Tribune – Valentin Mottelay, Juriste, Pôle IP-IT

La lutte contre la pandémie mondiale que nous traversons a amené certains pays, dont la France, à réduire les libertés individuelles et à s’immiscer dans l’intimité des individus, posant des difficultés en ce qui concerne la protection de leurs données personnelles.

C’est dans ce contexte qu’une dizaine de jours avant que l’épidémie ne passe au stade 3 et que la population ne soit confinée à son domicile, le 6 mars 2020 la Commission Nationale de l’Informatique et des Libertés (CNIL) a rappelé quelques principes sur la collecte de données personnelles. La CNIL rappelle à le notamment que « les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus ».

Le traitement des données de santé

Pour rappel, la collecte de données à caractère personnel est règlementée par le Règlement Général sur la Protection des Données (RGPD) et la loi Informatique et Libertés. Contrairement à certaines idées reçues, l’article 6 du RGPD ne rend pas obligatoire le recueil du consentement pour traiter des données personnelles. En effet, un traitement de données est licite si celui-ci est « nécessaire à l’exécution d’un contrat auquel la personne concernée est partie », disposition pleinement applicable à la relation employeur / salarié régie par le contrat de travail.

Toutefois, la crise sanitaire que nous traversons pourrait laisser à penser aux employeurs et aux services des ressources humaines qu’il est nécessaire de collecter, de compiler et de tenir un fichier des personnes infectées par le virus ou susceptibles de l’être. Or, de telles données sont des données de santé « sensibles », qui obéissent à un régime juridique beaucoup plus strict. Le traitement des données de santé est par principe interdit, hors exceptions prévues à l’article 9 du RGPD. C’est pourquoi, dans sa communication du 6 mars 2020 la CNIL rappelle aux employeurs que malgré le contexte sanitaire actuel, ils ne peuvent établir des fiches ou questionnaires médicaux auprès de l’ensemble de leurs salariés. Tout au plus, devront-ils prendre attache auprès de la médecine du travail, sensibiliser le personnel et consigner la date et l’identité de la personne suspectée d’avoir été exposée en cas de signalement des autorités sanitaires.

Evidemment, l’employeur se doit de favoriser le télétravail lorsque l’activité de l’entreprise le permet. Le Code du travail prévoit en effet clairement la possibilité pour lui d’imposer cette organisation du travail dans des circonstances exceptionnelles (article L.1222-11 du Code du travail). Or, l’épidémie du COVID-19 démontre l’importance de la prise prendre en considération les enjeux liées à la protection des données à caractère personnel par les entreprises dans leur organisation de travail.

Le suivi de l’exécution par les salariés en télétravail de leurs missions

Ainsi, le télétravail pose d’abord la question du suivi des tâches réalisées par les salariés et potentiellement le contrôle opéré par l’employeur sur celles-ci. Prenons l’exemple des emails professionnels, qui bien qu’ayant un objet purement professionnel répondent à la définition de données à caractère personnel (toute information se rapportant à une personne physique identifiée ou identifiable). Dès lors, si l’employeur veut utiliser les emails professionnels afin de contrôler l’activité de ses salariés, celui-ci aura tout intérêt à le faire en ayant respecté les obligations imposées par le RGPD : information des personnes concernées, traitement répondant à des finalités légitime, inscription dans le registre des traitements, etc. Cette question alimente d’ailleurs déjà de nombreux contentieux prud’homaux. Nul doute que l’ampleur du recours au télétravail pendant la période de confinement lui donnera un autre angle.

D’autre part, rappelons que l’article 32 du RGPD met à la charge du responsable de traitement la mise en œuvre de « toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Le télétravail, en ce qu’il sollicite vraisemblablement des réseaux moins sécurisés que ceux de l’entreprise, pourrait représenter une porte d’accès  à de potentielles attaques informatiques. Les dossiers de l’entreprise et les différents traitements de données personnelles et confidentielles qu’elle opère sont donc plus exposés.

Pour toutes ces raisons, la crise du COVID-19 rappelle à tous la nécessaire mise en conformité au RGPD. Cette « pause économique forcée » est donc peut-être l’occasion pour les entreprises qui ne seraient pas encore conformes au RGPD de se mettre en conformité.