Au moment où le gouvernement planche sur un projet d’application mobile (StopCovid) permettant d’identifier les «chaînes de transmission» du coronavirus, Leïla Benaissa, avocate spécialisée en technologies de l’information et protection des données chez Rödl & Partner, fait le point sur les problèmes posés par la pandémie aux entreprises en matière de respect des données personnelles et de sécurité des systèmes d’information.
Quelles questions de protection des données personnelles des salariés pose la pandémie aux employeurs ?
Prenons le cas des données de santé. Le droit social impose à l’employeur d’assurer la santé et la sécurité de ses salariés sur le lieu de travail. De son côté, la réglementation applicable à la protection des données à caractère personnel interdit, en principe, la collecte des données de santé considérées comme étant des catégories particulières de données. Ces deux principes contradictoires créent une certaine tension entre un objectif de santé publique qui pourrait rendre souhaitable la disponibilité de données de santé plus détaillées et le Code du travail. Sollicitée à ce sujet, la Commission nationale de l’informatique et des libertés (CNIL) a été très claire dans son rappel du 6 mars. L’employeur a interdiction de procéder à des «relevés obligatoires des températures corporelles de chaque employé/agent/visiteur et de les adresser quotidiennement à sa hiérarchie». Il lui est également interdit de collecter des «fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents». Plusieurs autorités européennes chargées de la protection des données personnelles et du contrôle de l’application du règlement général sur la protection des données (RGPD) se sont également prononcées dans ce sens.
Le confinement a aussi amené de nombreuses entreprises à mettre en place des solutions de télétravail dans l’urgence, parfois de façon désorganisée. Beaucoup de salariés se retrouvent ainsi à travailler avec leur propre équipement (ordinateur, téléphone, etc.) dont le niveau de sécurité est souvent défaillant. Il y a ainsi des risques, en l’absence de sensibilisation de la part de l’entreprise, qui peut voir son système informatique pris en otage. La dématérialisation de nombre de procédures, combinée à la crise sanitaire actuelle, peut s’avérer un facteur aggravant. Les cyberattaques fleurissent. L’Assistance Publique-Hôpitaux de Paris (AP-HP) a été prise pour cible d’une cyberattaque le 22 mars. La veille, un grossiste en masques et gels, qui pensait répondre à une commande, a été victime d’une escroquerie (6 millions d’euros) de la part d’une société fantôme.
La notion de dérogation en cas de force majeure comme une pandémie est-elle prévue dans le RGPD ?
Non, il s’applique de façon absolue. Si l’on reprend la mise au point faite par la CNIL le 6 mars, l’Autorité a néanmoins indiqué aux employeurs qu’ils pouvaient inviter leurs employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de l’entreprise ou des autorités sanitaires compétentes. L’employeur est aussi autorisé à transmettre aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition, en vue d’une éventuelle prise en charge sanitaire ou médicale de la personne exposée.
Quels conseils donneriez-vous à un directeur juridique pour encadrer le télétravail ?
Les risques les plus fréquents sont les cyberattaques, le vol de données échangées entre salariés en télétravail. Si l’entreprise n’a pas de charte informatique, il est conseillé de rédiger un socle minimal de règles (ne pas télécharger n’importe quelle application non agréée par exemple) et de les communiquer aux salariés. Les directeurs juridiques auront intérêt à se rapprocher de leurs directeurs des systèmes d’information ou de leurs prestataires pour faire un point sur ces sujets. De plus, si l’entreprise est victime d’une fuite de données après une cyberattaque, elle a soixante-douze heures pour le notifier à la CNIL. Cette obligation perdure pendant la pandémie.
Y a-t-il des jurisprudences applicables à d’éventuels litiges entre employeurs et salariés à propos du traitement des données personnelles en temps de crise majeure ?
Il n’y a pas de précédent ou en tout cas pas d’éléments assimilables à la situation actuelle. En Irlande, la Data Protection Commission (DPC) a néanmoins rendu un avis concernant le délai qu’une entreprise doit respecter pour répondre à une demande d’accès ou d’effacement de données personnelles de la part d’un employé. Elle a précisé que, compte tenu de la crise actuelle, l’entreprise pouvait bénéficier d’une indulgence si elle ne répondait dans le délai imparti normalement par la loi irlandaise. Nous pourrions imaginer que la CNIL adopte une posture similaire mais aucune communication officielle à ce sujet n’a été faite pour l’instant.
