Voir toutes nos fiches conseils
Dossier spécial Coronavirus (COVID-19)

Coronavirus (Covid-19) : la question des données personnelles

Rédigé par l'équipe WebLex.

Face à l’état d’urgence sanitaire liée au coronavirus (Covid-19) et aux mesures prises pour lutter contre sa propagation, la CNIL a tenu à rappeler ce qu’il est possible de faire ou de ne pas faire, notamment en ce qui concerne le traitement des données de santé par les employeurs…


Coronavirus (Covid-19) : la protection des données personnelles

Données personnelles. Lorsque nous utilisons des services en ligne, notre activité est associée à des identifiants en ligne (adresses IP, cookies, etc.). Ces données peuvent servir à créer des profils et à identifier les personnes, notamment pour leur proposer des biens et des services.

RGPD. Le traitement des données personnelles nécessite de respecter la Réglementation Générale sur la Protection des Données (RGPD) applicable depuis le 25 mai 2018. C’est la Cnil qui est chargée de contrôler le respect du RGPD.


Coronavirus (Covid-19) et données personnelles : ce qui est interdit

Les employeurs doivent prendre des mesures… Durant le temps de l’état d’urgence sanitaire, il est demandé aux employeurs de prendre des mesures adaptées pour limiter les déplacements et réunions des salariés ou pour respecter des mesures d’hygiène.

… proportionnées ! La Cnil tient à rappeler que les mesures prises par les employeurs ne doivent pas porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus.

Exemple. Ainsi, à titre d’exemple, les employeurs ont l’interdiction de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d'éventuels symptômes présentés par un employé et ses proches. Il n’est donc pas possible de mettre en œuvre :


A noter. Ces mesures ne peuvent pas être prises non plus à l’égard des clients et fournisseurs.

Données médicales. Concernant les tests sérologiques et questionnaires sur l’état de santé, ils conduisent à la collecte de données médicales, soumises donc au secret médical et relevant de la seule compétence des personnels de santé.


Coronavirus (Covid-19) et données personnelles : ce qui est autorisé

Les devoirs de l’employeur. L’employeur est responsable de la santé et de la sécurité des salariés de son entreprise. Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés.

Comment protéger ses salariés ? L’employeur peut notamment :


En cas de Covid-19. Si un salarié est suspecté d’être atteint du Covid-19, l’employeur peut :


Pourquoi ? La consignation de ces mesures est importante car, ainsi, l’employeur peut communiquer aux autorités sanitaires les éléments liés à la nature de l’exposition.

Quoi ? L’employeur peut traiter uniquement les données liées à :


Plan de continuité de l’activité. La Cnil rappelle également que les employeurs peuvent mettre en place un « plan de continuité de l’activité » qui a pour objectif de maintenir l’activité essentielle de l’organisation. Dans ce cadre, l’employeur peut collecter les données personnelles nécessaires pour prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

Les devoirs des salariés. Chaque salarié doit mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d'autrui et de lui-même : il doit donc informer son employeur en cas de suspicion de contact avec le Covid-19. Un salarié en télétravail ou qui n’a aucun contact avec des collègues ou du public n’a, en revanche, pas à fournir cette information.

A noter. La Cnil alerte sur le fait que l’employeur ne doit jamais communiquer l’identité de la personne susceptible d’être infectée aux autres salariés.

DPO. En cas de doute sur la collecte d’une donnée personnelle, employeurs et salariés peuvent prendre contact avec le délégué à la protection des données personnelles (en anglais « Data Protection Officier », soit DPO), ou avec leur conseil habituel (avocat, expert-comptable, etc.).


Coronavirus (COVID-19) : le point sur l’application StopCovid


Une application mobile. L’application Stop Covid sera téléchargeable gratuitement, et sur la base du volontariat, à compter du 2 juin 2020.

A quoi sert-elle ? Cette application permet :


A noter. En cas de diagnostic clinique positif au virus du covid-19 ou de résultat positif à un examen de dépistage à ce virus, les utilisateurs de l'application sont libres de notifier ou non ce résultat dans l'application et de transmettre au serveur l'historique de proximité.


StopCovid : une durée de vie limitée à l’état d’urgence. Le traitement de données mis en œuvre dans le cadre de l’application mobile ne peut l’être que pour une durée ne pouvant pas excéder 6 mois après la fin de l'état d'urgence sanitaire (à l’heure actuelle fixée au 10 juillet 2020).

Données de proximité : limitée à 15 jours. Notez que :



Une protection des données personnelles… Les personnes dont les données personnelles sont collectées ont des droits prévus par le Règlement Général sur la Protection des Données (RGPD).

… exceptionnellement inapplicables. Pour autant, sachez que les habituels droits d'accès, de rectification ainsi que le droit à la limitation prévus ne peuvent pas être mis en œuvre dans le cadre de l’application StopCovid.

Des utilisateurs informés de leurs droits. Les utilisateurs de l’application sont néanmoins dûment informés des principales caractéristiques de leurs droits au moment de l'installation de l'application StopCovid.

Partage de l’historique de proximité. Les utilisateurs sont informés qu'en cas de partage de leur historique de proximité sur le serveur central de StopCovid :


=> Pour en savoir plus, consultez le dossier de presse du Gouvernement sur l’application Stop Covid

=> Pour en savoir plus, consultez des visuels de l’application Stop Covid


Coronavirus (COVID-19) : la sortie de l’état d’urgence sanitaire au 11 juillet 2020

Fin de l’état d’urgence sanitaire. En métropole et pour la majorité des territoires d’Outre-mer (à l'exception de la Guyane et de Mayotte), l’état d’urgence sanitaire prend fin ce 10 juillet 2020.

