Pandémie de Covid-19 et déconfinement : quelles mesures les entreprises peuvent-elles prendre dans le respect de la vie privée des salariés ?

Quelles mesures ont été évoquées ?

Face à cette pandémie de Covid-19 et aux mesures de distanciation sociale et de confinement, certaines questions se posent en matière de vie privée et de protection des données à caractère personnel.

En vue de la sortie future du confinement, des mesures ayant pour but de ne pas anéantir les efforts mis en place pour limiter la propagation de la pandémie sont évoquées. Parmi ces dernières, certaines sont susceptibles d’avoir un impact sur la vie privée des personnes, notamment :

  • le traçage numérique des Français
  • la prise de température des salariés et/ ou visiteurs comme condition d’accès à un site.

Ces mesures respectent-elles la vie privée des personnes concernées ?

Respect de la vie privée et protection des données à caractère personnel

Chacun a droit au respect de sa vie privée et à la protection de ses données à caractère personnel. Par conséquent, tout traitement de données à caractère personnel doit se faire dans le respect de la règlementation de protection des données personnelles et en particulier le règlement général sur la protection des données[1].

Pour rappel, pour être en présence d’un traitement de données à caractère personnel, il faut qu’une opération de traitement soit réalisée sur des données à caractère personnel. Il s’agit par exemple de la collecte des coordonnées d’une personne ou du stockage de ces informations. Le traitement inclut des opérations telles que la collecte et l’enregistrement de données, mais aussi leur communication ou encore leur destruction. La donnée à caractère personnel, pour sa part, comprend toute information se rapportant à une personne physique identifiée ou qui peut être identifiée directement ou indirectement notamment par un identifiant ou des éléments propres à son identité.

Lorsque l’opération de traitement de données à caractère personnel est avérée, celle-ci doit respecter les conditions dans lesquelles des données peuvent être utilisées tel que cela est prévu par le RGPD. Il faut avant tout disposer d’un fondement légal qui permet de réaliser l’opération de traitement. Les données doivent aussi être utilisées pour un but légitime et être limitées au strict minimum nécessaire. Les données les plus sensibles telles que les données concernant la santé des personnes ne peuvent quant à elles être traitées que dans des conditions particulières.

Les mesures préventives sur le lieu de travail

L’article L. 4121-1 du Code du travail prévoit que l’employeur doit prendre les mesures nécessaires « pour assurer la sécurité et protéger la santé physique et mentale des travailleurs ». Les employeurs sont tenus, à ce titre, de mettre en œuvre des actions de prévention, mais aussi d’information et de formation.

Ainsi, l’employeur peut et devrait :

  • Sensibiliser ses salariés et les inviter à remonter toute information les concernant en lien avec une éventuelle exposition au virus, auprès de lui ou des autorités sanitaires compétentes ;
  • Faciliter la transmission de ces informations en mettant en place des canaux dédiés à ces remontées et en encourageant le recours à la médecine du travail.

Le traçage des Français[2] pourrait, au niveau des entreprises, se traduire par la surveillance par l’employeur des déplacements et contacts de ses salariés afin d’éviter la contamination des autres salariés de l’entreprise.

Pour ce qui est de la prise de température des employés et/ ou visiteurs comme condition d’accès à un site, l’Autorité de protection des données belge considère que si les prises de température ne s’accompagnent pas d’un enregistrement ou d’un traitement sur les données personnelles, alors le RGPD n’est pas d’application. Si au contraire ces contrôles conduisent à un stockage des données et/ ou à une opération de traitement de données, le RGPD s’applique.

Il va de soi que ces deux dernières mesures sont nettement plus sensibles et attentatoires à la vie privée des personnes que les premières, basées sur l’obligation générale existant dans le Code du travail.

Ce que disent les autorités

Le Comité européen de la protection des données :

Le Comité européen de la protection des données (CEPD, ancien « G29 ») est l’autorité européenne de la protection des données. Ce dernier considère que des traitements qui restreignent les libertés peuvent être légitimes à condition qu’ils soient proportionnés, limités dans le temps et mis en œuvre dans le respect des conditions suivantes :

  • Quant au fondement légal sur lequel le traitement peut être basé :

Le CEPD rappelle que le RGPD permet le traitement de données personnelles dans le cadre d’une pandémie, conformément aux dispositions nationales des Etats membres de l’Union européenne et selon certaines conditions. Ainsi, il n’est pas nécessaire de systématiquement recourir au consentement des personnes en ce qui concerne la collecte de données de santé. D’autres bases légales pourraient s’appliquer. Les employeurs peuvent en effet être amenés à traiter ces données pour se conformer à une obligation légale de sécurité à laquelle ils sont soumis, ou encore pour des motifs d’intérêt public dans le domaine de la santé publique ou pour sauvegarder les intérêts vitaux des personnes.

