Corona et la vie privée : les informations sur corona sont soumises à des conditions de confidentialité très restrictives
La crise de corona crée une grande solidarité, comme celle des soignants qui sont responsables jour et nuit des soins aux malades ou des bénévoles qui fabriquent des masques buccaux. Mais malheureusement, il existe aussi de nombreuses organisations qui violent de manière flagrante les lois sur la vie privée. Je voudrais donc appeler toutes les organisations à respecter strictement la législation (sur la vie privée).
La santé et le droit à la vie privée ne sont pas des phénomènes contradictoires. L'Autorité de protection des données (Commission vie privée) supporte également cette déclaration.
Je donne ci-dessous quelques exemples de la manière dont la législation sur la protection de la vie privée est restrictive. Le traitement des informations personnelles - et certainement en relation avec la santé - est presque toujours interdit.
Principe de base
Les mesures prises par les employeurs dans le cadre de la lutte contre le corona doivent être conformes à l'article 6.1 du règlement général sur la protection des données (RGPD). La disposition (dans cet article) selon laquelle le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique, n'est pas applicable dans le contexte de la pandémie du corona. Cela s'applique également à l'article 9, 9.2.i) du RGPD en ce qui concerne les données relatives à la santé. Un employeur ne peut donc pas invoquer cet article pour traiter des données. L'article 9.2.i) ne peut être invoqué que par des directives explicites des autorités compétentes.
En outre, le principe de proportionnalité et le principe du traitement minimal des données (article 5.1.c) et e) du RGPD) jouent également un rôle directeur important. Seule la quantité minimale de données nécessaire afin d’atteindre un objectif déclaré peut être traitée. Les organisations doivent prendre des mesures de corona de manière transparente. Dans le même temps, ils doivent informer de manière adéquate leurs employés et les employés des contractants sur le traitement et la durée de conservation des données personnelles collectées (article 5.1.a).
Corona et la vie privée : les faits
Toute organisation peut prendre les mesures nécessaires pour garder corona à l’extérieur de leur site. Il est crucial pour une organisation que ses employés ne tombent pas malades et que les installations et les machines continuent de fonctionner. Les employés doivent également prendre leurs responsabilités en respectant les règles de distance, les règles d'hygiène et en restant à la maison en cas de symptômes de la maladie.
Mais les mesures préventives visant à garder corona à l’extérieur de l'entreprise doivent bien sûr être légales. Le respect des règles relatives à la vie privée est essentiel. Et les informations sur les maladies et la santé sont sensibles au respect de la vie privée. Dans sa communication, le gouvernement fédéral et le groupe d'experts n'ont jamais mis l'accent sur le contrôle de la température chez les employés. Par conséquent, la nécessité d'effectuer de tels contrôles - soit par un employeur pour ses propres employés, soit par un client pour les employés des entrepreneurs – est non proportionnel.
Conformément à la législation sur la protection de la vie privée, le traitement des données relatives à la santé est interdit, sauf dans des circonstances exceptionnelles et lorsqu'il existe une base juridique. Par exemple, les données sur la santé peuvent être nécessaires pour respecter des obligations légales. Par exemple, un employeur doit savoir que son employé est malade afin de pouvoir traiter les paiements des salaires. Mais le traitement de ces données de santé ne peut être effectué que par un médecin du travail, et non par l'employeur lui-même.
La législation en vigueur ici est le règlement général sur la protection des données RGPD (General Data Protection Regulation, en abrégé GDPR), qui est entré en vigueur le 24 mai 2016. Les données personnelles sont toute information concernant une personne qui peut être directement ou indirectement identifiée. Les données personnelles sont définies comme "toute information concernant une personne physique identifiée ou identifiable ("la personne concernée"). Une personne physique identifiable est toute personne physique qui peut être directement ou indirectement identifiée sur la base d'un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments qui caractérisent l'identité de cette personne physique.
La notion de "données personnelles" est donc très large. Le législateur ne fait aucune distinction entre les informations confidentielles. Le règlement GDPR prévoit des catégories spéciales de données personnelles (article 9) qui peuvent être consultées de manière limitée, comme les informations stockées après une analyse de la température ou les informations accessibles au public que tout le monde peut consulter sur l'intranet. Même si le nom de l'employé n'est pas mentionné, mais la combinaison d'informations (âge, sexe, ville, diplôme, etc.) ou en utilisant différents moyens techniques ("singling out ") peut identifier une seule personne, les données sont toujours considérées comme des données personnelles.
