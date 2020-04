La protection des données ne doit pas constituer une entrave à la lutte contre la propagation du virus. Il convient donc de trouver un équilibre entre la protection de la vie privée et la protection de la santé publique. Quelles sont dès lors les conditions dans lesquelles des données à caractère personnel – en particulier des données de santé – peuvent être traitées dans le contexte de l’épidémie de Covid-19?

Le Règlement européen général sur la protection des données à caractère personnel (RGPD) est clair: " Le droit à la protection des données à caractère personnel n’est pas un droit absolu; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité" . La protection des données à caractère personnel ne peut constituer une entrave à la lutte contre la pandémie Covid-19. Il convient donc de trouver un l’équilibre entre la protection de la vie privée et de la santé publique.

Dans ce contexte particulier, les entreprises se posent de nombreuses questions quant au traitement des données de leurs employés et, en particulier, les données de santé. L’Autorité belge de protection des données ("APD") a répondu à un certain nombre de ces questions récurrentes.

L’APD rappelle qu’en toute circonstance, le traitement de données à caractère personnel doit reposer sur une des bases de légitimité. C’est notamment le cas lorsque le traitement est nécessaire au respect d’une obligation légale. Or, en vertu de la loi du 3 juillet 1978, l’employeur est tenu " de veiller en bon père de famille à ce que le travail s’accomplisse dans des conditions convenables au point de vue de la sécurité et de la santé du travailleur ". En exécution de cette obligation légale, les employeurs doivent donc prendre des mesures préventives, qui impliquent le traitement de données à caractère personnel.

Concernant les données de santé, le RGPD contient des règles plus restrictives. Leur traitement est en principe interdit, sauf exception limitativement énuméré. Ainsi l’employeur ne pourra traiter les données de santé qu’avec le consentement explicite de son employé. L’employeur pourra toutefois se passer du consentement si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou pour des motifs d’intérêt public relatifs à la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé. Selon le RGPD, c’est notamment le cas lorsque le traitement est nécessaire pour suivre la propagation des épidémies.

Selon l’APD, les entreprises peuvent donc invoquer ces raisons si elles agissent en exécution de directives explicites imposées par les autorités. L’APD stipule également que l’évaluation des risques pour la santé ne peut être effectuée par les employeurs, mais par le médecin du travail, seul compétent pour détecter les infections et informer l’employeur et les tiers mis en contact avec la personne infectée.

Concrètement, quelles mesures prône l’APD?

En vertu du principe de confidentialité, de proportionnalité et de minimisation des données, un employeur ne pourra pas librement révéler le nom des personnes infectées. Il pourra informer les autres travailleurs d’une contamination, sans toutefois mentionner l’identité de la personne concernée pour éviter sa stigmatisation. Dans certains cas particuliers, il sera inévitable de nommer le travailleur infecté afin de protéger ses collègues. L’employé infecté devra être informé à l’avance de cette annonce et sa dignité et son intégrité devront être protégées. Par ailleurs, le nom de la personne infectée peut être communiqué au médecin du travail ou encore aux autorités compétentes.