Pour mémoire. Pour rappel, aux fins de lutte contre la propagation du virus, le traitement et le partage de données personnelles relatives à la santé des personnes atteintes par le virus et celles ayant été en contact avec elles sont autorisés pour une durée maximum de 6 mois à compter de la fin d’urgence sanitaire. Ce traitement s’effectue dans le cadre d’un système d’information dédié, et peut être réalisé sans le consentement des personnes intéressées.

Durée de conservation de principe. En principe, les données personnelles traitées ne sont conservées que 3 mois maximum à compter de leur collecte.

Du nouveau. Désormais, il est possible que la durée de conservation de certaines données personnelles soit prolongée afin de surveiller la propagation de l’épidémie au niveau local et national, et de poursuivre la recherche sur le virus.

Avis de la CNIL. Cette prolongation doit être prise après avis de la Commission nationale de l’informatique et des libertés (CNIL) et du Comité de contrôle et de liaison covid-19 mis en place en mai 2020.

A suivre… Un décret, à paraître prochainement, précisera les modalités selon lesquelles cette prolongation devra être portée à la connaissance des personnes dont les données ont été collectées avant son entrée en vigueur.

A noter. Cette durée de conservation ne peut excéder 6 mois maximum à compter de la fin de l’état d’urgence sanitaire.


Coronavirus (COVID-19) : les bonnes pratiques à mettre en œuvre pour le cahier de rappels

Pour rappel, l’ouverture des restaurants situés dans les zones d’alerte maximale est désormais conditionnée au respect d’un protocole sanitaire renforcé. Celui-ci comprend notamment la tenue d’un « cahier de rappel » , destiné à collecter les coordonnées des clients présents dans le restaurant, afin de les tenir à disposition des autorités sanitaires en cas de contamination de l’un de ses clients.

Cahier de rappel = RGPD ! Ce « cahier de rappel » constitue un traitement de données personnelles soumis au RGPD.

Recommandations de la Cnil. A ce titre, la Cnil vient d’émettre les recommandations suivantes.

Les établissements de restauration mettant en place ces « cahiers de rappel » doivent collecter uniquement les données nécessaires. Les données collectées doivent se limiter à l’identité de la personne (nom/prénom) ainsi qu’à un seul moyen de contact (numéro de téléphone) : il est interdit de collecter davantage de données. Lors de la collecte de ces données, le restaurateur ne peut pas procéder à un contrôle d’identité de la personne, par exemple en lui demandant de produire une pièce justificative. L’établissement doit renseigner la date et l’heure d’arrivée du client afin de pouvoir identifier ceux concernés par une enquête sanitaire et déterminer le point de départ de la durée de conservation des fiches (limitée à 14 jours).

Limiter l’utilisation des données à la seule transmission aux autorités sanitaires. Les informations collectées dans les « cahiers de rappel » doivent uniquement être utilisées pour faciliter la recherche des « cas contacts », lorsque les autorités sanitaires en font la demande (agents des CPAM, de la CNAM et de l’ARS). Toute autre utilisation (par exemple : inviter les clients à une soirée à thème, faire des promotions sur les menus proposés, transmettre les données à des partenaires commerciaux, envoyer un questionnaire de satisfaction aux clients, etc.) est strictement interdite.

Informer les clients. Les clients doivent être informés de l’objet de cette collecte et des droits dont ils disposent concernant leurs données. Cette information doit être délivrée au moment de la collecte des données, et sous un format facilement accessible (par exemple : une mention d’information intégrée sur le formulaire papier ou électronique à compléter par le client, un panneau d’affichage visible à l’entrée de l’établissement, etc.). Cette mention d’information doit être claire, précise et simple. Elle doit comprendre :


Pour aider les restaurateurs, la CNIL a mis à leur disposition un exemple de modèle de document, avec les mentions d’information nécessaires. Il est consultable à l’adresse suivante : https://www.cnil.fr/fr/cahier-de-rappel-exemples-de-formulaire-de-recueil-de-donnees-et-mentions-dinformation-rgpd.

Une durée de conservation limitée. Les données collectées dans le « cahier de rappel » doivent être détruites au bout de 14 jours, conformément aux préconisations du Ministère de la Santé, quelle que soit leur modalité de collecte (formulaire papier, formulaire en ligne, QR code, etc.).

Sécuriser les données. Le restaurateur doit assurer la confidentialité des données collectées sur ses clients.

Pour un « cahier de rappel » au format papier, la Cnil recommande de mettre à disposition un formulaire individuel ou par tablée, ou de de procéder à une collecte des informations directement par le restaurateur lui-même. Le « cahier de rappel » doit être conservé dans un lieu sécurisé (par exemple : armoire ou pièce fermée à clef etc.) et ne pas être laissé à la vue de tous les clients.

Pour les autres types de « cahier de rappel » (ex : QR code, formulaire en ligne, etc.), une attention particulière devra être apportée aux points suivants :


Quel que soit le format du « cahier de rappel », les informations renseignées par les clients ne doivent pas être accessibles et consultées par l’ensemble du personnel de l’établissement, mais uniquement par des personnes spécifiquement identifiées (par exemple : le gérant de l’établissement).

Lire la suite