La loi sur la protection des données personnelles m’empêche-t-elle de tester mes salariés qui ont le Coronavirus ou présentent des symptômes du Coronavirus ?
Non, ni le Data Protection Act 2018 (DPA) ni le Règlement Général sur la Protection des Données personnelles (RGPD) interdisent ces tests.
Néanmoins, les employeurs doivent tenir compte des règles en vigueur sur la protection des données s’ils veulent effectuer ces tests sur leurs salariés. En effet, ils impliquent le traitement d’informations relatives à une personne identifiée ou identifiable. Ce traitement devra donc être effectué en conformité avec le DPA et le RGPD.
Il est important de noter que ces tests créeront des données à caractère personnel plus particulièrement relatives à la santé. Celles-ci sont plus sensibles et appartiennent à une catégorie particulière qui est davantage protégée. Cela veut dire que les employeurs devront pouvoir à la fois démontrer que le traitement des données découlant de ces tests satisfait le test de l’intérêt légitime de l’employeur, tout en limitant ces tests à ce qui est raisonnablement requis par leurs obligations légales de ‘health and safety’ (hygiène et sécurité) envers leurs salariés.
Comment me protéger contre le risque de non-conformité ?
Limitation des données
Le traitement des données lié aux tests doit être guidé par les principes légaux qui obligent notamment les employeurs à limiter les quantités de données personnelles collectées. Pour les données de catégories particulières, telles que les données relatives à la santé, il est particulièrement important de collecter et de conserver uniquement le minimum de données possible dont vous avez besoin pour atteindre votre objectif. Pour cela, il sera judicieux de veiller à ce que les données générées par les tests soient :
- suffisammentadéquates pour remplir correctement votre objectif ;
- pertinentesde sorte que les données ont un lien rationnel avec l’objectif ; et
- limitéesà ce qui est strictement nécessaire.
Point pratique : L’ICO recommande de s’assurer que vous ne collectez pas d’informations inutiles ou excessives. Par exemple, vous aurez probablement besoin uniquement d’informations sur le résultat d’un test, plutôt que de détails supplémentaires sur toute condition de santé sous-jacentes. Considérez les options de test disponibles pour vous assurer que vous ne collectez que les résultats nécessaires et proportionnés.
Responsabilisation des employeurs
L’employeur doit pouvoir démontrer sa conformité aux règles sur la protection des données personnelles. Pour cela, l’employeur doit créer et garder une trace écrite des mesures prises pour protéger ces données. Une des mesures clés sera de créer une “analyse d’impact” du traitement (les tests) sur la protection des données personnelles. Cette analyse devra décrire l’activité (le processus du test), comprendre une analyse des risques pour les droits et libertés des employés concernés, une justification de la nécessité et proportionnalité du traitement associé à ces tests, ainsi que les mesures envisagées pour faire face à ces risques.
Il n’existe pas de règle relative au format de cette analyse mais l’ICO propose un modèle qui peut être utilisé pour toute activité. Le Surveillance Camera Commissioner avec l’ICO a publié un autre modèle d’analyse spécifique aux systèmes de surveillance vidéo qui peut être utilisé pour l’usage de caméras thermiques.
L’analyse d’impact doit être régulièrement revue et mise à jour. Cela est particulièrement important dans une situation de crise qui évolue rapidement car de nouveaux risques et avantages apparaissent.
Point pratique : L’utilisation de technologies plus intrusives, en particulier pour capturer des informations sur la santé, implique une réflexion spécifique à l’objectif et au contexte de leur utilisation tout en étant en mesure de justifier leur utilisation. Est-il possible d’obtenir les mêmes résultats par d’autres moyens moins intrusifs ?
Puis-je conserver des listes d’employés qui présentent des symptômes ou qui ont été testés positifs pour Covid-19 ?
La création de listes est autorisée seulement si celle-ci est nécessaire et pertinente à l’objectif déclaré. Ces listes devront également faire l’objet de mesures de sécurité particulières afin de protéger leur confidentialité.
En tant qu’employeur, vous devrez également vous assurer que ces listes n’entraînent aucun traitement injuste ou préjudiciable aux employés- par exemple suite à des informations inexactes enregistrées. Il serait également injuste d’utiliser ou de conserver les informations que vous avez collectées sur le nombre d’employés qui ont signalé des symptômes de Covid-19 à des fins auxquelles ces employés ne pouvaient raisonnablement s’attendre.
Point pratique : La sécurité des données personnelles est une considération clé dans le cadre du télétravail. Demandez-vous où les données sont conservées. Par exemple, sont-elles protégées par mot de passe ? Sont-elles imprimées au domicile des employés responsables ? Qui y a accès, et à quelles fins ?
Que dois-je dire à mon personnel ?
L’ICO recommande aux employeurs d’agir de manière transparente, c’est-à-dire d’être clair, ouvert et honnête avec les employés dès le départ sur la façon et la raison pour laquelle vous souhaitez effectuer ces tests et, le cas échéant, quelles décisions affectant ces salariés pourront être prises au regard des informations délivrées par ces tests. L’ICO reconnait que les circonstances actuelles rendront la communication de ces informations difficiles. Néanmoins, l’ICO rappelle qu’en dépit de ces circonstances, les employeurs devront, avant d’effectuer des tests, au moins informer leur personnel de la nature des données personnelles requises, leur utilisation et avec qui celles-ci seront partagées. Il faudra également les informer de la durée de conservation de ces données.
Point pratique : Il est recommandé de donner aux employés la possibilité de discuter de la collecte de ces données s’ils ont des préoccupations ou interrogations.
Puis-je partager le fait que quelqu’un a été testé positif avec d’autres employés?
L’ICO recommande que vous teniez le personnel informé des cas potentiels ou confirmés de COVID-19 parmi leurs collègues. Cependant, vous devez éviter de nommer des personnes si possible et ne pas fournir plus d’informations que strictement nécessaire.
Point pratique : Il est important de noter que les effets de long terme du COVID-19 n’étant pas pleinement connus, la divulgation de données personnelles relatives au Covid-19 pourrait avoir des conséquences dans d’autres domaines relatifs par exemple aux obligations des employeurs découlant du Equality Act 2010 qui protège notamment les employés ayant une ‘disability’.
Que dois-je considérer avant de divulguer ces informations à des tiers ?
Tout employeur est soumis à des obligations légales de ‘health and safety’ vis-à-vis de ses employés. La protection des données ne les empêche pas de remplir ces obligations, et ne doit pas être considérée comme un obstacle au partage des données avec les autorités à des fins de santé publique ou avec la police lorsque cela est nécessaire et proportionné. Le DPA prévoit certaines conditions et exemptions autorisant ce partage. L’ICO rappelle qu’il existe également des risques à l’ordre public qui peuvent être causés par le non-partage des informations et recommande aux employeurs d’adopter une approche proportionnée et raisonnable.
Pour plus d’informations et de conseils sur les problématiques liées au COVID-19 contactez le French Desk.
Les informations contenues dans ce guide sont publiées à des fins générales et ne constituent pas un conseil juridique. Un avis approprié devra être sollicité pour tout cas particulier et préalablement à toute décision.
© Miller Rosenfalck LLP, Juin 2020
Contact:
Fanny Jutier - Solicitor
T +44 (0)20 7553 6008