Ce que vous devez savoir.

La fièvre est l'un des symptômes possibles d’une infection du virus COVID-19. Dans la lutte contre ce virus, les entreprises peuvent envisager de prendre la température des clients et des employés, lorsqu'ils entrent dans leurs bâtiments, par exemple. 

Les prises de température ne sont pas toutes couvertes par le GDPR. La prise de température avec un thermomètre conventionnel sans enregistrement des données relatives à cette prise de température ne constitue généralement pas un traitement de données à caractère personnel. Lorsqu’après avoir pris sa température, un hôpital refuse d'admettre comme visiteur une personne ayant de la fièvre mais n’enregistre pas la prise de température, il n'y a en principe pas de traitement de données à caractère personnel.

Cependant, dès qu'une prise de température est enregistrée (par exemple, parce qu'une mesure de « lock-out » est inscrite dans le dossier personnel des employés en question), il s’agit d’un cas de traitement de données à caractère personnel. Dans ce cas, les obligations découlant du GDPR doivent être respectées.

Ce que vous devez faire.

Les données qui sont enregistrées dans le cadre de la prise de température ont trait à l'état de santé de la personne concernée. Le traitement des données relatives à la santé étant en principe interdit, vous devrez notamment être en mesure de prouver que vous disposez d'un motif d'exception au sens de l'article 9.2 du GDPR :

Si la personne concernée a donné son consentement explicite à ce traitement, ses données relatives à sa santé peuvent être traitées.

Toutefois, le consentement doit être donné « librement », ce qui signifie que les entreprises ne pourront pas toujours invoquer ce motif d’exception. Dans une relation de travail on suppose, par exemple, que la personne concernée est souvent incapable de donner son consentement « libre » en raison de la relation hiérarchique avec son employeur.

D'autre part, les personnes concernées doivent toujours être en mesure de refuser de donner leur consentement sans qu’elles n’aient à subir de préjudice. Cela signifie que le « consentement » n'est pas un motif d'exception approprié pour les entreprises qui souhaitent rendre les prises de température obligatoires.

Si la législation (nationale) impose ce traitement, les données relatives à la santé des personnes concernées peuvent être traitées sur la base de ce motif. L'Autorité de protection des données est d'avis qu'un tel motif d'exception n'existe ni dans un contexte de travail, ni dans un contexte scolaire. En France et aux Pays-Bas, un tel traitement ne semble pas non plus être imposé dans la législation.

En outre, vous ne devez bien sûr pas perdre de vue les autres obligations découlant du GDPR. Les personnes concernées doivent, entre autres, être informées sur la prise de température et les objectifs poursuivis par celle-ci.