Le RGPD au temps du coronavirus

La crise du coronavirus entraîne d’importants défis dans tous les aspects de la vie quotidienne. Les autorités belges ont pris une série de mesures pour ralentir la propagation du virus SARS-CoV-2. Diverses organisations s’adaptent peu à peu afin de répondre aux conditions imposées et de protéger leur personnel. Il s’avère parfois difficile de préserver un juste équilibre entre mesures de sécurité bénéfiques à la santé publique, d’une part, et contrôles intrusifs aux conséquences négatives sur la vie privée des personnes, d’autre part. Il appartient à l’employeur de garder la tête froide. La mise en place d’une prévention efficace et le droit au respect de la vie privée ne sont pas forcément inconciliables.

Tant le service interne de prévention que les médecins du travail ont un rôle crucial à jouer dans l’adoption d’une démarche adéquate et proportionnée. Dans cet article, nous nous intéresserons d’un peu plus près à ce qui est permis et à ce qui ne l’est pas.

But des mesures

Cela fait environ un mois que les autorités belges ont imposé différentes mesures, sur avis d’un groupe de travail constitué d’experts de la santé. But de l’opération : ralentir la propagation du virus SARS-CoV-2 pour éviter la saturation de notre système de soins. Elle nous permet aussi de gagner du temps pour mettre un vaccin efficace au point d’ici le début de l’année prochaine.
Il convient à cette occasion de trouver le juste milieu entre la théorie et la pratique. Ainsi, un confinement absolu dans lequel tout le monde devrait rester chez soi n’aurait pas que des conséquences économiques extrêmement négatives. Il entraînerait aussi la cessation de certains services essentiels. La situation serait encore plus grave si nous n’avions plus ni eau ni électricité, et que nous ne pouvions plus acheter d’aliments.
C’est pourquoi les mesures de sécurité des autorités belges sont proportionnées et modulées dans le temps, au gré de l’évolution de la situation. Elles englobent entre autres l’arrêt des réunions physiques non essentielles, le télétravail obligatoire (si possible), le respect d’une distance de sécurité (distanciation sociale) et la promotion de mesures d’hygiène professionnelle, telles que le lavage régulier des mains.
Phase 1 : destinations de voyage
Les mesures de sécurité sont bénéfiques à la santé publique, mais ont toutefois des répercussions négatives sur le respect de la vie privée des gens.
Alors que nous étions encore dans la phase 1 du plan catastrophe et que l’on espérait pouvoir éviter la propagation de l’épidémie hors de Chine, les personnes revenant de zones à risque ont été placées en quarantaine ou soumises à un dépistage avant de pouvoir entrer sur le territoire. Des entreprises ont également soumis leurs travailleurs à un dépistage, adoptant des mesures allant parfois plus loin que ce qui était imposé par les autorités. C’est ainsi que des travailleurs de retour de congé ont été interrogés sur la nature et le lieu de leurs vacances et qu’il leur a été interdit de se présenter à leur travail si leur employeur jugeait le risque trop élevé.
Or, selon l’autorité de protection des données, cela ne se justifie pas, car ces questions et les actions associées ne sont pas de la compétence des entreprises, mais relèvent de la responsabilité des travailleurs de la santé et du système de protection civile, les entités chargées du contrôle du respect des règles imposées en matière de santé publique. Les actions complémentaires adoptées par les entreprises violent donc les critères des articles 6 et 9 du règlement général sur la protection des données (RGPD, mieux connu sous l’acronyme anglais GDPR).
Phase 2 : suspicion de COVID-19
Nous sommes maintenant dans une phase 2 (renforcée) du plan catastrophe et les autorités ont pris des mesures plus poussées. Ainsi, les personnes chez qui l’on suspecte une contamination au COVID 19 doivent rester chez elles. Les travailleurs concernés doivent en informer leur employeur. En effet, selon la définition qu’en donne la loi sur le bien-être, on peut considérer le COVID-19 comme un agent biologique du groupe 3 : Art. VII. 1-3. 3° un agent biologique du groupe 3 est un agent qui peut provoquer une maladie grave chez l’homme et constituer un danger sérieux pour les travailleurs ; il peut présenter un risque de propagation dans la collectivité, mais il existe généralement une prophylaxie ou un traitement efficace. » Les travailleurs sont soumis à cet égard à une obligation de déclaration : Art. VII. 1-41.- Les travailleurs signalent immédiatement à l’employeur, au conseiller en prévention compétent ou au conseiller en prévention-médecin du travail, tout accident ou incident impliquant la manipulation d’un agent biologique. Les généralistes ont également reçu des pouvoirs publics des directives les appelant à mentionner sur le certificat médical toute suspicion de COVID-19.
