L’effacement des données des employés collectées lors de la pandémie de Covid-19 : une exigence excessive ou une nécessité ?

et , le 4 juin 2022
Sur un fond de règle­men­ta­tion toujours plus stricte en matière de protec­tion des données, quelles sont les obli­ga­tions de l’employeur s’agissant des données person­nelles de travailleurs collec­tées pendant la pandé­mie de Covid-19 ? L’employeur ne saurait trai­ter de telles données qu’en appli­ca­tion des prin­cipes de néces­sité et mini­mi­sa­tion de trai­te­ment, y compris lorsqu’il s’agit de la conser­va­tion de telles données.

Introduction

Durant la pandé­mie de Covid-19, les employeurs ont dû adop­ter des mesures sani­taires spéci­fiques, lesquelles ont impli­qué la collecte et le trai­te­ment d’une quan­tité impor­tante de données person­nelles et sensibles rela­tives à leurs employés.

Les pres­crip­tions sani­taires fédé­rales et canto­nales abro­gées, qu’adviendra-t-il de ces données ? Les employeurs peuvent-ils les conser­ver, respec­ti­ve­ment en trai­ter d’autres en vue d’une nouvelle vague de Covid ? Il convient de faire un point – et surtout un tri – sur les données collec­tées au cours des deux dernières années par les employeurs.

Données collec­tées pendant la pandémie

Dans le contexte du Covid-19, les données collec­tées par les employeurs l’ont été de manière présu­mée licite puisqu’elles ont été néces­saires à l’évaluation de l’aptitude du travailleur à exécu­ter son emploi (art. 328b CO). Cette apti­tude a dû s’évaluer à la lumière des mesures sani­taires adop­tées par le Conseil fédé­ral et la collecte de telles données a permis à l’employeur d’attester le respect des pres­crip­tions de droit public alors en vigueur.

Les données collec­tées (données Covid-19) ont porté tant sur la vie profes­sion­nelle du travailleur – notam­ment listes de présence, travail à distance, réduc­tion de l’horaire de travail, dépis­tages ciblés et répé­tés – que sur sa vie person­nelle – notam­ment le statut vacci­nal, l’état de santé, le certi­fi­cat Covid (en prin­cipe light), les lieux de présence durant les vacances en fonc­tion des régions à risque, etc.

De manière géné­rale, les prin­cipes de propor­tion­na­lité, de bonne foi et de fina­lité (art. 4 al. 2 et 3 LPD) s’appliquent aux données trai­tées par l’employeur, y compris lorsque ce trai­te­ment s’inscrit dans le champ de l’article 328b CO (TF 4A_​518/​2020 du 25 août 2021 consid. 4.2.4). Tel a égale­ment été le cas pendant la période couverte par les Ordonnances Covid-19.

En vertu de ces prin­cipes, et ceci même en période de pandé­mie, le droit de collec­ter et de trai­ter n’implique pas néces­sai­re­ment le droit de conser­ver pour une durée illimitée.

Fin des mesures Covid-19

Depuis le 1er avril 2022, les dernières mesures de l’Ordonnance Covid-19 situa­tion parti­cu­lière ont été levées.

La levée des mesures a entraîné avec elle la dispa­ri­tion de la fina­lité pour­sui­vie par l’employeur pendant la période de Covid-19, ce qui a pour corol­laire, sauf situa­tion parti­cu­lière, l’absence de néces­sité à la conser­va­tion de ces données.

Si un doute pouvait subsis­ter quant à la néces­sité de conser­ver certaines données en période de pandé­mie, la levée des mesures a fait dispa­raître les motifs justi­fiant leur conser­va­tion. Non seule­ment aucune obli­ga­tion de droit public liée à la pandé­mie ne justi­fie que l’employeur conserve les données collec­tées, mais surtout l’aptitude du travailleur à exécu­ter son emploi ne dépend plus de quelque mesure sani­taire que ce soit. Bien que l’employeur reste tenu de proté­ger la person­na­lité de ses employés (art. 328 CO et 6 LTr), la conser­va­tion des données Covid-19 n’est plus justi­fiée, ceci même si ces données ont été collec­tées avec le consen­te­ment de la personne concernée.

À l’instar de ce qui prévaut lorsque l’employeur souhaite préve­nir une épidé­mie de grippe saison­nière, ce dernier ne peut pas, aujourd’hui, conser­ver de telles données au motif de la préven­tion du Covid-19.

Dans l’hypothèse où un travailleur était parti­cu­liè­re­ment vulné­rable, il lui incom­be­rait de solli­ci­ter des mesures spéci­fiques de protec­tion auprès de son employeur, sur la base de l’art 328 CO. Si une résur­gence du Covid-19 est à craindre, les mesures adéquates et la collecte de données conforme au prin­cipe de fina­lité et de propor­tion­na­lité devront être opérées en temps utile.

