Par Anne-Laure Villedieu, avocat associé, et Eléonore Favero, avocat, CMS Francis Lefebvre Avocats

Pour répondre à cette obligation, de nombreuses mesures ont été prises en urgence, du questionnaire de santé au relevé de température obligatoire. 

La Commission nationale de l’informatique et des libertés (CNIL) a, la première, publié des directives à destination des employeurs, rapidement suivie par le gouvernement et le Comité européen de protection de la donnée (CEPD). Les recommandations s’accordent sur une même conclusion : la crise ne justifie pas de porter atteinte au respect de la vie privée des salariés.

Les grands principes de la réglementation Informatique et libertés réaffirmés

Si la licéité des traitements est le principe, même en cas de crise, un employeur doit toujours fonder ses traitements sur une base légale. Le premier réflexe serait de se tourner vers le consentement. Or, la relation hiérarchique entre un employeur et ses salariés exclut toute possibilité de recueillir un consentement libre. Partant de ce constat, le CEPD estime que les bases légales appropriées peuvent être :

– l’exécution d’une mission d’intérêt public ; ou

– le respect d’une obligation légale (art. 6 e) et c) du RGPD).

En France, l’article L. 4121-1 du Code du travail imposant à l’employeur de prendre les mesures nécessaires pour assurer la sécurité et la santé des travailleurs, les traitements poursuivant cette finalité peuvent se fonder, notamment, sur le respect de cette obligation.

Pourtant, la collecte de données de santé peut s’avérer particulièrement épineuse, puisqu’elle est en principe interdite, sauf dérogation en raison d’un intérêt de santé publique ou pour protéger les intérêts vitaux de la personne concernée. S’agissant de cette dernière exception, le considérant 46 du RGPD fait explicitement référence aux contrôles en cas de pandémie. Elle apparaît donc comme la base légale la plus adaptée aux traitements mis en œuvre par l’employeur.