Compte-tenu de la situation exceptionnelle du Covid-19, la loi d’urgence sanitaire donne droit à l’employeur d'imposer certains congés ou jours de RTT avec un délai de prévenance raccourci. Mais quelles informations personnelles l'employeur peut-il demander au salarié ? Doit-il obtenir son consentement ? Combien de temps doit-il conserver les données ?
Il n’existe pas à notre connaissance de délibération de la CNIL à laquelle se référer et qui permettrait d'encadrer les requêtes exceptionnelles des DRH. Il y a pourtant un texte paru lors d’une pandémie grippale importante en 2009. La CNIL avait adopté une délibération (Cf.n°2009-476 du 10 septembre 2009 décidant (…) de traitements de données à caractère personnel mis en œuvre dans le cadre de plans de continuité d’activité relatifs à une pandémie grippale (…) Il existe une certaine similitude entre les deux situations, hormis le degré de gravité sanitaire qui est nettement plus élevé en 2020. Ce qui est intéressant dans la délibération de 2009, c’est l’approche méthodique d'analyse du traitement exceptionnel accordé à l’employeur et les limites dans les catégories de données recueillies et les limites de conservation. La délibération de 2009 limitait le traitement à une contribution à l'élaboration d'un plan de continuité d’activité (PCA). Le cadre actuel relève d’une ordonnance rendue le 25 mars 2020 par le gouvernement, et donne de mon point de vue une finalité et des sous-finalités plus larges au traitement exceptionnel pouvant être mis en oeuvre. La délibération du 10 septembre 2009 considère alors comme "facultatif" le recueil des informations traitées. Dans la situation actuelle, nettement plus grave, l'employeur peut à mon sens exiger des données à caractère personnel en s'appuyant sur le droit que lui confère le gouvernement d’imposer des congés avec un délai de prévenance réduit. Pour exercer pleinement ce droit, l’employeur doit nécessairement disposer des données nécessaires. De la même façon, cela doit le dispenser de solliciter le consentement du salarié. Une information de l’existence du traitement informatique et de sa finalité suffit aux salariés, de même qu'ils doivent être informés des destinataires des informations et des modalités pratiques d’exercice de leur droit d’accès aux informations qui les concernent.
La délibération du 10 septembre 2009 limitait le traitement à certaines données, d’identification, de compétences informatiques pour le télétravail, d’environnement familial pouvant compliquer le travail et la garde d'enfants. Cet encadrement me semble toujours globalement pertinent et ne me parait pas antinomique avec le RGPD. La délibération du 10 septembre 2009 fixe une limite pour la durée de conservation des données quand elle exige qu'elles doivent être détruites dès que la situation épidémiologique de la France se conclut. Enfin, le responsable du traitement est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. La délibération du 10 septembre 2009 rappelle que la CNIL se réserve le droit de contrôler a posteriori le respect des dispositions de la présente délibération. Il en sera de même, très probablement, à l’issue de cette crise sanitaire.