Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Crise sanitaire

Personne publique et covid-19, gare à la collecte de données de santé !

Publié le 23/04/2020 • Par Auteur associé • dans : Actu juridique, Analyses juridiques, France

The coronavirus sinks the global stock exchanges.
©OSORIOartist - stock.adobe.com
La propagation de l'épidémie de Covid-19 et les annonces du déconfinement prochain ont pu encourager les organismes publics à organiser la collecte de données personnelles de santé. David Conerardy et Aloïs Ramel, avocats au sein du cabinet Seban et Associés mettent en garde ces organismes contre de potentielles dérives.

Ma Gazette

Sélectionnez vos thèmes et créez votre newsletter personnalisée

David Conerardy et Aloïs Ramel

Avocats à la Cour, SCP Seban et Associés

L’apparition et le développement rapide du covid-19 en France a pu entrainer, parfois hors de tout contrôle, la collecte de données à caractère personnel liées à la santé par les organismes publics afin d’accompagner et de protéger au mieux leurs agents et salariés. Or, ces collectes de données de santé sont strictement encadrées par la législation et, dès lors que les obligations issues du règlement général sur la protection des données ne sont pas respectées, la responsabilité de ces organismes publics peut être engagée alors même qu’ils n’ont pas forcément perçu le manquement à leurs obligations.

Quelques rappels sur la collecte de données de santé

Aussi paradoxal que cela puisse paraître, il aura fallu de nombreuses années au législateur et à la Commission nationale de l’informatique et des libertés (CNIL) pour sortir du flou entourant la notion de donnée à caractère personnel de santé. Ses caractéristiques antérieurement obscures avaient laissé prospérer des interprétations parfois opposées de données de santé.

L’adoption du RGPD a été l’occasion pour la CNIL de reprendre et communiquer sur cette notion afin de faire de la pédagogie autour de ses caractéristiques (1).

Tout d’abord, l’article 4 du RGPD donne la définition suivante des données de santé : « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne »

Ensuite, cette définition a été précisée par la CNIL qui explique sur son site internet que « les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne » (2).

L’on retrouve ici une définition assez large de la donnée de santé. Cette définition permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne. L’objectif poursuivi ici est de ne pas laisser hors du spectre des données de santé des données qui pourraient, du fait de leur croisement avec d’autres données, fournir des informations sur l’état de santé général d’une personne. On peut ajouter que cette définition large voulue par le RGPD et reprise par la CNIL permet aussi de qualifier une donnée de donnée de santé dès lors que celle-ci aurait pour finalité d’être utilisée au plan médical.

Afin d’illustrer sa définition, la CNIL propose trois exemples de données qui seraient par nature des données de santé (3). Ce sont ainsi les données :

  • relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
  • obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;
  • concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).

Par conséquent, on peut légitimement penser que toute information sur une personne physique liée à l’épidémie de covid-19 serait une donnée de santé. Or, les organismes publics peuvent avoir la tentation, en interne, de collecter des données de santé de leurs agents ou salariés afin de détecter au mieux l’apparition des premiers symptômes de la maladie dans l’objectif d’éviter le développement de foyers du virus au sein de leur structure.

Cette réflexion est d’autant plus importante que la date d’un potentiel déconfinement a été annoncée pour le 11 mai 2020. A partir de cette date, des agents et salariés pourront progressivement retourner sur leur lieu de travail alors même que la maladie continuerait de se diffuser dans la population.

Or, les données de santé sont protégées par l’article 9 du RGPD qui en fait « une catégorie particulière de données à caractère personnel » et leur accorde une protection spéciale en ce que le premier paragraphe de cet article rend leur traitement par principe interdit.

Partant, bien que le deuxième paragraphe prévoie un certain nombre d’exceptions, il ne reste pas moins que le traitement de données de santé reste très encadré et qu’il n’est pas à réaliser à la légère.

La personne publique employeuse : la question de la conformité des mesures opérationnelles

La personne publique employeuse a une responsabilité propre liée à la préservation de la santé et l’intégrité physique de ses agents et salariés (4).

Lors de la reprise du travail le 11 mai prochain, en plus de la fourniture de moyens permettant la protection individuelle des travailleurs, il pourrait être reproché à celle-ci de ne pas mettre en œuvre les mesures suivantes :

  • rappels des mesures de sensibilisation (rappel des gestes « barrière » ou mentions relatives à la distanciation sociale par exemple) ;
  • constitution d’un canal dédié pour effectuer des remontées individuelles d’information concernant les agents et salariés et en lien avec une éventuelle exposition au virus covid-19 ;
  • favoriser les modes de travail à distance pour les agents et salariés le pouvant.

En plus de ces premières mesures, il est tout à fait possible pour la personne publique employeuse de mettre en place un mécanisme interne de signalement de suspicion d’exposition au covid-19.

A ce sujet, rappelons tout de suite que les éléments contenus dans le mécanisme de signalement ne sont pas des données de santé. Les mesures organisationnelles et le mécanisme de signalement relèvent d’une collecte circonstanciée de données non sensibles, pouvant être traitées par l’employeur. Au contraire, les données de santé ne peuvent être collectées que par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation.

