Fermer la publicité
Journal d'information juridique et d'annonces légales

La protection des données personnelles à l'ère de la Covid-19

le - - Droit - Actualité du droit

La protection des données personnelles à l'ère de la Covid-19
© Adobe Stock

En cette période de pandémie, une grande partie des informations collectées et traitées par les entreprises relève de la définition des « données à caractère personnel » au sens du RGPD. Parmi elles, les données de santé sont considérées comme « sensibles » et font l'objet d'une protection renforcée, leur traitement étant, en principe, interdit.

Certaines exceptions sont néanmoins prévues par les textes, permettant leur traitement dans des conditions destinées à garantir l'équilibre entre le respect des droits et libertés fondamentales des personnes concernées et la volonté d'assurer leur sécurité. Toutefois, la complexité du RGPD a été, au début de la pandémie, à l'origine d'un sentiment d'insécurité juridique chez les entreprises, ces dernières exprimant le besoin de conseils et lignes directrices pratiques pour les guider.

Les nouveaux défis de la protection des données

Les premières difficultés sont arrivées avec le confinement et la généralisation du télétravail. En effet, les cyber-attaques se sont rapidement multipliées, les entreprises, pour certaines mal préparées à ce mode de travail, constituant des cibles privilégiées. Il est donc essentiel de mettre en place des mesures de sécurité adaptées pour protéger les systèmes d'information des organismes et notamment les données personnelles mais aussi les secrets d'affaires.

En outre, les employeurs étant responsables de la santé et de la sécurité des travailleurs, il leur appartient de mettre en œuvre des actions d'information, de formation et de prévention des risques professionnels, tout en respectant le droit à la protection des données personnelles les concernant. Pour ce faire, certaines entreprises ont fait appel au consentement de leurs salariés comme base légale du traitement. Il convient toutefois de noter qu'en raison du lien de subordination existant entre le salarié et l'employeur, un tel consentement n'est généralement pas considéré comme « librement donné » au sens du RGPD.

Conseils pratiques face à la Covid-19

D'une part, il est recommandé aux entreprises de suivre de près les évolutions du droit national, ainsi que les lignes directrices du Comité européen de la protection des données (CEPD) et des autorités européennes chargées de la protection des données, dont la CNIL en France. Bien que ces lignes directrices ne soient pas contraignantes, elles ont pour but de déterminer les meilleures pratiques pour lutter contre la pandémie dans le respect des règles sur la protection des données personnelles. S'y conformer permet ainsi de limiter le

s risques pour l'entreprise en cas de contentieux ou de contrôle de la CNIL.

D'autre part, le RGPD impose de mener une analyse d'impact relative à la protection des données lorsque le traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées ». Par conséquent, les organismes qui souhaiteraient traiter des données personnelles dans ce contexte de pandémie doivent impérativement réaliser une telle analyse, en particulier lorsqu'il est prévu de recourir à de nouvelles technologies.

De même, les entreprises doivent veiller à la manière dont elles gèrent la Covid-19 en interne. Selon le CEPD, celles-ci doivent informer les salariés de tout cas positif en veillant à ne pas communiquer plus d'informations que nécessaire. En particulier, l'identité des personnes testées positives ne peut être révélée au personnel que si la loi nationale le permet et à condition qu'elles aient été informées à l'avance et que leur dignité et leur intégrité soient préservées. En France, la CNIL considère que la divulgation du nom des salariés est interdite en l'absence de toute législation spécifique.

Enfin, il est nécessaire pour les entreprises de continuer à respecter les délais légaux prévus par le RGPD. En cas de retard ou de difficultés liés à la pandémie, le délai pour répondre aux demandes des personnes concernées peut être prolongé de deux mois, en fonction de la complexité et du nombre de demandes. Dans ce cas, la personne concernée doit être rapidement informée de cette prolongation ainsi que des motifs du report du traitement de sa demande.

Les risques de non-conformité au RGPD

Compte tenu des difficultés rencontrées par les entreprises pour faire face à la crise sanitaire, les autorités irlandaises et anglaises ont admis la nécessité d'une réponse réglementaire proportionnée. Telle ne semble pas être la position du CEPD qui considère que même en ces temps exceptionnels, les responsables de traitement et sous-traitants doivent assurer la protection des données personnelles des individus concernés.

En tout état de cause, le RGPD permet déjà aux autorités de prendre en compte les circonstances de chaque cas individuel lorsqu'elles infligent une amende administrative. Ainsi, la crise sanitaire pourrait être considérée comme une circonstance atténuante justifiant une certaine clémence en cas de non-conformité telle qu'une réduction de l'amende. Tout dépendra alors de l'appréciation de l'autorité compétente, notamment sur la question de savoir si les violations du RGPD sont liées ou non à l'impact de la pandémie sur l'entreprise.

Vers une sortie de la crise sanitaire

Pour anticiper le retour des salariés au bureau, les entreprises réfléchissent à la mise en place de nouveaux protocoles sanitaires, allant de simples tests rapides et déclarations sur l'honneur aux traçages de contacts, caméras thermiques et dispositifs de localisation. Le CEPD et les autorités de protection des données se sont prononcés sur certaines de ces mesures. La CNIL, par exemple, a publié des lignes directrices sur l'utilisation des caméras dites « intelligentes » dans le contexte de la Covid-19, soulignant la nécessité d'apporter des garanties spécifiques, au-delà de celles déjà fournies par le RGPD.

L'arrivée des vaccins suscite également des questions délicates, notamment celle de savoir si les entreprises peuvent obliger leurs salariés à se faire vacciner contre la Covid-19. En décembre 2020, la Commission américaine pour l'égalité des chances en matière d'emploi a déclaré que les employeurs seront autorisés à exiger la preuve d'une vaccination, à condition toutefois de tenir compte des objections liées aux situations de handicap ou croyances religieuses.

En Europe, les différents gouvernements semblent s'entendre sur le caractère volontaire du vaccin et dans ces conditions, il est peu probable qu'un employeur puisse l'imposer à ses salariés. En France, par exemple, l'employeur ne peut que recommander la vaccination sur proposition du médecin du travail, conformément à l'article R. 4426-6 du Code du travail et sous réserves des dispositions du Code de la santé publique. L'employeur ne pourra donc exiger la preuve d'une vaccination contre la Covid-19, du moins tant que celle-ci n'est pas rendue obligatoire par le législateur.

Il reste que la vaccination contre la Covid-19 pourrait devenir incontournable au travers du « passeport vaccinal », une idée actuellement examinée par la Commission européenne afin de relancer l'industrie du tourisme mise à mal par la pandémie. En France, un projet de loi du 21 décembre 2020 prévoit d'octroyer au Premier ministre le pouvoir de subordonner les déplacements des personnes et l'exercice de certaines activités à la présentation d'un test négatif ou d'une vaccination.

Mathilde Gérot, collaboratrice senior chez Signature Litigation, Julia Caudal, élève-avocat à l'EFB




Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer