Compliance, Covid et questionnaire médical

De nombreux salariés en télétravail sont frileux de retourner sur leurs lieux de travail et de nombreux employeurs se demandent comment assurer ce retour au travail dans les meilleures conditions et rassurer les employés quant à la maîtrise du risque de contamination par leurs collègues.

Dans un communiqué en date du 7 mai 2020, la CNIL précisait aux employeurs les données qu’ils pouvaient collecter auprès de leurs salariés en respectant leur vie privée : date, nom, prénom, contamination ou suspicion de contamination. Les employeurs devaient également mettre en place des canaux dédiés et sécurisés. Plusieurs entreprises ont ainsi élaboré des questionnaires plus ou moins complexes pour savoir si certains de leurs salariés présentaient des risques, dans le but légitime de pouvoir adapter leur organisation du travail à la période post-Covid.

Les employeurs peuvent utiliser des questionnaires mais seul le personnel de santé compétent est en mesure d’avoir accès aux données des salariés contenant des informations relatives à leur état de santé, leur situation familiale, leurs conditions de vie ou encore sur leurs éventuels déplacements.

La CNIL précisait « qu’il en va de même pour les tests médicaux, sérologiques ou de dépistage du COVID-19 dont les résultats sont soumis au secret médical : l’employeur ne pourra recevoir que l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail émis par le professionnel de santé. Il ne pourra alors traiter que cette seule information sans autre précision relative à l’état de santé de l’employé, d’une façon analogue au traitement des arrêts de maladie qui n’indiquent pas la pathologie dont l’employé est atteint ».

Par conséquent, les employeurs ont deux options :

  • Soit ils ne collectent que la date, le nom, prénom du salarié, et les données relatives à une éventuelle contamination ou suspicion de contamination ;
  • Soit ils communiquent un questionnaire plus poussé aux salariés avec la collecte de données de santé. Dans cette hypothèse, seule la médecine du travail peut traiter les données collectées et remonter aux managers des salariés les seules données sur l’aptitude ou l’inaptitude des salariés à reprendre le travail.

En tout état de cause, la médecine du travail est le point focal du traitement de l’information médicale en entreprise et il ne peut s’agit du service des ressources humaines ou du manager de proximité. Elle pourra, si un ou plusieurs cas sont avérés, mener des actions complémentaires pour éviter la propagation de la maladie en entreprise et protéger les salariés (identifier les contacts potentiels, procéder à un nettoyage, etc.).

Nota : La médecine du travail est un responsable de traitement autonome de l’employeur. Il faudra qu’elle mette en oeuvre ses propres obligations d’information et inscription au registre.

Il s’agit, comme dans tout programme de conformité (en l’occurrence sanitaire), de choisir les services les plus adaptés pour traiter le problème, de leur donner les moyens d’agir et de s’interdire de faire rentrer au forceps les nouveaux problèmes qui une organisation qui n’est pas taillée pour eux ;-).

Il est important de rappeler que :

  • Les données ne doivent être conservées que pour une durée très limitée ;
  • Les salariés doivent être informés de la collecte de leurs données et des finalités de cette collecte (respect de l’article 13 du RGPD) ;
  • Le traitement doit être indiqué dans le registre de l’employeur.

Pour plus de simplicité et pour ceux qui sont arrivés à la fin de cet article, Examin vous fournit un traitement relatif à ce questionnaire conforme au modèle simplifié élaboré par la CNIL. Il suffit de le demander en commentaire ;-).

Définir une bulle de compliance à domicile ?

La pandémie de la Covid 19 va de pair avec un usage renforcé du télétravail, propice à la cybercriminalité. Afin d’éviter que la généralisation de cette pratique induise des risques supplémentaires pour les données et les systèmes d’information des entreprises et des citoyens, la CNIL et le gouvernement ont fait part de leurs recommandations en ce qui concerne le télétravail. Ces recommandations vont dans un sens commun : créer une bulle de cybersécurité sur le lieu de domicile pour l’exercice de l’activité professionnelle en cloisonnant le lieu de télétravail et le lieu de vie. Cette séparation matérialise l’abandon d’une logique « Trust but verify », inadaptée à l’usage, au profit d’une stratégie plus offensive fondée sur le modèle « Zero Trust ».

Par analogie, on peut se demander comment les programmes de conformité s’accordent avec cette nouvelle pratique et notamment comment le contrôle mis en place par l’entreprise pour s’assurer du respect des réglementations peut être adapté. En effet, la perte du contrôle des entreprises sur leurs locaux implique une perte d’effectivité des mesures qu’elles ont mises en place. Il est nécessaire de maintenir à une effectivité pleine et entière de ce contrôle au sein de l’espace de travail, à domicile, des salariés exposés tout en préservant leurs libertés individuelles. De la même façon que les mesures techniques créent une bulle de cybersécurité autour du salarié, la mise en place de nouvelles mesures organisationnelles doit permettre de créer une bulle de conformité autour du salarié pour le protéger ainsi que son entreprise.

Cela suppose de mener des analyses de risques régulières afin de vérifier la conformité des entreprises et d’éluder le risque de sanctions par la mise en œuvre de registres, de procédures, de dispositifs d’alertes ou encore de Code de conduite constamment vérifiés et mis à jour. Il est néanmoins essentiel d’adapter ces mesures aux nouveaux risques et de ne pas imposer les mesures les plus draconiennes à tous, indépendamment du niveau de risque. L’invasion de la sphère privée par l’entreprise doit ainsi être tempérée par une contre-invasion de la sphère privée au sein de l’entreprise qui devra prendre en compte les spécificités de chaque employé ou de chaque typologie d’employé. Cela suppose une maturité importante de l’entreprise en matière de conformité et de risque ainsi qu’une lecture fine de la réglementation, mais les effets vertueux d’une telle démarche sont évidents.

La mise en place de la compliance de façon systémique, « by design », et continue permet de garantir la conformité d’une entité, mais également de favoriser la bulle de cybersécurité évoquée précédemment. En effet nombre de réglementations, comme le RGPD ou la directive NIS, exigent la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » [1].

Bref, un chaine de confiance qui ne demande qu’à être alimenté.

Valentin SCHABELMAN

Doctorant chercheur — Examin