Les autorités de protection des données (ADP) sont des autorités publiques indépendantes qui contrôlent l’application de la législation relative à la protection des données. Ces ADP ont publié de nombreux rapports concernant la question de la protection des données , depuis le début de la pandémie.
Les réglementations relatives à la protection des données personnelles ne peuvent pas être ignorées en période de pandémie, et restent pleinement applicables, ce qui est confirmé par la déclaration du Comité européen de protection des données sur le traitement des données à caractère personnel dans le contexte de l’épidémie de covid-19.
Cette situation a été prévue lors de la rédaction du RGPD, entré en vigueur dans l’ensemble des Etats membres dès le 25 mai 2018.
Dans le cadre de la pandémie à laquelle nous sommes tous confrontés, les entreprises peuvent avoir accès à des informations de santé (symptômes présentés par les employés, fièvre mesurée pour les employés se rendant au travail, identité des employés touchés par le virus). Ces informations étant considérées comme des informations sensibles, des mesures appropriées doivent être appliquées afin de les protéger.
Pour ce faire, le traitement de ces données sensibles nécessite le consentement explicite de la personne concernée. Cependant, dans le cas spécifique d’une pandémie, le Comité européen de protection des données permet aux employeurs, ainsi qu’aux autorités de santé publique de traiter des données sans consentement de la personne concernée, lorsqu’elles revêtent un intérêt public, dans le domaine de la santé publique notamment. Il importe de se référer aux recommandations de la CNIL.
« En cas de signalement, un employeur peut consigner :
- la date et l’identité de la personne suspectée d’avoir été exposée ;
- les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).
Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée. »
Les entreprises devront se conformer à leur obligation d’information de la personne concernée vis-à-vis du traitement de ses données personnelles.
Par Eva Roxane Khabié-Zeitouné pour ATurquoise
Comments are closed.