Dans le contexte de la crise sanitaire liée au coronavirus, en particulier depuis le déconfinement, les employeurs doivent prendre toutes les mesures nécessaires pour assurer la sécurité des salariés. La CNIL leur rappelle dans quelles conditions ils peuvent utiliser des données personnelles, notamment de santé.

Seuls certains traitements sont autorisés pour répondre à l’obligation de sécurité

La CNIL rappelle qu’une obligation légale de sécurité pèse sur chaque employeur (c. trav. art. L. 4121-1), laquelle se traduit notamment par une obligation de prévention du risque biologique (c. trav. art. R. 4422-1) dont le coronavirus fait partie.

La CNIL souligne que, conformément au RGPD (règlt UE 2016/679 du 27 avril 2016, art. 6), les employeurs ont le droit de traiter des données personnelles, notamment lorsqu’elles sont strictement nécessaires au respect de leurs obligations légales, ici l’obligation de sécurité. En vocabulaire RGPD, le respect d’une obligation légale est l’une des bases légales envisageables pour les traitements de données personnelles. Pour mémoire, la « base légale » d’un traitement c’est « ce qui autorise légalement sa mise en ½uvre, ce qui donne le droit à un organisme de traiter des données à caractère personnel » (glossaire, www.cnil.fr).

Cela étant, tout n’est pas permis aux employeurs dans la mesure où les données liées à l’état de santé des salariés sont des données dites sensibles, dont le traitement est en principe interdit, sauf exceptions.

Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs », www.cnil.fr