Ce que vous devez savoir.

L'épidémie de Covid-19 vous oblige, en tant qu'employeur, à prendre des mesures pour prévenir une éventuelle propagation du virus sur le lieu de travail. 

Dans ce contexte, vous pouvez désormais être amené à traiter des données à caractère personnel supplémentaires concernant vos employés (par exemple au sujet de leurs voyages récents, leurs antécédents médicaux, les éventuels symptômes de maladie). 

Toutefois, le Comité Européen de la Protection des Données souligne que cela ne peut se faire que dans le respect des règles de protection des données. Vous devez, par exemple, disposer d’un fondement légitime pour ce traitement (pour plus d'informations, voir GDPR toolkit - fondements licites). En Belgique, il n’y a actuellement, selon l'Autorité belge de protection des données, aucune raison d'appliquer plus largement ou de manière systématique le motif contenu à l'article 6.1. d) du GDPR ("la nécessité d'un traitement à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique"). En outre, pour les données concernant la santé, l'Autorité se réfère à l'interdiction de traitement de l'article 9 du GDPR, qui exige le consentement explicite de la personne concernée. L'Autorité souligne que l'exception à cette règle pour des raisons de santé publique ne s'applique que si vous agissez "en application de lignes directrices explicites imposées par les autorités compétentes". Dans d'autres pays, il est possible que vous ayez plus d'options en raison de la législation nationale ou des mesures nationales. Par ailleurs, le principe de minimisation des données exige, même dans ces circonstances, que vous ne traitiez pas plus de données que nécessaire et le principe de transparence exige que vous informiez les personnes concernées, en particulier en ce qui concerne la finalité du traitement et la durée de conservation des données (pour plus d'informations, voir GDPR toolkit – transparence).

En outre, vous pouvez essayer de vous organiser pour que vos employés télétravaillent autant que possible. Le télétravail est recommandé dans la lutte contre le virus Covid-19, mais il augmente à son tour le risque de virus numériques. Les employés utilisent des ordinateurs portables personnels avec des logiciels antivirus moins performants et se connectent à l'entreprise via une connexion internet moins sécurisée. En Belgique, le Centre pour la Cybersécurité met également en garde contre les nombreux messages de phishing qui abusent de la situation actuelle autour du virus Covid-19. Des mesures supplémentaires sont donc nécessaires afin de respecter votre obligation de sécurité et d’éviter des violations de données.

Ce que vous devez faire.

Essayez d'éviter autant que possible le traitement de données à caractère personnel (sensibles). A titre d’exemple, selon l'Autorité, les règles de protection des données ne vous empêchent pas de contrôler la température corporelle de vos employés (tant que ce contrôle ne s’accompagne pas d'un enregistrement de ces données). Dans le même sens, il devrait être possible de faire remplir un questionnaire médical à vos employés, pour autant que l'anonymat des réponses puisse être garanti.

Tout traitement de données à caractère personnel dans le cadre de la lutte contre le virus Covid-19 requiert le consentement (explicite) de l'employé. Vous pouvez donc demander aux employés de signaler toute information qui pourrait être pertinente dans ce contexte, sans les obliger à le faire. En outre, il est conseillé de désigner une personne de contact centrale qui reçoit les informations concernées, et il est conseillé de ne pas diffuser inutilement les informations au sein de l'entreprise (par exemple, les communiquer uniquement aux employés qui ont travaillé en étroite collaboration avec la personne concernée). Dans la plupart des cas, il ne sera pas nécessaire de divulguer l'identité de la personne concernée. Dans tous les cas, il faut limiter les informations au minimum et ne pas les conserver plus longtemps que nécessaire pour lutter contre cette pandémie. Informez vos employés sur le traitement en publiant un message spécifique sur l'intranet ou par e-mail.

Par ailleurs, assurez-vous que vous organisez le télétravail de manière sûre. Laissez les employés travailler autant que possible avec les ordinateurs portables sécurisés et les clés USB cryptées de l'entreprise. Fournissez une connexion VPN parfaitement sécurisée et une authentification multifactorielle. Demandez à vos employés de veiller à ce que le logiciel (antivirus) soit toujours à jour, de faire des sauvegardes régulières et d’être particulièrement prudents lors de l'ouverture de pièces jointes aux e-mails et d’hyperliens. Compte tenu de la responsabilité de votre entreprise, il est conseillé d'inclure ces règles relatives au télétravail dans votre politique de sécurité.