L'employeur est-il autorisé à tenir une liste des employés infectés par corona ?
L'autorité de protection des données (Commission de la protection de la vie privée) est très réticente à le faire et n'adopte pas une position univoque. Peut-être sera-t-il autorisé à tenir des registres sur la contamination corona des employés. Cela peut contrevenir à la fois à la loi sur les contrats de travail de 1978 et à la loi relative au bien-être de 1996.
Un employeur peut-il demander à un employé s'il est infecté par le coronavirus ?
Cela est autorisé, à condition que ces données ne soient pas traitées. Après tout, lors du traitement, il faut tenir compte de la législation sur la vie privée, qui stipule que le traitement des données est interdit.
Certains clients du secteur (pétro)chimique ont demandé aux employés des entrepreneurs de fournir une déclaration écrite confirmant que ces employés ne présentaient aucun symptôme de maladie, et que ni eux ni les membres de leur famille immédiate n'avaient séjourné dans des pays où des foyers d'infection avaient éclaté. L'obtention de ces informations constitue une atteinte à la vie privée. Après tout, l'autorité de protection des données déclare explicitement : "L'employeur ne peut pas obliger les employés à remplir de tels questionnaires". Implicitement, cela s'applique également aux clients qui le demandent aux employés des entrepreneurs.
Les mesures de la température sont-ils autorisées ?
La fièvre étant souvent un symptôme d'une infection corona, certains employeurs veulent faire passer un scanner à leurs employés (et clients) pour détecter la fièvre et l'enregistrer. Un tel enregistrement constitue une violation des lois sur la vie privée et n'est donc pas autorisé par la loi. Toutefois, l'Autorité de protection des données (APD) ne considère pas le simple enregistrement de la température corporelle comme un traitement de données personnelles. Par conséquent, si cette mesure de la température n'est pas accompagnée d'un enregistrement ou d'un traitement supplémentaire des données personnelles, le RGPD ne s'appliquent pas. Pour une mesure de la température de ses propres employés, l'employeur doit consulter les employés du CPPT.
Il existe deux méthodes de mesure de la température : manuellement et automatiquement. Avec une mesure manuelle, on mesure - au moyen d'un thermomètre frontal - la température du corps au niveau du front. Cette méthode est autorisée.
Avec une mesure automatique, la mesure se fait automatiquement de chaque personne marchant dans une zone de dépistage prédéfinie. Cela peut se faire via une caméra sur un trépied ou avec une caméra fixe, incluant éventuellement la détection des visages. Cette méthode constitue une violation de la législation sur la protection de la vie privée.
Lorsqu'une température élevée est détectée, la personne en question doit garder la distance nécessaire et suivre les étapes nécessaires fixées dans une procédure.
Bon à savoir : la mesure positive de la température corporelle n'est pas une preuve concluante d'une infection corona. Par exemple, l'augmentation de la température peut être le résultat d'un effort physique récent. De plus, de nombreux porteurs du coronavirus ne présentent pas de symptômes.
Peut-on communiquer que l'employé X est infecté du corona ?
En principe, cela n'est pas autorisé, car il s'agit d'une atteinte à la vie privée. Un employeur ne peut pas sans raison divulguer les noms des employés concernés. Toutefois, il est permis de communiquer en termes généraux (c'est-à-dire sans mentionner de noms) qu'un employé a été infecté. Un employé peut, bien entendu, informer lui-même ses collègues de son infection de corona. Mais ces informations ne peuvent être enregistrées ou traitées. Même si le collègue infecté demande à son employeur de le communiquer à ses collègues, cela n'est pas autorisé..
Que peuvent faire les employés ?
Si les employés ont connaissance d'une atteinte à leur vie privée, ils peuvent demander une médiation ou déposer une plainte auprès de l'autorité de protection des données (la Commission de la protection de la vie privée). Les amendes contre les abus sont très élevées. Vous trouverez ci-dessous un lien pour déposer une plainte.
https://www.autoriteprotection...
Jan Dillen
Des informations complémentaires :
https://www.autoriteprotection...
Plus de nouvelles
30/11/20
Appel aux commerçants pour qu'ils respectent les mesures corona
04/06/21
UPDATE: Déclaration sur les moments de retour des télétravailleurs
03/03/22
Nouveau guide générique "Travailler en toute sécurité pendant une épidémie ou une pandémie"
11/05/22