Protection des données personnelles et coronavirus font-ils bon ménage en entreprise ? Que disent les autorités et les lois ? Certains pays sont dans une approche restrictive, d’autres mettent en place une politique plus permissive… Voici une enquête non exhaustive de la question auprès des autorités locales.
La France parmi les pays les plus restrictifs
En France, la Cnil rappelle que les employeurs “doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches. Il n’est donc pas possible de mettre en œuvre, par exemple des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie, ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents.“.
L’évaluation et la collecte d’informations relatives aux symptômes du coronavirus et d’informations sur les mouvements récents de certaines personnes “incombent aux autorités de santé publique“, rappelle l’autorité.
Au Luxembourg, la
Commission Nationale de la Protection des Données, alias la CNPD, rappelle quelques règles alors que les organismes privés peuvent mettre en œuvre des mesures pour contenir le coronavirus. “
Les acteurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/personne externe ainsi que leurs proches“, écrit-elle. L’autorité indique cependant que “
les présentes recommandations sont communiquées par la CNPD, sans préjudice d’éventuelles mesures étatiques plus contraignantes, qui pourraient être prises dans le cadre de scénarios aggravés.“
Au Pays-Bas, l’employeur ne peut pas renseigner sur la nature et la cause de la maladie de quelqu’un. Il ne peut pas enregistrer ou partager ces informations, indique
l’Autorité néerlandaise de protection des données (AP). Cependant, les employeurs peuvent faire appel au service de santé et de sécurité au travail ou à un médecin d’entreprise pour vérifier.
En Belgique, “
dès le moment où des mesures de prévention au travail à prendre s’accompagnent d’un traitement de données à caractère personnel, il convient de respecter les dispositions du RGPD“, dit
l’Autorité de Protection des données (APD). L’APD ne considère pas la simple prise de température comme un traitement de données personnelles. Si ces prises de température ne s’accompagnent pas d’un enregistrement ou d’un traitement de données personnelles, le RGPD n’est donc pas d’application. En ce qui concerne les questionnaires médicaux, “
l’employeur ne peut pas obliger des travailleurs à compléter de tels questionnaires“. En outre, un employeur ne peut pas librement révéler les noms des personnes concernées infectées, si ce n’est au médecin du travail ou encore aux autorités compétentes,
Les pays les plus permissifs par rapport aux données
L’Agence danoise de protection des données spécifie qu’un employeur “peut dans une large mesure enregistrer et divulguer des informations qui ne sont pas si spécifiques qu’elles peuvent être considérées comme des informations de santé lorsque la situation l’exige.“
On peut donc enregistrer ou divulguer des noms si nécessaire, mais avec quelques principes de minimisation (ne pas indiquer la raison d’une mise en quarantaine, ou le nom d’une maladie)
En Italie, les entreprises sont autorisées à collecter des informations sur les symptômes du COVID-19 ou la localisation de leurs employés dans le cadre des protocoles de sécurité anti-contagion visant à combattre et à réduire la propagation du COVID-19 sur le lieu de travail. Les principes de confidentialité du RGPD (par exemple, la minimisation et la conservation) doivent cependant être pris en compte.
En Pologne, les dispositions relatives à la protection des données personnelles ne peuvent pas être un obstacle à la mise en œuvre d’activités liées à la lutte contre les coronavirus, affirme le président de l’Office de protection des données personnelles (UODO). Les dispositions de la loi spéciale COVID-19 (adoptée le 2 mars) donnent à l’inspecteur général des sanitaires le droit de prendre des décisions imposant certaines obligations préventives aux employeurs, et le Premier ministre peut imposer certaines obligations à tous les entrepreneurs.
En Espagne, le traitement des données des employés par leur employeur est possible sur des bases juridiques autres, les lois sur la santé et la sécurité au travail, que leur consentement,
selon l’AEPD.
Au Royaume-Uni, les employeurs doivent tenir le personnel informé des cas, mais il n’est pas nécessaire de nommer des personnes. Les employeurs ne doivent pas “
fournir plus d’informations que nécessaire“,
dit l’ICO. S’il est nécessaire de partager des informations avec les autorités de santé publique, “
la loi sur la protection des données ne sera pas un obstacle“.