Lorsque les données portent sur la vie profes­sion­nelle, le respect d’autres obli­ga­tions de droit public de l’employeur peut justi­fier la conser­va­tion de celles-ci, dès lors qu’elles seront néces­saires à l’exécution du contrat de travail (art. 328b CO). Tel est par exemple le cas de la conser­va­tion de la liste des présences et de télé­tra­vail lorsque l’employeur doit attes­ter une réduc­tion de travail auprès d’institutions d’assurances sociales (tels que les RHT ou les APG) ou de l’établissement du certi­fi­cat de salaire (art. 127 al. 1 let. a LIFD). De telles hypo­thèses n’exemptent cepen­dant pas l’employeur d’observer le prin­cipe de mini­mi­sa­tion du trai­te­ment de données, à savoir de ne conser­ver que les données stric­te­ment néces­saires, de même que son devoir d’information rela­tif à l’étendue et à la fina­lité de la conser­va­tion (art. 4 LPD, 5 OLT3).

Sur le prin­cipe, l’employeur devra ainsi suppri­mer l’intégralité des données Covid-19 rela­tives à la vie person­nelle et intime de ses travailleurs et évaluer de cas en cas la néces­sité de conser­ver les données concer­nant leur vie profes­sion­nelle. À défaut et pour autant que l’atteinte à la person­na­lité revête une certaine gravité, tant de manière objec­tive que subjec­tive, le travailleur victime de l’atteinte pour­rait requé­rir la cessa­tion du trai­te­ment des données et, le cas échéant, prétendre au verse­ment d’une indem­nité fondée sur les articles 328, 328b et 49 al. 1 CO (TF 4A_​518/​2020 du 25 août 2021, consid. 4.2.5).

Situations parti­cu­lières

Certaines excep­tions doivent être recon­nues au prin­cipe de suppres­sion des données rela­tives à la vie person­nelle et qui ont été collec­tées dans le cadre de la pandé­mie Covid-19. Tel est le cas s’agissant de travailleurs actifs dans des domaines parti­cu­liers, tel que celui de la santé, ou de travailleurs dont l’accomplissement des tâches implique de voya­ger dans des pays soumis à des restric­tions sanitaires.

Dans le domaine de la santé, l’obligation de l’employeur de proté­ger la santé des travailleurs (art. 6 LTr, OLT1, OLT2 et OPA) et son devoir de dili­gence dans la prise en charge des patients par des auxi­liaires impliquent une dili­gence stricte de la part de l’employeur. Dans un contexte d’exposition accrue, l’employeur qui collecte et conserve des données de travailleurs, rela­tives à leur statut vacci­nal, à leur état de santé ou encore à une conta­mi­na­tion par un proche, honore son obli­ga­tion de protec­tion vis-à-vis de ces employés (art. 6 LTr, OLT1, OLT2 et OPA) et s’assure de la bonne exécu­tion du mandat de prise en charge de ses patients. La collecte et la conser­va­tion de données Covid-19, même sensibles, paraît ici licite au sens de l’article  328b CO, pour autant que les prin­cipes pres­crits à l’article 4 LPD demeurent respec­tés et que les données concer­nées soient réduites au strict mini­mum, au besoin caviar­dées, qu’une poli­tique interne claire en matière de conser­va­tion et d’accès à ces données soit adop­tée, et que le devoir d’information, voire de consul­ta­tion soit observé (art. 5 et 6 OLT 3).

S’agissant des travailleurs exer­çant une acti­vité impli­quant de voya­ger dans des pays où des restric­tions sani­taires et des exigences rela­tives, par exemple, au statut vacci­nal, sont encore en vigueur, l’employeur pourra légi­ti­me­ment collec­ter de telles données afin d’évaluer l’aptitude d’un certain travailleur à exécu­ter son emploi (art. 328b CO). Le trai­te­ment de ces données devra néan­moins toujours s’opérer confor­mé­ment au prin­cipe de propor­tion­na­lité en ce sens que l’information peut être solli­ci­tée, mais elle ne pourra être conser­vée qu’à la condi­tion qu’elle soit conti­nuel­le­ment néces­saire à la bonne exécu­tion du contrat. Dans l’hypothèse où le travailleur ne serait amené à se dépla­cer que dans des lieux où le statut vacci­nal n’a aucun effet sur le séjour, l’employeur devra spon­ta­né­ment procé­der à l’effacement de ces données.

Conclusion

Compte tenu de la quan­tité de données, surtout sensibles, collec­tées par l’employeur durant la période de pandé­mie, un tri s’impose inévi­ta­ble­ment. Au stade de ce tri, il convient de distin­guer les données rela­tives à la vie person­nelle des données rela­tives à la vie profes­sion­nelle. Si les secondes peuvent encore être conser­vées à des fins parti­cu­lières et moyen­nant le respect des prin­cipes de propor­tion­na­lité et de fina­lité ainsi que l’accomplissement du devoir d’information, les premières doivent en prin­cipe être inté­gra­le­ment détruites.

Font excep­tion à ce prin­cipe les données de travailleurs actifs dans un domaine spéci­fique – prin­ci­pa­le­ment le domaine de la santé – ou qui exercent leur travail de façon parti­cu­lière. Dans de telles hypo­thèses, l’adoption d’une règle­men­ta­tion interne circons­tan­ciée ne consti­tuera plus unique­ment une good prac­tice mais bien plutôt une exigence sous l’angle de la néces­sité du trai­te­ment et de la sécu­rité des données.



Proposition de citation : Nina Aguiar / Kevin Guillet, L’effacement des données des employés collectées lors de la pandémie de Covid-19 : une exigence excessive ou une nécessité ?, 4 juin 2022 in www.swissprivacy.law/149


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
swissprivacy.law