L’application de la loi Informatique et libertés à la pandémie grippale

De nombreuses entreprises et collectivités territoriales établissement actuellement, sous l’impulsion des pouvoirs publics, un plan de continuité d’activité (PCA), afin de faire face à une épidémie grippale de grande ampleur. L’élaboration d’un PCA ayant pour objectif de maintenir l’activité économique au niveau le plus élevé possible tout en protégeant les personnels exposés, est d’ailleurs imposé aux administrations de l’Etat et établissements publics placés sous sa tutelle par la circulaire du 3 juillet 2009. Dans le cadre de la préparation et de la mise en place de leur plan de continuité, en cas de passage de la France en niveau d’alerte 6, concernant le virus H1N1, ces entités vont être amenées à collecter des données à caractère personnel concernant leurs salariés.

Cette collecte, bien que légitime et recommandée par la fiche technique G.1, intitulée « Recommandations aux entreprises et aux administrations pour la continuité des activités économiques et des services publics et la prévention sanitaire en période de pandémie », accompagnant la circulaire, doit être entourée de précautions et réalisée dans le respect des exigences issues de la loi Informatique et libertés.

La conformité du traitement à la loi impose, sous peine de sanctions pénales pouvant aller jusqu’à 5 ans de prison et 300 000 euros d’amende, les actions suivantes :

  • A1 : réaliser les formalités préalables auprès de la Cnil. Si la collecte se borne à recenser les coordonnées personnelles des salariés, ainsi que les moyens de transport utilisés, les traitements sont couverts par la déclaration Cnil de gestion du personnel ou introduits dans la liste des traitements tenue par le Cil. Pour la collecte d’informations liées à la santé, une déclaration normale doit être faite à la Cnil, sous réserve d’avoir recueilli le consentement exprès des salariés concernés. A défaut, le traitement sera soumis à autorisation préalable de la commission ;
  • A2 : recueillir le consentement exprès des salariés à la collecte et au traitement des données relatives à leur santé ;
  • A3 : informer les salariés notamment de la finalité du traitement, des destinataires des données et des droits qu’ils tiennent au titre de la loi Informatique et libertés ;
  • A4 : garantir aux personnes concernées un droit d’interrogation, d’accès, de rectification et d’opposition pour motifs légitimes ;
  • A5 : assurer la sécurité et la confidentialité des données, s’agissant en particulier de leurs modalités de recueil (renvoi direct sous pli ou par mail à la personne désignée au sein du service des ressources humaines) ;
  • A6 : déterminer une politique de durée de conservation des données ;
  • A7 : encadrer, le cas échéant, les flux transfrontières de données.
  • Circulaire DGT 2009/16 du 3-7-2009