  • Quant aux principes fondamentaux de la protection des données :

Le CEPD rappelle qu’il convient de respecter les principes de protection des données et plus particulièrement :

  • Le principe de transparence en vertu duquel les personnes concernées par le traitement doivent en être correctement informées ;
  • Le principe selon lequel le traitement mis en œuvre doit répondre à une finalité explicite et déterminée ;
  • Le principe de proportionnalité et de minimisation des données : les solutions les moins intrusives possible doivent être privilégiées et il convient de collecter le minimum de données possible au regard de la finalité ;
  • Une conservation des données limitée aux finalités liées à la pandémie avec la suppression ou l’anonymisation des données à l’issue de la crise sanitaire;
  • Le principe de sécurité en vertu duquel le responsable du traitement doit prendre toutes les mesures nécessaires pour garantir la sécurité et la confidentialité des données qu’il traite.

La Commission nationale de l’informatique et des libertés (CNIL) et les « CNIL » européennes :

Selon la CNIL, les employeurs doivent s’abstenir de collecter de manière systématique et généralisée des informations qui viseraient à détecter des symptômes présentés par un salarié ou ses proches ; Il ne faut donc pas, selon la CNIL, mettre en œuvre, par exemple :

  • Des relevés obligatoires des températures corporelles de chaque salarié qui seraient adressés quotidiennement à sa hiérarchie et/ ou de chaque visiteur;
  • Une collecte d’informations médicales via des fiches ou questionnaires auprès de l’ensemble des salariés.

La CNIL considère que des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. Elle considère en effet que l’évaluation et la collecte d’informations relatives aux symptômes du coronavirus et d’informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Cet avis est partagé par d’autres autorités de protection des données comme celle du Luxembourg. L’Autorité belge de protection des données est également du même avis : l’employeur ne peut pas obliger ses salariés  à compléter un questionnaire médical ou un questionnaire relatif à ses déplacements.

En outre, ces autorités de contrôle, mais également d’autres autorités de protection des données comme celle des Pays-Bas, considèrent elles aussi que les prises de températures systématiques comme condition d’accès à un site sont à éviter.

Ainsi, la CNIL et ces autres autorités de protection des données européennes recommandent d’encourager les salariés à signaler spontanément toute situation en lien avec le virus et à recourir à la médecine du travail.

Le ministère du Travail :

Le ministère du Travail considère que la prise de température quotidienne de tous les individus à l’entrée d’une entreprise ne correspond pas aux recommandations du gouvernement. Le ministère du travail considère en effet que cette mesure prise seule n’atteint que partiellement l’objectif visé puisque la température n’est pas systématiquement observée pour le Covid-19, d’une part, et qu’elle peut témoigner d’une autre infection, d’autre part.

En revanche, si elles sont mises en œuvre dans le cadre d’un dispositif d’ensemble de mesures de précaution, alors les entreprises peuvent prévoir un contrôle systématique de la température des personnes entrant sur leur site, précise le ministère du Travail.

Que pouvons-nous en conclure ?

Bien que ces mesures ne soient pas recommandées, les entreprises peuvent prévoir un contrôle systématique de la température des personnes entrant sur leur site à condition qu’il soit mis en œuvre dans le cadre d’un dispositif d’ensemble de mesures de précaution, selon le ministère du Travail. Ces mesures peuvent faire l’objet de la procédure prévue à l’article L. 1321-5 du Code du travail qui autorise une application immédiate des obligations relatives à la santé et à la sécurité.

Ces mesures de prise de température doivent bien entendu respecter les dispositions du Code du travail (en particulier celles relatives au règlement intérieur), ainsi que celles de protection des données personnelles (en particulier être proportionnées à l’objectif recherché et offrir toutes les garanties requises aux salariés concernés, tant au niveau de l’information préalable que pour la conservation des données et les conséquences de ces contrôles sur l’accès au site).

Pour ce qui est des autres mesures, le télétravail reste recommandé pour tous les postes qui le permettent. Si l’activité de l’entreprise ne le permet pas, l’employeur doit alors garantir la sécurité des salariés en repensant l’organisation du travail, notamment :

  • Impérativement respecter les règles de distanciation et les gestes barrières (distance de plus d’un mètre entre les personnes, lavage régulier des mains avec du savon ou du gel hydroalcoolique, etc.) ;
  • Limiter les réunions au strict nécessaire et si possible les organiser à distance ; Organiser celles qui ne peuvent l’être dans le respect des règles de distanciation ;
  • Limiter les regroupements de salariés dans des espaces réduits ;
  • Annuler ou reporter les déplacements non indispensables ;
  • Adapter l’organisation du travail autant que possible, par exemple en mettant en place une rotation des équipes ou des horaires décalés ;
  • Renforcer les mesures barrières pour les postes qui nécessitent un contact « prolongé et proche » avec le public; par exemple :
    • Installer une zone de courtoisie d’un mètre ;
    • Installer des écrans de protection ;
    • Nettoyer les surfaces avec un produit approprié ;
    • Instaurer un lavage des mains fréquent.

Pour plus d’informations, des questions-réponses réparties par thème sont publiés par le ministère du Travail ici.

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

[2] Nous n’entrerons pas dans les détails des mesures de traçage numérique envisagées par le Gouvernement dans cet article.

 

Je partage

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article