We’re available from 9 am to 6 pm on weekdays. Contact Us.
Covid-19 et collecte de données personnelles : les recommandations de la CNPD

Depuis le mois de mars 2020, l’Union européenne connaît une crise sanitaire exceptionnelle liée au coronavirus : les acteurs privés et publics luxembourgeois ont été confrontés à des défis de plus en plus complexes dans leur fonctionnement quotidien. Les professionnels et les particuliers s’interrogeant sur les mesures mises en œuvre pour limiter la propagation du virus et assurer en toute sécurité la reprise de l’activité, ainsi que sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées, la CNPD rappelle aujourd’hui quelques règles essentielles.

L’obligation de sécurité des employeurs

Dans un cadre professionnel, les acteurs privés et publics ont l’obligation légale d’assurer la sécurité et la santé de leurs salariés/agents sur le lieu de travail (article L.312-1 du Code du travail). Afin de limiter les risques, ils doivent, à ce titre, mettre en œuvre des actions de prévention, des actions d’information et de formation et établir des consignes internes.

La CNPD invite à cet égard les employeurs à consulter régulièrement les informations mises en ligne par le gouvernement et par l’Inspection du Travail et des Mines, afin de connaître leurs obligations en cette période de crise sanitaire.

Dans ce contexte, les acteurs privés et publics ont le droit de traiter des données personnelles en conformité avec le RGPD, lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales. Lesdits acteurs peuvent notamment :

- rappeler à leurs salariés et agents, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination, de la Direction de la Santé du Ministère de la Santé – Division de l’Inspection Sanitaire (ci-après « inspection sanitaire »), aux seules fins de leur permettre d’adapter les conditions de travail ;

- inviter leurs salariés à consulter un médecin ou les orienter vers l’inspection sanitaire et favoriser les modes de travail à distance.

 

L’obligation de sécurité des salariés/agents

De leur côté, chaque salarié/agent doit mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même (article L.313-1 du Code du travail).

Lorsqu’un salarié est malade (cf. article L.121-6 du Code du travail), il ne doit communiquer à son employeur que l’éventuel arrêt de maladie dont il pourrait bénéficier, sans qu’aucune autre précision sur son état de santé ou la nature de la pathologie ne soit transmise, donc y compris le fait qu’un salarié a été testé positivement au COVID-19 ou présenterait des symptômes.

Par dérogation à ce qui précède, jusqu’au 30 juin 2021 inclus, le salarié incapable de travailler pour cause de mise en quarantaine ou en isolement est obligé, conformément à la loi du 19 décembre 2020 portant dérogation temporaire à l’article L. 121-6 du Code du travail :

- le jour même de l’empêchement, d’en avertir personnellement ou par personne interposée l’employeur ou le représentant de celui-ci ;

- de soumettre à l’employeur, au plus tard le huitième jour de son absence, une ordonnance officielle de mise en quarantaine ou de mise en isolement émanant de l’autorité nationale compétente et servant de certificat d’incapacité de travail.

Par ailleurs, jusqu’au 2 avril 2021 inclus, l’absence d’un salarié bénéficiaire d’un congé pour raisons familiales doit être justifiée soit par un certificat médical, soit par un certificat émanant du Ministère de l’éducation nationale, de l’enfance et de la jeunesse ou de l’autorité publique compétente.

 

Le traitement des données par les employeurs

Les acteurs privés et public ne peuvent traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales, c’est-à-dire dans le respect du Code du travail. C’est pourquoi seuls peuvent être traités par ces acteurs les éléments liés à un certificat de maladie, sauf dérogations sur base des obligations temporaires détaillées ci-dessus.

Par contre, les acteurs privés et publics ne peuvent pas eux-mêmes mettre en place des fichiers ou traitements relatifs à des données de santés liées au COVID-19 même si un salarié informait volontairement son employeur qu’il a été testé positif au coronavirus ou qu’il pense présenter des symptômes à la pathologie. Ne peuvent pas non plus être mis en œuvre des fichiers ou traitements de données relatifs à la température corporelle de leurs salariés ou agents ou à certaines autres pathologies (les « comorbidités ») susceptibles de constituer des troubles aggravants en cas d’infection au COVID-19. Par ailleurs, il ne leur appartient pas de conduire leur propre investigation ou « contact tracing », dans la mesure où cette mission revient à l’inspection sanitaire, à partir du moment où un salarié ou agent serait testé positivement au Covid-19.

 

Plus d’informations : https://cnpd.public.lu/fr/actualites/national/2020/03/coronavirus.html

 

Source : CNPD