Actualité
|
Pandémie grippale : déployer un plan de continuité de l’activité conforme à la réglementation Informatique et libertés
|
Par l’ampleur de ses conséquences, la grippe pandémique peut constituer une menace redoutable, non seulement sur le plan humain, mais aussi sur le plan économique. Conscientes que les perturbations susceptibles d’affecter les activités économiques, en cas de pandémie grippale, peuvent être limitées par des actions de préparation en amont, la majorité des entreprises et collectives territoriales établissement actuellement, sous l’impulsion des pouvoirs publics, un plan de continuité d’activité (PCA), afin de faire face à une épidémie grippale de grande ampleur. L’élaboration d’un PCA, ayant pour objectif de maintenir l’activité au niveau le plus élevé possible tout en protégeant les personnels exposés, est d’ailleurs imposée aux administrations de l’Etat et établissements publics placés sous sa tutelle par la circulaire du 3 juillet 2009.
Dans le cadre de la préparation et de la mise en place de leur plan de continuité, en cas de passage de la France en niveau d’alerte 6 concernant le virus H1N1, ces entités vont être amenées à collecter des données à caractère personnel concernant leurs salariés. Cette collecte, bien que légitime et recommandée par la fiche technique G.1, intitulée « Recommandations aux entreprises et aux administrations pour la continuité des activités économiques et des services publics et la prévention sanitaire en période de pandémie », accompagnant la circulaire du 3 juillet dernier précitée, doit être entourée de précautions et réalisée dans le respect des exigences issues de la réglementation Informatique et libertés. La conformité du traitement ainsi déployé à la réglementation Informatique et libertés impose en effet, sous peine de sanctions pénales pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende, la mise en œuvre des sept actions suivantes :
A1 : réaliser les formalités préalables nécessaires auprès de la Cnil. Si la collecte se borne à recenser les coordonnées personnelles des salariés, ainsi que le type de moyen de transport qu’ils utilisent, les fichiers ainsi constitués seront couverts par la déclaration du traitement de gestion du personnel, déposée auprès de la Cnil ou introduite dans la liste des traitements tenue par le Cil. En revanche, si le traitement opéré comporte des informations liées à la santé (nécessité d’un maintien à domicile durant la période pandémique en raison d’un handicap ou d’un facteur médical, état de santé du salarié contaminé, etc.) et/ou à la vie privée des personnes (disponibilité prévisible en cas de fermeture des crèches et des établissements scolaires, etc. ) une déclaration normale devra être réalisée auprès de la Cnil, sous réserve d’avoir recueilli le consentement exprès des personnes concernées à la collecte et au traitement de leurs données de santé. A défaut, le traitement sera soumis à autorisation préalable de la commission ;
A2 : recueillir le consentement exprès des salariés à la collecte et au traitement de données à caractère personnel relatives à leur santé. La mention de recueil du consentement devra figurer en bas des formulaires papiers ou électroniques de collecte de données ou dans un document remis aux salariés en caractères apparents (8 minimum) et être précédée d’une case à cocher ;
A3 : informer les salariés, notamment de la finalité du traitement, des destinataires des données (l’accès à ces données doit être exclusivement réservé aux personnes habilitées du service des ressources humaines et/ou à la cellule de crise constituée au sein de l’entreprise) et des droits qu’elles tiennent au titre de la loi Informatique et libertés ;
A4 : garantir aux personnes concernées un droit d’interrogation, d’accès, de rectification et d’opposition pour motifs légitimes ;
A5 : assurer la sécurité et la confidentialité des données. Toutes les mesures doivent être prises pour garantir la confidentialité des données, s’agissant en particulier de leurs modalités de recueil (renvoi direct sous pli ou par mail à la personne désignée au sein du service des ressources humaines) ;
A6 : déterminer une politique de durée de conservation des données ;
A7 : encadrer, le cas échéant, les flux transfrontières de données.
Circulaire DGT 2009/16du 3 juillet 2009
(Mise en ligne Septembre 2009)
Chloé Torres
Avocate, Directrice du département Informatique et libertés
