COVID-19 et RGPD

Les recommandations de la CNPD sur le traitement de données par l'employeur dans le contexte de la crise sanitaire liée au Coronavirus 

Le salarié doit-il informer son employeur qu'il a été testé positif au COVID19 ?

La CNPD rappelle que les acteurs privés et public ne peuvent traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales et que, par conséquent, seuls les éléments liés à un certificat de maladie peuvent être traités par ces acteurs.

En cas de maladie, le Code du travail impose au salarié d'informer de son empêchement son employeur le premier jour et de lui remettre un certificat médical au plus tard le troisième jour, sans autre précision sur son état de santé ou la nature de sa pathologie, y compris le fait qu’un salarié a été testé positivement au COVID-19 ou présenterait des symptômes.

L'employeur peut-il mettre en place un contrôle systématique de la température des salariés et visiteurs à l’entrée des locaux ?

La CNPD précise qu'un tel contrôle est soumis aux règles et principes du RGPD que dans la mesure où il impose un enregistrement des données relatives à la personne.

 

Sont, dès lors, exclu du champ d'application du RGPD:

 

  • Une prise de température des salariés et visiteurs d’une entreprise ou administration, sans que les données relatives à la température liées à l’identité de la personne concernée ne soient enregistrées ou ne soient appelées à figurer dans un fichier,

  • les prises manuelles de température à l’entrée d’un site et sans qu’aucune trace ne soit conservée,

  • l’utilisation de caméras thermiques à des fins préventives, qui ne permettraient en aucun cas d’identifier les salariés ou visiteurs qui se présenteraient dans leurs champs de vision sans enregistrement, et sans possibilité de réutiliser les images.

En cas d'utilisation de ces techniques avec enregistrement de données, la CNPD considère qu'il s’agirait alors d’un traitement de données disproportionné, qui ne respecterait pas le principe de minimisation des données, dans la mesure où des moyens moins attentatoires à la vie privée des salariés et visiteurs concernés pourraient être mis en œuvre par l’employeur afin d’assurer la sécurité et la santé de ses salariés sur le lieu de travail.

Le traitement de données médicales est exclusivement réservé aux autorités sanitaires.

 

Les acteurs privés et publics ne peuvent pas eux-mêmes mettre en place des fichiers ou traitements relatifs à des données de santés liées au COVID-19

Seuls les professionnels de santé compétents ont le droit de collecter, mettre en œuvre et accéder à d’éventuels fiches ou questionnaires médicaux auprès des salariés/agents contenant des données relatives à leur état de santé ou des informations relatives notamment à leur situation familiale, leurs conditions de vie ou encore, leurs éventuels déplacements.

Voir la recommandation du 21/11/2021 de la CNPD :

 

Coronavirus (COVID-19): Recommandations de la CNPD relatives à la collecte de données personnelles dans un contexte de crise sanitaire - Actualités - Commission nationale pour la protection des données - Luxembourg (public.lu)

LEGALOZ avocat luxembourg

1, rue du Saint-Esprit

L-1475 Luxembourg

Tel : (+352) 22 17 67 

Fax : (+352) 22 17 67 31

Email : contact@legaloz.lu

-

  • avocat droit du travail

-

  • avocat conseil juridique et contentieux

-

  • avocat droit de la construction

-

  • avocat droit pénal

-

  • avocat employeur salarié