Ce partage de données est proportionné parce qu’il permet à l’employeur de prendre des mesures préventives adaptées telles que la désinfection supplémentaire du lieu de travail et l’éventuelle information des collègues directs. Cette dernière mesure est plus délicate. En vertu des principes de confidentialité (article 5, paragraphe 1, point f) du RGPD) et de minimisation des données (article 5, paragraphe 1, point c) du RGPD), un employeur ne peut pas décider seul de divulguer les noms des personnes concernées dans l’entreprise. En revanche, dans une optique de prévention, il peut informer les autres travailleurs d’une contamination, sans révéler l’identité de la personne concernée.
Certaines entreprises prennent contact avec leurs travailleurs pour obtenir plus d’informations, telles que la gravité de l’affection et son évolution. Ce faisant, elles violent les points c) et e) du 1er paragraphe de l’article 5 du RGPD, même si ces travailleurs sont disposés à communiquer ces renseignements. La gravité et le cours d’une infection de type COVID-19 n’ont aucun impact sur la contagiosité et, partant, sur les mesures à prendre par l’employeur. Celui-ci ne peut pas non plus diffuser de telles informations dans son organisation, par exemple pour tranquilliser les autres travailleurs en leur annonçant que leur collègue est sorti de l’hôpital. Cela part certes d’une bonne intention, mais elle viole la vie privée de ce travailleur.
Phase 3 : protection des groupes à risque à titre préventif
Si les autorités belges devaient passer à la phase 3 du plan catastrophe, le conseiller en prévention-médecin du travail aurait la possibilité d’écarter préventivement d’un environnement de travail dangereux les travailleurs appartenant à un groupe à risque pour le COVID-19. Il peut le faire sur la base d’informations tirées de dossiers médicaux du travail ou à l’occasion de questions posées à ce sujet par des travailleurs lors d’une consultation spontanée. Une entreprise peut aider à favoriser cette dernière démarche dans sa communication interne.
Un certain nombre d’entreprises désirent se lancer dans cette voie ou demandent à titre proactif une liste de travailleurs appartenant potentiellement à un groupe à risque. Elles agissent en vue d’aider à protéger la santé de leur personnel. Pour autant, il n’est pas proportionné de déjà recourir à ces moyens et encore moins d’établir de telles listes. En revanche, les employeurs peuvent encourager la prise de contact avec le médecin du travail. Cela dit, dans la phase actuelle (à la date où nous écrivons cet article, le 5 avril 2020), ce dernier pourra seulement inciter le travailleur faisant partie d’un groupe à risque à prendre contact avec son généraliste, qui décidera ensuite si celui-ci doit rester chez lui.
Conclusion
Pendant une crise sanitaire comme celle que nous traversons, il est inévitable qu’il faille mettre en balance des droits fondamentaux.
Les autorités belges veillent à l’équilibre entre le droit à la santé et celui à la protection de la vie privée. Aujourd’hui, nous assistons à une restriction temporaire, justifiée et proportionnée du second de ces droits.
Les entreprises qui se sentent obligées d’aller elles-mêmes plus loin dans cette mise en balance, et ce au détriment du droit au respect de la vie privée, doivent se demander si elles sont mues par de motifs objectifs nécessaires et proportionnés.
En effet, quand, d’ici quelques mois peut-être, la crise sanitaire sera passée et que la situation se sera normalisée, ces entreprises risquent de se retrouver plongées dans une autre crise, de nature juridique cette fois.
Le RGPD sur senTRAL


Auteur: Edelhart Kempeneers Directeur médical Attentia

Publié 14-04-2020

  206