Données de santé : «en tant qu’employeur nous avons le devoir de ne pas révéler expressément l’identité de la personne malade», A. Tyrode

Le traitement des données personnelles des collaborateurs, dans le contexte de la crise sanitaire actuelle, occupe le groupe Delfingen, un sous-traitant « de rang 2 » du secteur automobile. Témoignage sur les options choisies.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Quelles sont les questions principales auxquelles vous avez dû répondre ?

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

La gestion des données liées au Covid-19 est une nouveauté pour nous et pour toutes les entreprises. Généralement, nous ne rentrons pas dans l’intimité de nos collaborateurs. La première question que nous avons eue était de savoir si de telles données pouvaient être traitées par une entreprise privée. Le RGPD commande d’adopter une protection juridique particulière et, par principe, de ne pas traiter de telles données sensibles. Il n’y a pas eu d’assouplissement de la réglementation durant la crise sanitaire. Nous ne pouvons pas collecter et traiter ce type de données. Nous avons collé au texte et chaque décision a pu être prise en son respect.

Pour le travail sur site des salariés, des questions liées aux données personnelles ont émergé comme la prise de température, par exemple, à l’entrée des locaux. Le sujet a été évoqué mais nous l’avons mis directement de côté. Notamment parce que nous nous sommes interrogés sur l’utilité de la mesure. L’entreprise peut-elle refuser à quelqu’un de venir travailler s’il a une température élevée ? C’est une question de droit social mais en cette période de pandémie un collaborateur qui aurait de la température ne doit pas venir. Nous avons insisté sur la responsabilité des collègues : s’ils ont des symptômes, ils ne doivent pas venir travailler.

En abordant cette question, nous nous étions aussi interrogés sur d’autres problématiques. Comment prendre la température ? Qui devrait avoir accès à la donnée ? Où la stocker ? Pour nous, il ne fallait pas mettre le doigt dans l’engrenage. Nous n’avons donc pas mis en place la prise de température systématique et généralisée.

Sur la question de la prise de température, l’entreprise ne peut donc rien mettre en œuvre ?

Les recommandations de la CNIL ne vont pas à l’encontre de tout dispositif en la matière. Il est possible pour une entreprise de poser des thermomètres en libre utilisation, avec toutes les précautions et les mesures d’hygiènes nécessaires, afin de permettre à un collaborateur qui se sent fiévreux ou ayant besoin de se rassurer de mesurer sa température. C’est le choix que nous avons fait. Il doit ensuite être de sa responsabilité de faire remonter l’information à son manager ou aux RH.

Toutefois, le collaborateur potentiellement malade peut avoir contaminé ses collègues. Donc une fois que les RH ont connaissance d’un cas suspect, que peut-on faire de cette donnée ? Il faut pouvoir prévenir les collègues qu’il a côtoyés dans les dernières 48 heures, sans toutefois dévoiler son identité. Nous sommes entre deux pans du droit : la responsabilité de l’employeur quant à la sécurité de ses salariés et le respect de la vie privée.

En cas de collaborateur testé positif au Covid-19, comment traiter la donnée ?

C’est la question la plus délicate. Il n’est pas possible de dévoiler l’identité de la personne contaminée et son état de santé même avec son consentement. Car nous révèlerions une donnée personnelle de santé très sensible. Nous sommes cependant capables de remonter le parcours des collègues avec qui elle a été en contact au sein de l’usine. Et ils doivent être informés qu’ils ont été exposés au virus. Bien entendu la réidentification de la personne malade ne sera pas très compliquée pour eux mais en tant qu’employeur, et en tant que collaborateur, nous avons le devoir de ne pas révéler expressément l’identité de la personne malade.

La question se pose également lorsque nous sommes contactés par une entreprise de transporteur qui pourrait nous indiquer qu’un de leur livreur, venu récemment aux portes de l’une de nos usines, a contracté le virus. Son nom ne nous sera pas dévoilé. Mais nous aurons connaissance de la date et du lieu de livraison pour pouvoir ensuite assurer la sécurité de nos employés.

Peut-on tester ses salariés ?

Nous n’avons pas pris cette option-là. Un test révèle à « l’instant T » une contamination positive ou négative au Covid-19. Dans tous les cas, les résultats sont de la collecte de données sensibles. Ce n’était pas concevable. Et je ne suis pas certain qu’il y ait un intérêt à le faire car les tests ne sont pas tous performants et il faudrait organiser plusieurs campagnes de tests. On peut avoir été testé le lundi, obtenir le résultat le lendemain et avoir été contaminé entre-temps…

Comment conserver la donnée liée à une contamination au Covid-19 ?

La donnée doit être conservée le moins longtemps possible au sein des services RH. Certains estiment qu’elle peut être conservée pendant toute la période de la crise ou de l’état d’urgence sanitaire. Mais selon moi, ces périodes sont trop longues. La durée de la crise n’est pas quantifiable. Quelle est la pertinence, pour l’employeur, de conserver la donnée d’un malade après sa guérison ? En dehors des obligations légales, il faut se limiter à la durée de l’arrêt de travail de la personne pour cette cause-là : c’est-à-dire la durée de son confinement ou de sa mise en quarantaine. Et s’il y a une rechute, on pourra recommencer le processus. Il faut être très vigilant.

On doit aussi sécuriser la donnée de potentielles attaques informatiques. Au début de la crise, elles ont été nombreuses. Notre IT a pris les devant en renforçant notre système informatique. Et le ficher au sein duquel sont mentionnées les personnes atteintes ou suspectées d’être touchées doit être consultable par un nombre très restreint de personnes. C’est un gage de sécurité.

Y a-t-il d’autres fichiers à sécuriser ?

Les plannings élaborés par les chefs d’équipe et les managers ont aussi suscité des interrogations. Avec la reprise d’activité, davantage de personnes doivent y avoir accès pour assurer la sécurité de l’entreprise et les conditions d’hygiène et de distanciation physique. Ils sont aussi plus précis afin que cela permette de retracer plus vite les personnes avec qui un malade a pu être en contact. Le personnel qui assure la sécurité des locaux a davantage d’informations qu’à la normale : au lieu de savoir le nombre d’employés présents dans un atelier, par exemple, il détiendra les noms et prénoms de ceux-ci. Il faut alors donner des recommandations aux services de sécurité : comment utiliser les documents, à quelle fin, et leur rappeler qu’il ne faut pas détourner les fichiers pour en faire une autre utilisation.

Réussissez-vous à former sur ces nouveaux enjeux ?

Oui. Je réalise des formations ponctuelles, en petit comité, en visioconférence sur des cas et questions pratiques ainsi que concrètes.