vous l’aurez compris, la protection du droit à la vie privée, au même titre que la protection de la santé publique,  est l’affaire de tous !

La vigilance relative aux données personnelles et le maintien de votre stratégie de protection de la vie privée de vos salariés ne doivent pas être remis à plus tard. Cette période exceptionnelle est aussi l’occasion pour vous de vérifier que vos processus internes respectent les obligations relatives à la protection de la vie privée.

Devoteam met actuellement en place chez différents clients des solutions répondant à la gestion des données personnelles et à la gestion de la crise, via l’édiction de bonnes pratiques, la mise en place d’actions de sensibilisation et de règles permettant de préserver la continuité d’activité en toute conformité. 

 

 

devoteam

Contact

Chloe Niedergang
Consultante Junior Légal et Réglementaire Data Protection
Sébastien Serve

Consultant senior RGPD