Coronavirus : la CNIL met les points sur les i s'agissant de la collecte de données personnelles de santé

© Pixabay

La propagation du Covid-19 un peu partout dans le monde bouscule la quasi-totalité des secteurs ou écosystèmes. Le numérique en fait partie, et à ce propos, le gendarme des données rappelle quelques principes quant aux informations, notamment de santé, pouvant être utilisées.

Ces derniers mois, la collecte des données personnelles dans le secteur de la santé était devenue un sujet sensible. « Dans le dark web, les données médicales valent beaucoup plus cher aujourd'hui que les informations bancaires. Car il y a plus de demandes », nous avait par exemple confié Tanguy de Coatpont, patron de la branche française de Kaspersky. Face à la propagation du coronavirus, la Commission nationale de l'informatique et des libertés (CNIL) est grandement sollicitée par les professionnels et les particuliers ces dernières semaines. Nombreux sont ceux qui s'interrogent sur les données pouvant être collectées sur des clients, visiteurs, employés ou agents, dans le but de savoir s'ils sont infectés ou pas par le SARS-CoV-2. La CNIL leur a répondu.

Les employeurs ne doivent pas en profiter pour collecter abusivement des données

L'autorité française a d'abord rappelé aux professionnels ce qu'ils ne doivent pas faire. Si certaines entreprises favorisent le télétravail et d'autres limitent les déplacements des salariés, la CNIL rappelle que les employeurs ne doivent pas en profiter pour collecter des données personnelles « qui iraient au-delà de la gestion des suspicions d'exposition au virus », car cela pourrait forcément attenter au respect de la vie privée des collaborateurs concernés. Le Code de la santé publique et le RGPD les protègent.

La CNIL précise son propos en indiquant que les entreprises ne peuvent pas forcer leurs visiteurs, agents ou employés à leur fournir quotidiennement un relevé de température corporelle. Les employeurs ne peuvent pas non plus imposer à ces derniers de remplir des fiches ou des questionnaires médicaux.

Toute suspicion ou exposition au virus doit être signalée aux autorités sanitaires

En revanche, l'employeur étant responsable de la santé et de la sécurité de ses salariés ou agents, comme l'indique le Code du travail, celui-ci peut prendre certaines mesures. Il peut, par exemple, sensibiliser et inviter les employés à l'informer, lui ou les autorités sanitaires, de toute éventuelle exposition au virus. L'entreprise peut en ce sens mettre en place des canaux dédiés pour faciliter toute remontée d'information. Évidemment, l'employeur peut encourager la mise en place du télétravail et engager le recours à la médecine du travail.

En cas de signalement, le patron peut « consigner la date et l'identité de la personne suspectée d'avoir été exposée [...] et les mesures organisationnelles prises »,comme la prise de contact avec le médecin du travail, le télétravail ou le confinement. Ces éléments peuvent faciliter la prise en charge sanitaire ou médical du potentiel patient. Le salarié, lui, a le devoir de préserver sa santé et sa sécurité, mais aussi celles d'autrui. Il doit ainsi informer son employeur en cas de suspicion.

Les autorités sanitaires sont aptes à collecter des données de santé relatives aux symptômes du coronavirus. Elles en assument la responsabilité. La CNIL « invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes  ».

Source : CNIL