COVID-19 et employeurs : droits et devoirs au regard de la protection des données

Le déconfinement par étapes que nous vivons ne signifie pas pour autant que la pandémie de COVID-19 a disparu. Nous sommes tous conscients qu’une seconde vague ne peut à ce jour être exclue et qu’elle doit, à tout prix, être évitée. Dans ce cadre, la question se pose de savoir quelles mesures les employeurs peuvent, respectivement quelles mesures ils doivent ou ne doivent pas prendre pour protéger leurs employés alors que certains d’entre eux s’apprêtent à retourner sur leur lieu de travail.

Outre le devoir de chacun d’endiguer la pandémie et ainsi contribuer à protéger la population dans son ensemble, indépendamment de quelque rapport de travail que ce soit, l’art. 328 CO impose à l’employeur de prendre les mesures nécessaires pour protéger la santé de ses employés, y compris celles qui, le cas échéant, sont applicables en l’état de la technique. Si le respect des mesures ordonnées par le Conseil fédéral est une évidence, la question se pose ainsi de savoir si l’employeur est en droit d’aller au-delà.

Lorsque des mesures supplémentaires sont envisagées au sein des entreprises, la prise de ces mesures doit toutefois se faire dans le respect des règles imposées par le droit de la protection des données, régi en Suisse par la loi fédérale sur la protection des données (LDP).

Dans ce cadre, le Préposé fédéral à la protection des données a publié le 17 mars 2020 un communiqué rappelant que le traitement des données pour lutter contre la pandémie par des personnes privées doit se faire dans le respect des principes ancrés à l’art. 4 LPD. A ce titre, les mesures prises doivent être proportionnées et ne pas pas aller au-delà de ce qui apparaît nécessaire pour atteindre l’objectif visé, soit protéger les employés et, plus généralement, éviter la propagation de la pandémie.

A partir du moment où les données collectées sont sensibles, seul le consentement de l’employé permet, en principe, de rendre un tel traitement licite. Fort heureusement, la loi prévoit toutefois en son art. 13 qu’un intérêt public prépondérant permet de justifier un tel traitement, nonobstant l’absence de consentement de l’individu. On peut sans guère de difficultés arguer qu’un tel intérêt existe à tout le moins pour le moment, et ce vraisemblablement jusqu’à ce que la pandémie ne soit pas durablement maîtrisée.

A ce titre, apparaissent ainsi admissibles et conformes au principe de proportionnalité :

• En principe, la vérification de la température de toute personne entrant dans les locaux (y compris de visiteurs) si aucune trace n’en est conservée, puisqu’il n’y a alors, en réalité, aucun traitement de données. Nous précisons « en principe » dès lors que, s’agissant d’un symptôme qui n’est pas systématique chez les personnes atteintes du COVID-19, on pourrait y voir une atteinte à la liberté personnelle qui peut faire douter de son caractère admissible et à laquelle toute personne, si elle le souhaite, pourrait sans doute s’y opposer.
• La collecte de données de santé lorsque l’employé revient travailler sur site, pour autant que ces données aient exclusivement trait au COVID-19 dans le but de protéger l’employé lui-même, ses collègues et le public en général. Dans ce cadre, la mise en place par exemple d’une fenêtre flottante consistant en un formulaire attirant l’attention de l’employé sur ses obligations et l’invitant à répondre à quelques questions ciblées apparaît acceptable en Suisse de notre point de vue.
• L’invitation faite à l’employé de communiquer sans attendre à son employeur toute suspicion de contamination le concernant, pour permettre à l’employeur de prendre le cas échéant les mesures nécessaires pour protéger ses collègues de travail.

Ne sont en revanche à notre avis pas admissibles les mesures suivantes :

• L’enregistrement de la prise de température sur un fichier, en tant qu’elle constitue alors, une fois liée à un individu, une donnée personnelle sensible.
• Le fait d’inviter un employé à remplir un formulaire tel que mentionné précédemment chaque jour ou lors de chaque login. A notre sens, si l’utilisation d’un tel formulaire apparaît acceptable lorsque l’employé retourne sur site ou selon une périodicité raisonnable (par exemple chaque mois), le faire chaque jour apparaît excessif. Inviter l’employé à communiquer immédiatement à son employeur tout changement dans ses réponses, puisqu’elles sont alors susceptibles de laisser penser à une possible contamination.
• Le fait d’inviter un employé effectuant du télétravail à remplir un tel formulaire. Aussi longtemps que l’employé ne retourne pas sur son lieu de travail, la collecte de telles données n’apparaît pas nécessaire ; il suffit de l’inviter à remplir un tel formulaire lorsqu’il retourne sur site.
• Le fait d’inviter un employé à communiquer ses déplacements à l’étranger, à l’heure où certaines frontières sont sur le point d’ouvrir. A notre sens, le fait d’inviter l’employé à communiquer sans délai à l’employeur tout changement dans les réponses apportées au formulaire, voire à remplir un tel formulaire selon une périodicité raisonnable, apparaît comme une mesure suffisante.
• Le fait d’imposer à ses employés de télécharger une application de traçage. Nonobstant le fait que le Préposé à la protection fédérale des données a jugé l’application envisagée en Suisse à ce stade acceptable dans un communiqué du 13 mai 2020 au regard des exigences posées par la LPD.

En toute hypothèse, on s’assurera que la collecte de ces données soit accompagnées des mesures techniques et organisationnelles, autrement dit de sécurité nécessaires pour éviter que tout un chacun y est accès.

On relèvera que pour les entités soumises au RGPD, le Comité Européen à la Protection des Données a émis le 16 mars 2020 un communiqué rappelant que le traitement de données de santé apparaît admissible lorsque des motifs d’intérêt public dans le domaine de la santé publique l’exigent ; pour le surplus, le Comité a renvoyé aux lois applicables au sein des différents Etats membres et directives publiées par les différentes autorités à ce sujet (voir, par exemple, pour la France, le rappel mis à jour par la CNIL le 7 mai 2020, ainsi qu’un survol pays par pays de ces directives).

WILHELM Avocats SA vous conseille en matière de protection des données et droit du travail.