COVID-19 et protection des données
Par Clara Hainsdorf, avocate associée, et Bertrand Liard, avocat associé, cabinet White & Case LLP.
Par Clara Hainsdorf, avocate associée, et Bertrand Liard, avocat associé, cabinet White & Case LLP
Dans le contexte de crise sanitaire actuel lié à la pandémie mondiale de COVID-19, les entreprises doivent faire évoluer leurs activités de traitements de données personnelles tout en garantissant la protection des personnes impliquées dans leurs activités.
Dans ces circonstances particulières, les entreprises sont amenées à collecter et à traiter de nouvelles informations, notamment concernant l’état de santé des salariés et/ou des membres de leur foyer, les résultats d’un test au COVID-19 et les différents lieux que ces personnes auraient visités depuis le début de la pandémie.
Ces nouvelles informations collectées peuvent être qualifiées de données à caractère personnel et plus particulièrement de données sensibles dans la mesure où elles concernent la santé des personnes. Leur traitement est par conséquent soumis à des exigences de conformité strictes au regard du Règlement général sur la protection des données (« RGPD ») et de la Loi Informatique et Libertés (« LIL »).
Quels principes de protection des données sont maintenus pendant la pandémie ?
Le RGPD et la LIL exigent que les que les données collectées soient strictement nécessaires aux finalités poursuivies. Par exemple, pour savoir si un salarié présente des symptômes, l’entreprise devra privilégier des questions simples auxquelles le salarié pourra répondre par « oui » ou « non », plutôt que des demandes systématiques et généralisées d’informations détaillées sur leur état de santé. Les entreprises devront également veiller à limiter la conservation de ces nouvelles données à la durée nécessaire à cet objectif.
Avant de collecter des données liées au COVID-19, les entreprises devront également réaliser une analyse d’impact sur la protection des données demandée par le RGPD et la LIL lorsque les traitements de données sont susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes concernées. Celle-ci est destinée à comprendre les risques associés à certains traitements, à identifier les moyens d’atténuer ces risques et à modifier – si nécessaire – toute documentation tels que les registres de traitement ou les mentions d’informations.
Alors que la sécurité des données de santé fait partie des axes principaux de la stratégie de la CNIL pour 2020, les entreprises devront rester très attentives aux préconisations des autorités de contrôle et se protéger de manière adéquate : plus les données traitées sont sensibles, plus les mesures de sécurité applicables doivent être rigoureuses. Concernant les tiers prestataires, l’entreprise devra s’assurer des garanties qu’ils présentent et conclure un accord avec eux pour encadrer les transferts dont ils sont destinataires.
Quelle base légale pour les traitements liés au COVID-19 ?
Le RGPD et la LIL exigent des entreprises qu’elles disposent d’une base légale pour leurs traitements de données, a fortiori pour les traitement liés au COVID-19.
Les entreprises se tourneront naturellement vers l’intérêt légitime lié au maintien de leurs activités ou à celui du bien-être des personnes avec lesquelles elles collaborent. Elles devront alors procéder à une évaluation préalable du caractère légitime de cet intérêt et documenter la position finalement adoptée.
La CNIL a récemment rappelé que l’employeur demeure responsable de la santé et de la sécurité de ses salariés conformément au droit du travail. Ainsi, l’entreprise peut fonder son traitement de données relatives au COVID-19 sur la nécessité de s’acquitter de cette obligation tant légale que contractuelle. Pour ce faire, l’employeur doit mettre en œuvre des actions de prévention des risques professionnels, d’information, de formation et mettre en œuvre une organisation et des moyens adaptés à l’activité. Il.
Enfin, un traitement de données relatives au COVID-19 pourrait être licite s’il relève de l’intérêt public substantiel de santé public ou s’il apparaît nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne. Pour répondre à cet objectif, l’employeur pourra informer ses salariés des cas de COVID-19 en limitant toutefois la divulgation de ces informations autant que possible : s’il est nécessaire de divulguer le nom du salarié qui a contracté le COVID-19 afin de protéger les autres salariés, la personne affectée doit préalablement être informée d’une telle divulgation, et elle pourra elle-même rendre public son état de santé, de sorte que l’entreprise pourra licitement en informer ses collaborateurs.
Rappelons toutefois que le consentement du salarié n’étant pas considéré comme librement donné en raison du lien de subordination avec l’employeur, l’entreprise ne saurait l’invoquer pour traiter les données d’un salarié en lien avec le COVID-19.
Quelles sont les recommandations des autorités de contrôle ?
Les autorités de protection des données ont conscience des défis auxquels les entreprises sont confrontées.
La CNIL propose aux entreprises des recommandations pour la mise en place du télétravail et incite les entreprises à éditer une charte de sécurité ou – a minima – un socle de règles à respecter pour sécuriser leurs systèmes d’information.
Elle conseille également la mise en place de mesures techniques, notamment l’installation d’un pare-feu, d’un antivirus et d’un outil de blocage d’accès à des sites malveillants, ainsi que l’installation d’un VPN. Protocole de connexion sécurisés , mécanismes d’authentification forte et surveillance des accès devront être mis en place.
Afin d’harmoniser l’action des autorités nationales, le CEPD a annoncé la publication prochaine de lignes directrices, notamment concernant le choix des bases légales et les principes applicables aux traitements liés au COVID-19. Le CEPD a également indiqué qu’il s’intéresserait en priorités aux technologies utilisées dans le cadre du télétravail.
Les entreprises sont donc fortement incitées à surveiller la publication de ces nouvelles lignes directrices.
[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]S’abonner à la newsletter du Club des juristes[/vcex_button]