La situation exceptionnelle instaurée par le Covid-19 pose des questions en matière de collecte de données personnelles d’employés.L’objectif de collecte, dans ce cas, vise à identifier les employés présentant les symptômes du virus et/ou à identifier leurs déplacements pour faire le lien d’une éventuelle contamination. Effectuer ces collectes nécessite de respecter les règles définies par le RGPD (Règlement Général sur la Protection des Données), et notamment les données de santé, qui font l’objet d’une protection particulière.Ainsi l’employeur aura pour mission d’informer et de sensibiliser les employés sur les risques et les mesures de précaution. Mais également, les inciter à prévenir d’une éventuelle exposition.Si le cas se présente, il pourra transmettre aux autorités sanitaires compétentes les données collectées. Et, notamment celles liées à la nature de l’exposition, qui seraient nécessaires à une prise en charge médicale. Les données d’identité de l’employé pourront également être transmises.Informer, sensibiliser et transmettre mais en aucun cas prévoir une collecte massive d’information. Sont donc à exclure les procédés visant à :
- Établir des fiches et/ou questionnaires médicaux de l’ensemble des employés. Qu’ils soient pour évaluer de potentiels symptômes ou des déplacements suspects.
- Mettre en place des relevés de température corporelle des employés, visiteurs ou toutes autres personnes entrant dans l’entreprise
- Collecter des données relatives à la santé d’une personne interne à l’entreprise par tous autres moyens
La CNIL rappelle que les entreprises ne peuvent pas prendre des mesures qui porteraient atteinte au respect de la vie privée des employés ou visiteurs et notamment la collecte de données qui irait au delà de la gestion des suspicion d’exposition.Le salarié quant à lui, a le devoir d’informer son employeur d’une possible contamination.EDiCS est certifiée ISO 27001 Management de la Sécurité de l’Information.Vous trouverez dans l’article suivant, la correspondance entre les thématiques du RGPD et la norme ISO/IEC 27001 : Lien article.Source : Article vie publique
