La collecte de données de santé par l’employeur est interdite
S'il appartient à chacun de mettre en œuvre des mesures adaptées à la situation telles que, la limitation des déplacements et des réunions ou encore le respect des mesures d'hygiène et des « gestes barrière », les employeurs ne sauraient prendre de mesures susceptibles de porter une atteinte disproportionnée à la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d'exposition au virus aux fins de protéger les employés et le public.
Ce principe, rappelé par la CNIL, est énoncé également par l'article L. 1121-1 du Code du travail qui dispose que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».
C'est-à-dire, que l'employeur ou le service des ressources humaines n'a pas le droit de posséder des informations médicales sur le personnel, excepté dans le cas d'un accident du travail ou d'une maladie professionnelle, dont l'entreprise serait responsable. En effet, ce sont des données à caractère sensible, elles sont donc interdites de traitement.
Ainsi, les employeurs ne peuvent eux-mêmes mettre en place de fichiers relatifs à la température corporelle de leurs employés, à leurs résultats aux tests PCR ou sanguins ou encore à certaines pathologies, les « comorbidités », susceptibles de constituer des troubles aggravants en cas d'infection au Covid-19.
La CNIL rappelle par ailleurs que la réglementation sur les traitements de données ne s'applique qu'aux traitements automatisés (notamment informatiques) ou aux traitements non automatisés qui permettent de constituer des fichiers.
Ainsi, la seule vérification de la température au moyen d'un thermomètre manuel (tel que par exemple de type infrarouge sans contact) à l'entrée d'un site, sans qu'aucune trace ne soit conservée, ni qu'aucune autre opération ne soit effectuée (tels que des relevés de ces températures, des remontées d'informations, etc.), ne relève pas de la règlementation en matière de protection des données.