Lina Fassi-Fihri : «Informez et (re) sensibilisez les employés aux problématiques de données personnelles»

• Tout employeur peut collecter des données de santé afin de respecter son obligation légale de sécurité vis-à-vis de ses employés.
• La loi n° 09-08 prévoit des obligations en la matière qu’il faut respecter, notamment le fait que ce traitement soit fait sur une durée limitée, le temps de cette crise sanitaire.

L’employeur a l’obligation d’assurer la santé et la sécurité de ses salariés et dans ce contexte spécifique du Covid-19, il doit donc prendre des mesures pour prévenir et éviter les contaminations. Me Lina Fassi-Fihri, associée gérante au sein du cabinet LPA-CGR à Casablanca, détaille les principales dispositions concernant la protection des données, notamment les données de santé.

• La Covid-19 pointe notamment le doigt sur les données de santé, considérées comme sensibles et devant faire l’objet d’une attention particulière. Pouvez-vous nous rappeler de quels traitements de données s’agit-il ?
Les données de santé sont des données dites sensibles selon la loi n° 09-08 relative à la protection des données personnelles. Ce sont les «données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale de la personne concernée ou qui sont relatives à sa santé, y compris ses données génétiques».
Les données sensibles font l’objet d’une protection particulière, c’est-à-dire que le législateur a voulu renforcer les obligations à la charge du responsable de traitement qui souhaite utiliser de telles données. Il faut normalement une autorisation préalable délivrée par la Commission nationale de contrôle de la protection des données personnelles (CNDP) qui vérifie les conditions dans lesquelles sont traitées ces données, telles que prévues par les articles 12 et 21 de la loi.

• Quelle est la responsabilité de l’employeur ? Est-ce que l’entreprise a le droit de collecter les données de santé de ses salariés ?
L’employeur a l’obligation d’assurer la santé et la sécurité de ses salariés et dans ce contexte spécifique du Covid-19, il doit donc prendre des mesures pour prévenir et éviter les contaminations. Donc, oui, un employeur peut collecter des données de santé afin de respecter son obligation légale de sécurité vis-à-vis de ses employés. Mais ceci doit être encadré, la loi n° 09-08 prévoit des obligations en la matière qu’il faut respecter.

• Que dit la loi et la Commission nationale de contrôle des données à caractère personnel à ce sujet ?
Sur le sujet particulier de la prise de température, la CNDP a émis une délibération n°D-106-EUS/2020 le 23 avril 2020 qui détaille les conditions et qui prévoit une autorisation simplifiée délivrée pour ce traitement. La commission a précisé que ce traitement est légal de manière exceptionnelle en ce contexte d’état d’urgence sanitaire.
La finalité de ce traitement est le contrôle d’accès à des fins de sécurité sanitaire et sa légalité est l’intérêt légitime de l’employeur. La CNDP recommande l’information des personnes concernées et non pas leur consentement préalable, ce qui est un assouplissement par rapport à la loi, et que ce dispositif soit fait sous le contrôle du service de médecine du travail, incluant la possibilité de conserver les données pour faire une courbe historique.
Enfin, pour les entreprises qui dépendent d’une structure étrangère, seul le représentant établi au Maroc est habilité à traiter les données relatives à la prise de température dans le respect des termes édictées par ladite délibération. Il ne faut pas de transfert de ces données vers l’étranger.

• Il est toujours possible de responsabiliser les employés en les incitant à remonter de manière volontaire les informations les concernant. Comment l’entreprise peut-elle communiquer sur le sujet auprès de ses salariés ?
Bien sûr, il faut une mise en conformité au regard des lignes directrices récemment promulguées par la CNDP, mais il est possible de faire appliquer des bonnes pratiques dans son entreprise et responsabiliser ses employés en les incitant à remonter de manière volontaire les informations les concernant et qui peuvent mettre en danger leurs collègues. Pour cela, l’employeur doit donner des consignes et instructions claires relatives aux situations dans lesquelles les employés se doivent de remonter les informations les concernant et aménager un canal de communication dédié. Il est possible de mettre en place des questionnaires et de nommer un ou plusieurs référents Covid qui vont veiller à tous les aspects de prévention et aussi être le point de contact des salariés et les orienter vers le service de médecine du travail.

• Que faire en cas de refus d’un salarié ?
Toute personne dispose de droits quant à la collecte de ses données personnelles (le droit d’accès, d’information, de rectification et d’opposition) mais ces droits sont parfois limités lorsque la finalité de cette collecte est légitime et répond à une obligation légale. Dans ce cas, l’obligation de sécurité incombe à l’employeur. Si l’employé refuse sans juste motif de respecter les instructions de l’employeur visant à limiter la propagation du virus et à protéger ses collègues, il est possible de le sanctionner.
La CNDP dans la délibération précitée a évoqué la «possibilité à l’employeur de refuser l’accès à ses locaux à toute personne refusant cette prise de température, à condition toutefois de ne point constituer une mesure discriminatoire à l’égard de la personne concernée, mais visant à préserver la santé de la collectivité».

• Avec l’explosion rapide du nombre de personnes travaillant à domicile, comment gérer les imprévus en matière de protection des données ?
En premier lieu, il faut vérifier les équipements utilisés. Il faut déterminer si ses employés utiliseront leurs propres ordinateurs ou si l’entreprise est en mesure de fournir des équipements incluant l’installation d’un pare-feu, d’un anti-virus et d’un outil de blocage d’accès à des sites malveillants, ainsi que l’installation d’un VPN.
Ensuite, il est également nécessaire d’informer et de sensibiliser les employés aux problématiques de données personnelles et de rappeler les mesures de sécurité relatives à la confidentialité des codes d’accès, les précautions à prendre lors de la réception de mails provenant de sources inconnues et contenant des pièces jointes. Il faut également être vigilant dans le choix des outils de visioconférence et encadrer leur bonne utilisation et celle des messageries.
Il est utile de rédiger une charte de télétravail incluant les attentes en matière de sécurité et rappelant les obligations des employés. C’est également ce que recommande la CNDP dans sa délibération n° D-107-EUS/2020 du 23/04/2020 sur le télétravail dans le secteur de la Relation client. La commission recommande l’élaboration d’une charte de télétravail qui peut être un avenant à la charte informatique. Encadrer le télétravail par une documentation semble indispensable, d’autant plus que plusieurs entreprises ont annoncé vouloir conserver durant plusieurs mois ou peut être de manière définitive ce mode de travail.