La Commission nationale de l'informatique et des libertés (CNIL) et les autres autorités de protection des données européennes ont été amenées à se prononcer afin de clarifier les mesures qui pouvaient être mises en place afin de limiter la propagation du virus dans le respect du RGPD et des lois nationales.

La CNIL a ainsi publié, le 6 mars dernier, une déclaration rappelant aux employeurs ce qui leur est permis et interdit de faire concernant le traitement des données personnelles de leurs salariés, agents ou visiteurs.

Bien qu'elle reconnaisse l'obligation de l'employeur de mettre en place des mesures destinées à protéger la santé et la sécurité de ses salariés (comme la mise en place d'actions de prévention des risques professionnels), elle indique que l'employeur de ne doit pas porter atteinte au respect de la vie privée des personnes concernées. Il ne peut collecter  des données de santé qui iraient au-delà de la gestion des suspicions d'exposition au virus, en procédant par exemple à la collecte systématique et généralisée d'informations relatives à la recherche d'éventuels symptômes présentés par un employé ou ses proches.

A contrario, il est possible pour les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation, de collecter des données de santé. La CNIL précise que l'évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités.

Le Comité Européen de la Protection des Données (CEPD) a également adopté, le 19 mars dernier, une déclaration concernant le traitement des données personnelles dans le cadre de l'épidémie Covid-19.

Ainsi, le CEPD rappelle les fondements juridiques du RGPD sur lesquels les employeurs et les autorités de santé publique compétentes peuvent s'appuyer pour traiter les données, y compris les données de santé, dans le contexte de crise du Covid-19, sans avoir besoin d'obtenir le consentement de la personne concernée.

En effet, concernant les données de santé, le CEPD indique que les employeurs pourraient fonder de tels traitements sur la dérogation de l'article 9.2 c) du RGPD relative à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité de donner son consentement ou encore sur la dérogation de l'article 9.2 i) du RGPD relative aux motifs d'intérêt public dans le domaine de la santé publique.

Par ailleurs, la CNIL a annoncé le 25 mars que la publication de la version définitive de sa recommandation relative aux cookies et autres traceurs, qui devait initialement avoir lieu début avril 2020 à la suite de la consultation publique organisée début 2020, serait repoussée afin de tenir compte du contexte actuel. La date de publication sera fixée en fonction de l'évolution de la situation.

Enfin, pour faciliter des projets de recherche portant sur le Covid-19, la CNIL a annoncé le 26 mars, qu'elle allait instruire en priorité, dans des délais extrêmement courts, les demandes d’autorisation dans l’hypothèse où les traitements de données envisagés ne seraient pas conformes aux méthodologies de référence de la CNIL pour lesquelles une simple déclaration de conformité suffit.

Cette publication électronique n’a qu’une vocation d’information générale non exhaustive. Elle ne saurait constituer ou être interprétée comme un acte de conseil juridique du cabinet Gide.

>> Cliquez ici pour plus d'informations sur le groupe de travail pluridisciplinaire de Gide mis en place pour répondre à toutes vos questions juridiques dans le contexte du Covid-19.