EXTRAIT DE LA REVUE LA SEMAINE JURIDIQUE – ÉDITION ADMINISTRATIONS ET COLLECTIVITÉS TERRITORIALES N° 15. 14 AVRIL 2020

Aperçu rapide

Épidémie et traitements exceptionnels des données des agents ou des administrés

POINTS CLÉS ➤ Dans le contexte de l’épidémie de coronavirus, les administrations et les collectivités territoriales peuvent souhaiter mettre en place des recensements de données personnelles concernant leurs agents ou leurs administrés ➤ Le cadre juridique constitué du règlement général de protection des données, de la loi Informatique et libertés, et du Code de la santé publique, continue à s’appliquer dans les circonstances actuelles ➤ Qu’elles agissent en tant qu’employeurs ou dans le cadre de leurs missions, les autorités publiques doivent respecter des règles de base

Fabrice Mattatia, ingénieur général des mines, docteur en droit, chercheur associé à l’université Paris 1, co-directeur du mastère spécialisé Data Protection Management de l’Institut Mines-Télécom Business School

TOUTES les autorités publiques, en tant qu’employeurs, sont confrontées au double défi de la protection de la santé et de la sécurité de leurs agents, ainsi que de la mise en place de solutions de télétravail. Par ailleurs, dans le cadre de leurs missions, elles proposent à leurs administrés de nouveaux services, souvent en ligne, pour remplacer les services habituels qui ont cessé de fonctionner normalement.Le choix des outils utilisés a souvent été improvisé, les administrations ont souvent recours à des solutions externes en ligne, et la conformité de ces solutions aux obligations légales doit être vérifiée.

1. Le cadre à respecter en tant qu’employeur

Les autorités publiques sont responsables de la santé et de la sécurité de leurs agents, et doivent à ce titre, mettre en oeuvre des actions de prévention des risques professionnels ainsi que des actions d’information. Nous abordons ici ces questions sous l’angle des traitements de données personnelles, sans traiter des questions de protection sanitaire au sens physique.

Dans le contexte de l’épidémie actuelle, l’employeur doit ainsi, à titre préventif, encourager tant que possible les modes de travail à distance (télétravail). Il lui est évidemment nécessaire de procéder au suivi des modes de travail adoptés par ses agents. Dans le cadre de sa gestion du personnel (et, le cas échéant, de la gestion des outils informatiques éventuellement confiés à ce personnel), l’employeur va par conséquent lister les agents et leur position.Ce traitement ne pose a priori pas de problème, puisqu’il est nécessaire à l’organisation de la continuité de l’activité, ce qui constitue une base de licéité en tant qu’intérêt légitime de l’employeur au sens de l’article 6 du RGPD (Reg. UE Parl. et Conseil 2016/679, 27 avril 2016 ; F. Mattatia, Traitement de données personnelles : détermination de la base de licéité et conséquences, JCPA 2019, 2048).

L’employeur peut également décider de procéder à un éventuel recensement des agents infectés par le coronavirus,ou de ceux ayant côtoyé une personne infectée, ce qui va nécessiter un examen plus approfondi. Tout d’abord, il faudra déterminer la base de licéité de ce traitement, au sens de l’article 6 du RGPD. Celle-ci pourra être, comme ci-dessus, l’intérêt légitime de l’employeur consistant à assurer la sécurité de ses agents ; mais on pourrait également envisager la sauvegarde des intérêts vitaux des personnes côtoyées. Notons que le choix de l’une ou de l’autre solution aura des conséquences dans les droits des agents concernés : si la sauvegarde des intérêts vitaux est retenue, les agents ne disposent pas d’un droit d’opposition, tandis que si c’est l’intérêt légitime de l’employeur qui est retenu, les agents peuvent s’opposer au traitement pour des raisons tenant à leur situation particulière (et non pour des raisons de principe : ils doivent montrer en quoi le traitement impacte concrètement leurs droits (CE, 18 mars 2019, n° 406313, Lebon T. ; JCPA 2019, act. 209).Toutefois, dans ce cas, l’employeur peut refuser l’opposition s’il démontre qu’il existe des motifs impérieux et légitimes qui prévalent sur les intérêts et les droits et libertés de la personne concernée.

Par ailleurs, savoir qu’un agent est malade ou dépisté positif constitue une donnée de santé, et les traitements de données de santé figurent parmi les traitements ne pouvant être mis en oeuvre que dans certaines situations précises (RGPD, art. 9).

La Semaine Juridique – Administrations et collectivités territoriales

La revue des acteurs publics

Inclus dans votre abonnement : l’accès sur tablette, smartphone et en version web

AUTEUR(S) : Hélène Pauliat, Didier Jean-Pierre, Florian Linditch, Philippe Billet et Michaël Karpenschif.