Retour au resto, retour au bureau ?

Beyond - RGPD - News / 17 mai 2021

Avec la réouverture des bars et la levée du couvre-feu, la vie reprend petit à petit son cours « normal ». De leur côté, les employeurs songent à accueillir à nouveau les employés sur leur lieu de travail et aspirent à la levée de l’obligation du télétravail ou, à tout du moins, à quelques assouplissements sur ce plan. Ces assouplissements semblent se concrétiser et font d’ailleurs partie des mesures avancées dans le plan de sortie (encore provisoire à ce stade) présenté par le gouvernement belge ce 11 mai. Telles que les choses se présentent actuellement, cette obligation devrait, dès le 1er juillet, être assouplie jusqu’à devenir à une forte recommandation, à condition que la propagation du virus demeure sous contrôle et que la stratégie de vaccination suive son cours.

Dans ce contexte, les employeurs se posent certaines questions, notamment celle de savoir si la vaccination des employés ou les données de dépistage (testing) du Covid pourraient encadrer leur retour progressif dans les entreprises. Cette question appelle un tas de considérations juridiques, notamment en matière de protection des données. Dans les lignes qui suivent, nous nous penchons brièvement sur la qualification juridique qui est réservée, en droit de la protection des données, aux données de vaccination et dépistage, ainsi que sur les conséquences qu’impliquent la qualification de ces données pour les employeurs.

Retour au resto, retour au bureau ? - Beyond Law Firm
  • Qualification sous le RGPD

La toute première question à laquelle il convient de répondre est celle de la qualification juridique qui est attachée, en droit de la protection des données, aux données de vaccination ou de dépistage. Le Règlement Général sur la Protection des Données (« RGPD ») définit les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable. Les données à caractère personnel appellent plusieurs considérations juridiques, notamment celle qui prévoit que les données à caractère personnel peuvent uniquement être traitées pour des finalités déterminées (article 5(1) (b) RGPD) et que le traitement doit reposer sur une base juridique rattachée à cette finalité (article 6 RGPD).

Tout ceci est sans compter que les données de vaccination et de dépistage ne peuvent être qualifiées de simples données à caractère personnel, mais appartiennent à la catégorie des données qualifiées de sensibles. C’est notamment le cas des données concernant la santé, qui dévoilent des informations relatives à l’état de santé d’un individu. Les données qualifiées de sensibles se voient accorder une protection supplémentaire sous le RGPD ; leur traitement est a priori interdit, à moins d’y attacher une base juridique supplémentaire (article 9(2) RGPD).

Dans le cadre de la relation de travail, deux catégories de bases juridiques pourraient potentiellement être retenues.

  • Le consentement explicite

Le traitement de données sensibles pourrait tout d’abord être fondé sur le consentement explicite de l’employé (article 9(2) (a) RGPD). Il convient toutefois directement de préciser que, dans le cadre d’une relation de travail, la validité du consentement sera généralement mise à mal par le déséquilibre présumé de pouvoir entre l’employeur et ses employés. L’employé n’aura souvent d’autre choix que de consentir au traitement de ses données, de peur que son refus ne provoque un retour de flammes de son employeur. Le même raisonnement s’applique au partage, par l’employé, de ses données de vaccination ou de dépistage. Au sein de l’UE, les autorités compétentes en matière de protection des données sont d’ailleurs d’avis que le consentement ne pourrait être retenu comme base juridique pour le traitement de ces données. Des exceptions sont toutefois toujours envisageables.

Pour cette raison, le traitement de données de vaccination et de dépistage qui serait, dans le cadre de la relation de travail, fondé sur le consentement, doit s’apprécier au cas par cas, en tenant compte de la finalité particulière pour laquelle ces données seraient recueillies. Il n’empêche que, dans la plupart des cas, le traitement qui est fondé sur cette base juridique devra être considéré illicite.

  • Le droit de l’Union européenne et des Etats Membres

Le traitement des données de vaccination ou de dépistage pourrait également résulter, dans le cadre d’une relation de travail, d’une source législative. Cette dernière pourrait être édictée tant au niveau européen qu’au niveau national. Cette source législative pourrait trouver son fondement dans (1) le droit du travail, de la sécurité ou de la protection sociale, ou une convention collective (article 9(2) (b) RGPD), ou (2) dans la législation en matière de médecine préventive ou de médecine du travail (article 9(2) (h) RGPD).

Dans les deux cas, il n’existe pour l’instant aucune base légale qui autoriserait le traitement de données de vaccination et de dépistage des employés dans le but, par exemple, de gérer leur retour progressif en présentiel sur le lieu de travail. Ceci n’empêche pas les législateurs belge et européen d’examiner toute une série d’options visant l’utilisation de ces données, notamment l’introduction d’un passeport vaccinal. À terme, ceci pourrait résulter en l’adoption de législation au niveau belge ou européen, autorisant l’utilisation de ces données par les employeurs. À ce stade toutefois, il n’y a pas encore d’indices sur les termes d’une telle législation pour ce qui concerne les données sensibles des employés, ni pour ce qui concerne par exemple le dépistage des employés en vue de leur retour progressif en présentiel sur le lieu de travail.

  • Conclusion

En raison de la qualification particulière des données de vaccination et de dépistage ainsi que de la nécessité de faire reposer le traitement de ces données sur une base juridique supplémentaire, il est recommandé aux employeurs d’examiner attentivement l’opportunité du traitement de telles données, par exemple afin de gérer un retour progressif en présentiel sur le lieu de travail.

À y regarder de plus près, les deux bases juridiques envisagées ci-dessus n’apparaissent pas comme permettant le traitement licite des données de vaccination et de dépistage. Pour cette raison, et au moment où nous publions ces quelques lignes, les employeurs ne sont en règle pas autorisés à traiter de telles données sensibles relatives à leurs employés.

Des évolutions législatives ne sont toutefois pas exclues et le traitement de telles données pourrait donc devenir licite à l’avenir. Nous vous tiendrons au courant de toute évolution en ce sens et adapterons notre article en fonction.

 

 

Tous les commentaires et toutes les analyses repris sur notre blog ont une vocation purement informative et n’ont pas valeur d’avis juridique.

Si vous avez la moindre question ou souhaitez prendre contact avec nous, vous pouvez nous envoyer un e-mail à info@beyond-lawfirm.com. Nous vous répondrons dans les plus brefs délais !

Auteur : Pedro Demolder