Toutefois, avec la propagation du covid-19, et pour des raisons évidentes de santé publique, la CNIL permet la collecte d’informations en lien avec la gestion des suspicions d’exposition au virus. Cette remontée d’information individuelle relèverait, selon notre compréhension du raisonnement de la Commission, plus d’éléments putatifs non-avérés (ce n’est pas parce que l’on pense que l’on a été exposé au virus que cela a été effectivement le cas) que de données strictement personnelles liées à l’état de santé. Cette distinction permettrait de différencier les actions de prévention des risques professionnels et la collecte de donnée de santé en elle-même, permettant ainsi à la personne publique employeuse de réaliser ce traitement.

Ensuite, une fois qu’un référent interne de l’organisme public aurait connaissance d’un signalement, et comme l’indique la CNIL (5), celui-ci pourra consigner :

  • la date et l’identité de la personne suspectée d’avoir été exposée ;
  • les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).

Ce mécanisme interne de signalement de suspicion d’infection par le covid-19 permettrait à la personne publique employeuse de diriger immédiatement la personne suspectée vers les autorités sanitaires et prendre des mesures organisationnelles adaptées (confinement, télétravail, orientation et prise de contact avec la médecine du travail ou de l’établissement par exemple) si un nouveau cas devait apparaître au sein de la structure après la reprise progressive du travail.

On peut également penser, dès lors que la personne publique employeuse aurait connaissance d’une suspicion d’exposition par le covid-19 d’un de ses agents, que celle-ci puisse informer les collègues immédiats de la personne concernée, et ce toujours dans le cadre de ses obligations strictes de la préservation de la santé et l’intégrité physique de ses agents et salariés. Cette information permettrait aux collègues immédiats de se diriger vers les autorités sanitaires afin d’être testées et, au besoin, d’être strictement confinées.

La personne publique et ses relations avec ses administrés et les usagers du service public

Au-delà de ce qui a été vu précédemment, la personne publique peut aussi avoir la tentation de collecter des données de santé dans son rapport avec les administrés ou les usagers d’un service public.

Par exemple, l’on pourrait imaginer qu’un office public de l’habitat décide, afin de protéger au mieux les gardiens de ses immeubles, de contacter l’ensemble de ses locataires pour déterminer s’il y a des cas de covid-19 au sein de ses immeubles. Dans cette situation, il s’agirait d’une collecte de santé en bonne et due forme, et l’on pourrait craindre qu’elle serait disproportionnée.

En effet, il faudrait se poser la question de la finalité pour le bailleur social de réaliser cette collecte. S’agit-il de protéger au mieux ses gardiens ? On a vu précédemment que la personne publique employeuse devait mettre en place des mesures organisationnelles pour protéger ses salariés indépendamment de l’évolution de l’épidémie, ce qui tendrait à rendre la collecte des données de santé des locataires superfétatoire. S’agit-il de connaitre l’évolution du nombre de malades sur son parc immobilier ? Cette information serait obtenue par une atteinte importante à la vie privée de ses locataires et ne semblerait pas de nature à influer sur la vie de l’immeuble (car quelle conséquence le bailleur pourrait-il en tirer ?).

Ainsi, le fait pour un bailleur social de chercher à obtenir ces informations serait susceptible d’être requalifié en collecte illicite de données de santé, à défaut de pouvoir justifier d’une réelle nécessité entrant dans le cadre de ses missions, et d’une stricte proportionnalité.

Cet exemple, où le mieux est l’ennemi du bien, peut se reproduire à l’infini.

On pourrait, en effet, également imaginer une commune souhaitant recueillir des informations médicales sur les personnes âgées de son territoire, notamment isolées, pour mettre en place des procédures de contrôle régulier par téléphone du maintien en forme des seniors.

Dans cet exemple, la question de l’intérêt pour la commune de collecter ces données de santé pourrait se poser car on pourrait arriver exactement à la même finalité, l’accompagnement par une procédure de contrôle des personnes âgées et isolées, sans recueillir les informations médicales des personnes âgées.

Il semble assez facile d’imaginer d’autres situations dans lesquelles la puissance publique, pensant bien faire et munie des meilleures intentions du monde, peut se mettre en risque juridique en recueillant des informations sensibles, soit de façon inutile (car fatalement inefficace), soit directement illégale (car pas habilitée ou disproportionnée par rapport aux finalités poursuivies).

En conclusion, avec la reprise du travail prévue le 11 mai, une grande attention devra être apportée aux mesures organisationnelles en lien avec la prévention des risques liés au virus. Le covid-19 ne permet pas que soient librement réalisées des collectes de données de santé généralisées ou systématiques sur les employés ou administrés d’une collectivité. Même si la tentation peut être grande de collecter des informations pour protéger leurs employés, administrés ou usagers, le principe de légalité n’étant pas suspendu ni même atténué durant cette période de crise que d’aucuns ont un peu rapidement comparé à des temps de guerre, il convient que les autorités publiques restent attentives à respecter pleinement les exigences du RGPD et de la LIL en matière de respect de la vie privée.

Réagir à cet article
marche online

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Commentaires

Personne publique et covid-19, gare à la collecte de données de santé !

Votre e-mail ne sera pas publié

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement