Données de santé et crise sanitaire, comment gérer les données personnelles de ses salariés ? - Interview de Jérôme DEROULEZ

Publié le - Mise à jour le

Voir toutes les actualités

Avec la crise sanitaire, les opportunités de collecte des données personnelles des salariés par les employeurs se sont multipliées. Jérôme DEROULEZ, avocat aux barreaux de Paris et de Bruxelles et fondateur du Cabinet DEROULEZ AVOCATS, revient sur les obligations des employeurs en matière de gestion des données de santé de leurs salariés.

Dans le cadre de la lutte contre la propagation du Covid-19 et la protection des salariés, quelles données de santé l’employeur dont les collaborateurs sont soumis à l’obligation vaccinale est-il amené à collecter ? Quid des autres ?

Parallèlement à l’obligation générale des employeurs de prendre les mesures nécessaires pour assurer la sécurité et la santé de ses salariés, prévue par le Code du travail, il existe actuellement des situations particulières dans lesquelles certains établissements et/ou travailleurs sont soumis à une obligation vaccinale, via la loi renforçant les outils de gestion de la crise sanitaire et modifiant le Code de la santé publique.

Dans cette hypothèse, les employeurs peuvent demander à leurs salariés de présenter un justificatif de statut vaccinal. Ils sont également autorisés à conserver la preuve de cette vérification, sous la forme d’une réponse précisant uniquement sur le salarié est vacciné, ou non, sans plus de précision. Pour les salariés qui ne sont pas soumis à l’obligation vaccinale, les données de santé étant, de façon générale, considérées comme des données sensibles, leur traitement est par principe interdit.

L’employeur a-t-il un devoir d’information particulier ? Quelles sont les règles de conservation et de traitement de ces données ?

L’employeur a un devoir général d’information et de transparence, prévu par le RGPD, qui lui impose de préciser à ses salariés pourquoi il collecte les données et combien de temps il va les conserver. En l’occurrence, la durée de conservation dépend du temps nécessaire à la gestion de la crise sanitaire, elle est donc évolutive.

Pour ce qui est de la conservation des données de santé, l’employeur est aussi soumis aux règles relatives à l’obligation générale de sécurité des données. Ainsi, comme pour les autres données personnelles de ses salariés, il doit limiter l’accès aux données concernant le statut vaccinal des salariés en désignant notamment les personnes amenées à les consulter – le plus souvent, il s’agit des ressources humaines.

Par principe, les données personnelles ne doivent être utilisées que pour les finalités pour lesquelles elles ont été collectées. Les employeurs qui collectent les données pour savoir si leurs salariés sont vaccinés ne peuvent donc pas les utiliser à d’autres fins.

Quels sont vos conseils pour être conformes aux recommandations CNIL quant à l’utilisation des données personnelles des salariés ?

Au regard de la multiplication des règles et recommandations pendant la crise sanitaire, il est compliqué pour les employeurs de se tenir à jour de leurs obligations. Pour être en conformité avec la réglementation relative aux données, ces derniers doivent surtout être vigilants à la sécurité des données en limitant le nombre de personnes qui y ont accès. Les employeurs doivent également veiller au respect de la durée de conservation des données et aux conditions de leur suppression lorsqu’elles ne seront plus nécessaires. 

Pour avoir une vue d’ensemble des dispositifs mis en place et pour s’assurer qu’ils respectent les obligations légales, les employeurs qui tiennent un registre de traitement des données personnelles ont intérêt à y intégrer les mesures de vérification et de conservation des données relatives à l’obligation vaccinale. Les autres entreprises peuvent tenir un registre des habilitations répertoriant les personnes autorisées à accéder aux données, les dates de collecte, d’accès, etc.

Quelles sanctions peuvent s’appliquer en cas de mauvais usage de ces données ?

Il existe plusieurs types de sanctions pour les entreprises qui ne respectent pas les obligations relatives aux données personnelles des salariés. Elles peuvent être sanctionnées par la CNIL : rappel à l’ordre, mise en demeure, condamnation avec publication ou sanction financière (jusqu’à 4 % du chiffre d’affaires mondial d’une entreprise). Elles peuvent également encourir des sanctions pénales pour collecte de données sensibles sans autorisation, avec des peines d’emprisonnement qui peuvent aller jusqu’à cinq ans. Enfin, selon la situation, il est possible que l’employeur soit en infraction avec le Code du travail.

Formations qui pourraient vous intéresser

tealium