Les services RH vont devoir s’adapter en fonction des mesures prévues lors de la reprise du travail. De façon générale, les employeurs n’ont pas l’obligation de traiter plus de données personnelles qu’en temps normal, à l’exception de certaines données concernant les salariés atteints ou potentiellement atteints du Covid-19. En effet, dans le cadre de leur obligation de protection de la santé des salariés, les employeurs doivent mettre en place un protocole de prise en charge d’une personne symptomatique afin de prendre les dispositions nécessaires, en relation avec le service de santé au travail. En ce qui concerne les mesures préventives, la prise de température fait partie des mesures qui peuvent être envisagées. En pratique, trois principaux cas de figure sont envisageables. Premier cas, expressément prohibé par la Cnil : le salarié prend lui-même sa température et la transmet à l’employeur. Second cas : un dispositif est mis en place à l’entrée des locaux pour mesurer la température des salariés. Si la température dépasse le niveau défini préalablement, et à moins que l’état de santé du salarié nécessite une action immédiate auprès des secours d’urgence, l’employeur invite le salarié à se rendre chez son médecin qui prescrira si besoin un arrêt de travail. Troisième cas : le salarié informe son employeur qu’il est atteint du Covid-19 : l’employeur doit alors procéder à des mesures de nettoyage et de décontamination pour mettre en sécurité les locaux et informer les autres salariés qu’ils ont été en contact avec un salarié contaminé pour leur permettre de prendre les précautions nécessaires. Ces dernières mesures sont désormais mises en place en coopération avec les acteurs de « contact-tracing » mis en place par les autorités sanitaires. Un salarié n’est pas légalement tenu d’informer son employeur de sa contamination, mais reste toutefois soumis à l’obligation générale de veiller à sa propre sécurité ainsi qu’à celle de ses collègues. Par conséquent, le salarié ne doit pas se rendre sur son lieu de travail s’il se sait malade. S’il le faisait malgré tout en connaissance de cause, l’employeur pourrait envisager de le sanctionner au motif d’avoir fait prendre des risques à ses collègues de façon consciente, bien que l’on puisse en pratique avoir des difficultés de preuve du caractère délibéré de cette abstention. En pratique, plus les salariés seront sensibilisés, plus ce type de manquement sera réduit. Enfin, la Cnil insiste particulièrement sur la confidentialité des informations. Lorsqu’un salarié est atteint du Covid-19, les informations relatives à son identité peuvent être portées à la connaissance des managers et des services RH, mais pas du reste de l’entreprise.

Les employeurs ne peuvent pas conserver les données de température, comme l’a rappelé la Cnil récemment. Si l’entreprise mesure la température des salariés à leur arrivée dans les locaux, il faut que cet examen soit réalisé dans des conditions préservant la dignité des salariés. Ainsi, la vérification de la température au moyen d’un dispositif manuel (par exemple de type infrarouge sans contact) peut être envisagée, mais la Cnil exclut expressément le recours à des caméras thermiques ou à tout autre type de captation automatisée. Avant de mettre en place un tel dispositif, les employeurs doivent l’inscrire dans le règlement intérieur selon les procédures appropriées et informer les salariés des conditions matérielles dans lesquelles sera réalisé ce relevé, du niveau de température au-delà duquel l’accès au site leur sera interdit, ainsi que des conséquences éventuelles de se soumettre à un tel examen.

Quelques start-up proposent des outils de ce type fonctionnant au moyen de la géolocalisation des individus, mais leur conformité au RGPD n’a pas été confirmée par la Cnil et aucune réglementation spécifique n’existe à ce jour. La Cnil a déjà émis des avis sur la géolocalisation des salariés, mais dans des contextes différents (géolocalisation des véhicules professionnels). Si un employeur mettait en place en France un dispositif de bracelet au sein de l’entreprise, il faudrait certainement qu’il utilise comme fondement juridique le consentement des salariés, comme prescrit par l’autorité belge de protection des données concernant les bracelets Rombit. En France, le consentement devrait également être la seule base légale envisageable. Le recours à une autre base légale, tel que l’intérêt légitime de l’employeur ou son obligation d’assurer la sécurité des salariés, se heurterait en effet très certainement au principe de proportionnalité au regard de l’objectif poursuivi : la Cnil considérerait certainement que ce type de mesure n’est pas indispensable pour que l’employeur remplisse son obligation légale car d’autres moyens, moins intrusifs en matière de protection des données, pourraient être envisagés.

Avec l’entrée en vigueur du RGPD le 25 mai 2018, les normes simplifiées, les dispenses d’autorisation et les autorisations uniques de la Cnil n’ont plus de valeur juridique et sont devenues seulement des « bonnes pratiques ». L’ancienne norme simplifiée 46 a cependant été reprise pour l’essentiel dans ce nouveau référentiel avec quelques ajouts. Les plus importants portent sur la durée de conservation des données et les bases légales justifiant la licéité des traitements de données. La Cnil précise par exemple que les données relatives à la paie doivent être gardées cinq ans. Concernant la base légale, la Cnil a mené un vrai travail pédagogique pour expliquer la notion de base légale et déterminer laquelle permet de justifier la licéité des principaux traitements de données.

En l’absence de texte particulier, les principes généraux de recours à l’expertise prévus par le Code du travail s’appliquent. Soit le CSE fait appel à un expert « libre » et il devra prendre à sa charge les honoraires, soit il estime que cet algorithme modifie de façon importante les conditions de travail des salariés et dans ce cas il pourrait décider de faire appel un expert « agréé/habilité ». Cependant, le CSE devra démontrer que le dispositif modifie de façon importante les conditions de travail en se basant sur la description fournie par l’employeur, les fonctionnalités prévues et le fonctionnement de cet algorithme. S’il apporte des éléments suffisamment sérieux, l’entreprise pourrait devoir prendre en charge une partie des frais d’expertise. De telles demandes restent cependant pour l’instant marginales.

Titulaire d’un diplôme de juriste conseil d’entreprise (DJCE), Guillaume Bordier est spécialiste en droit social, traitant plus particulièrement les aspects sociaux des transferts d’entreprise, les restructurations, l’épargne salariale et l’actionnariat salarié. Il conseille également, au sein de l’alliance Ius Laboris, des groupes étrangers sur la gestion des ressources humaines en France.

Membre du Barreau de Paris, Basile Moore conseille les entreprises sur le droit social et la sécurité sociale. Également titulaire d’un certificat de DPD (Délégué à la protection des données), il répond aussi aux questions relatives à la protection des données dans le cadre de traitements de données RH.