La collecte des données de santé : les dernières préconisations de la CNIL

La collecte des données de santé : les dernières préconisations de la CNIL

E31703LY

sans cacheDernière modification le 09-06-2020

Au regard des dispositions du RGPD, la CNIL a souhaité rappeler dans une recommandation, en date du 6 mars 2019, les principes généraux, ainsi que les interdictions.

La CNIL n’a pas manqué d’indiquer ce qu’il était néanmoins possible de faire.

La collecte des données de santé : les dernières préconisations de la CNIL

  • Les principes généraux
  • Règlement (UE) n° 2016/679 du Parlement européen et du Conseil, 27-04-2016
    L’article 9 du RGPD (Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016) précise à cet égard que les données de santé sont des données sensibles dont le traitement est en principe interdit sauf exceptions. Le Règlement général sur la Protection des Données, dit « RGPD », art. 9 : A titre d’exception, les traitements de données sensibles fondés notamment sur les cas suivants sont possibles :

    • Si la personne concernée a donné son consentement exprès (écrit, clair et explicite) ;

    • Si ces données sont nécessaires dans un but médical ou pour la recherche dans le domaine de la santé et que le traitement est réalisé par un professionnel de santé ;

    • Si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;

    • Autres cas de l’article 9 […].

     

    Chacun étant responsable de sa santé et de celle des autres, les employés sont tenus de mettre en œuvre tous les moyens nécessaires afin de préserver la santé et la sécurité d’autrui et de lui-même (limitation des déplacements, mesures d’hygiène…),

    Pour autant, les employeurs ne peuvent pas prendre de mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font, en effet, l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique.

  • Interdiction de collecter des données à caractère sensible
  • L’employeur est responsable des traitements réalisés dans l’entreprise. L’employeur doit donc s’abstenir de collecter de manière systématique et généralisée des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches. Par exemple, selon la CNIL, il n’est pas possible de mettre en œuvre :

    • un relevé obligatoire de température corporelle de chaque employé ou visiteur à adresser quotidiennement à sa hiérarchie ;

    • une collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés.

  • Ce qui est autorisé

  • Au contraire, la CNIL indique qu’il est possible de :

    • Sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition ;

    • Faciliter les modes de travail à distance et encourager le recours à la médecine du travail ;

    • Faciliter leur transmission par la mise en place de canaux dédiés.

     

    A savoir. En pratique que faire ?

    • Ne pas réaliser de traitement dans la mesure du possible ou seulement de manière volontaire et anonyme

    • Encourager l’auto-diagnostique et l’auto-déclaration en mettant un thermomètre à disposition de chacun des salariés ne pouvant faire de télétravail, pour un contrôle deux fois par jour de leur température

    • Faire intervenir des professionnels de santé (médecin, infirmière…) ; associer le CSE dans tous les cas aux mesures mises en place.

     



Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.