0La pandémie de Covid-19 met à l’épreuve les obligations des entreprises et employeurs en termes de santé et de sécurité au travail, et de conformité aux règles encadrant la protection des données à caractère personnel de leurs effectifs et des personnes physiques avec lesquelles ils sont amenés à travailler. En dépit du caractère inédit de la crise sanitaire, la Commission nationale de l’informatique et les libertés (CNIL) en France, comme le Comité européen pour la protection des données (CEPD) au niveau européen, rappellent que les dispositions du règlement général européen pour la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) ont vocation à être appliquées : comme toute règle en matière de conformité, les dispositions du RGPD s’érigent en garde-fou face au risque accru d’atteintes et d’intrusions dans la vie privée des personnes concernées en situation de crise.
Dès le 6 mars 2020, la CNIL a publié en ligne quelques « rappels » sur la collecte de données personnelles (1), visant à remémorer aux employeurs la nécessaire conciliation qu’ils ont la charge d’opérer entre leur obligation de sécurité et de santé au travail, d’une part, et leur obligation de protection des données à caractère personnel, d’autre part. De même, après un premier communiqué de presse de sa présidente en date du 16 mars 2020 (2), le CEPD a quant à lui publié, le 19 mars, une déclaration relative au traitement des données à caractère personnel dans le contexte de l’épidémie de Covid-19, afin de rappeler quelques principes applicables, notamment, aux traitements de données à caractère personnel par les employeurs dans cette situation de crise (3).
En réalité, d’autres autorités de protection des données européennes se sont également saisies du sujet (4), afin d’orienter, notamment, les employeurs dans la collecte de données dans ce contexte.
Si la crise sanitaire actuelle pourrait inviter ou contraindre les employeurs à collecter des données de santé de leur personnel ou visiteurs par exemple, pour mémoire, on peut souligner que ce type de données entre dans les catégories particulières de données, aux termes de l’article 9, alinéa 1er du RGPD. Ces données sont ainsi des données à caractère personnel dites « sensibles », qui font l’objet d’une interdiction de principe de traitement de la part, notamment, des employeurs – sauf exceptions limitativement énumérées aux paragraphes 2 à 4 de l’article 9 du RGPD.
Veuillez télécharger le PDF afin de lire la suite de l’article :