Catégories :
GDPRSécurité

Ce post est écrit par Arno

Les différents gouvernements mettent en place, peu à peu, leur stratégie de sortie de crise sur le déconfinement. C’est le bon moment pour vous aussi, en tant qu’entreprise, de préparer le redémarrage de vos activités vers la « nouvelle normalité ». Outre les nombreuses questions pratiques, on remarque que les questions relatives à la vie privée sont de plus en plus nombreuses. Que pouvez-vous demander à vos employés pour assurer un redémarrage en toute sécurité et le meilleur possible ? Beaucoup de points en suspens, mais une chose est claire : lors de la planification de la reprise, comme à chaque autre étape, le respect de la vie privée entre en jeu.

Le GDPR existe-t-il encore ?

Oui, bien sûr ! Le règlement général sur la protection des données, alias RGPD ou GDPR, est désormais bien établi dans tous les pays européens. Cependant, le RGPD n’a pas été rédigé en prenant en compte la situation exceptionnelle liée à une pandémie. Et si les citoyens semblent, pour l’heure, de plus en plus disposés à renoncer à une partie de leur vie privée, cela ne signifie pas que vous devez en profiter en tant qu’entreprise. Au contraire !

Dispositions légales

Selon ce règlement européen, vous devriez disposer d’une base de données conforme aux exigences RGPD pour le stockage et l’utilisation des données personnelles de vos clients, prospects, salariés, etc. Les données médicales, quant à elles, relèvent même de la « situation d’exception », encore plus stricte. Ce dont COVID-19 fait sans aucun doute partie. Après tout, les données médicales sont hautement sensibles et confidentielles.

La réalité

La réalité, bien sûr, n’est pas si simple. Tout d’abord, parce que nous sommes confrontés à une situation inédite. Les entreprises, les gouvernements, les citoyens et même les experts agissent au mieux de leurs capacités selon les données connues à un instant T.

Deuxièmement, un vrai dilemme se pose : dans quelle mesure la vie privée prime-t-elle sur l’intérêt général et la santé des citoyens ? Il s’agit d’une question plus éthique et morale, car le RGPD pourrait aussi aborder cette question sous forme de l’intérêt public, telle que la protection contre les graves menaces sanitaires transfrontalières.

Enfin, il dépendra des différentes autorités de savoir ce que vous pouvez et pouvez faire. Au cours de cette crise, les différents gouvernements ont pris les mesures qu’ils jugeaient adéquates en fonction de l’urgence de la situation dans leur pays. Il en sera de même pour la stratégie de sortie et l’impact sur le redémarrage de vos activités.

COVID-19 et respect de la vie privée : ces questions sans réponse

Au moment de la rédaction de cet article, beaucoup de choses ne sont pas encore claires. De nombreux pays déploient une stratégie de sortie, mais tous de manière différente et avec des calendriers différents. Il est presque certain que des applications Coronavirus seront lancées. Avec quel cadre juridique ? Comment respecter la vie privée de chacun ? La discussion est encore animée. Et même si ce ne sera probablement pas l’outil magique, ces applications de traçage des personnes contaminées est une situation qui doit être étudiée.

Quelques règles de base

Si elles le pouvaient, toutes les entreprises préféreraient redémarrer leur activité au plus vite. Mais, cela doit se faire en toute sécurité et dans le respect de la vie privée des employés. Nous aimerions vous donner quelques règles de base qui s’appliquent en cas de maladie, et non pas spécifiquement que pour le COVID-19 :

  • Vous pouvez enregistrer un arrêt maladie, mais pas le type de maladie en tant que tel. Donc ni COVID-19, ni autre.
  • Une communication interne concernant l’employé concerné ne peut et ne doit pas faite. Ou alors l’employé en question doit avoir donné une autorisation explicite à cet effet.
  • Bien qu’il s’agisse d’une mesure appliquée par certains, en tant qu’employeur, vous n’êtes pas habilités à vérifier la température de vos employés avant qu’ils n’entrent dans la société. Sauf si vous avez un médecin d’entreprise. En règle générale, il faut garder à l’esprit que les diagnostics médicaux ne peuvent être faits que par le corps médical.

La confiance vient des deux côtés

Tout cela semble contradictoire. D’une part, vous êtes responsable d’un redémarrage en toute sécurité et dans des conditions saines. Et d’autre part, vous êtes limité en termes de vie privée (médicale).

En fin de compte, le RGPD concerne le traitement des données personnelles. Cela ne vous empêche pas de communiquer de manière ouverte et transparente avec vos employés. Si vous avez connaissance d’un employé qui est ou a été infecté, nous vous recommandons même de montrer votre implication, votre soutien. Tant que vous ne vous enregistrez pas cette donnée personnelle et ne la communiquez pas, ce n’est pas un problème.

Comme nous l’avons écrit la semaine dernière dans notre article sur l’importance d’une communication appropriée en temps de crise, il est au moins aussi important que vous continuiez à le faire pendant la reprise. Une culture ouverte et transparente est souhaitable pour un bon redémarrage de vos activités. Et ayez confiance en vos collaborateurs, ils sont en mesure de surveiller leur état de santé et de prendre leurs responsabilités quant aux actions à suivre.

Pour aller plus loin : vous souhaitez en savoir plus sur la protection de la vie privée et le redémarrage après la crise du COVID-19 ? Inscrivez-vous à notre webinar Efficy « parole d’expert » le mercredi 13 mai avec Clément Bauduin, délégué à la protection des données (DPO) certifié. Webinar en anglais. S’inscrire.

GDPR Sécurité