Obligation vaccinale et traitements de données personnelles

Article rédigé le 13 septembre 2021  par Me Laurence Huin

L’instauration d’une obligation vaccinale pour les personnels exerçant leur activité au sein des établissements sanitaires et médico-sociaux implique pour les employeurs et les ARS chargés du contrôle de cette obligation la mise en œuvre de traitements de données à caractère personnel. Quelles sont les obligations qui s’imposent aux employeurs et aux ARS pour assurer la conformité de ces traitements de données personnelles et comment, concrètement, compléter le registre des activités de traitements ?

Pour les employeurs et les agences régionales de santé (ARS) chargés du contrôle de l’obligation vaccinale, sans oublier leur délégué à la protection des données (DPO), le mois d’août 2021 n’a pas été de tout repos. Outre la mise en œuvre du passe sanitaire, la compréhension de l’obligation vaccinale prévue par la loi n°2021-1040 du 5 août 2021 et son déploiement progressif ont suscité de nombreuses interrogations, aussi bien pour les directions des ressources humaines que pour les services chargés de la conformité à la réglementation en matière de données personnelles.

Sans revenir sur la levée du secret médical et le contrôle de l’obligation vaccinale par les employeurs et ARS déjà abordés sur notre blog par Me Caroline Lesné, il sera intéressant d’identifier pour les employeurs et les ARS, responsable de traitement, les implications en matière de données personnelles et leur traduction au sein du registre des activités de traitement, et ce, dans la perspective de l’échéance du 15 septembre, date à laquelle un schéma vaccinal, du moins partiel, devra être présenté par les personnels concernés.

Quelles finalités ?

A titre liminaire et afin d’éviter toute confusion, nous n’évoquerons pas ici les obligations liées aux traitements de données personnelles mis en œuvre dans le cadre du contrôle du passe sanitaire permettant l’accès aux établissements de santé, sociaux et médico-sociaux.

Dès lors, au regard de l’obligation vaccinale, la finalité principale du traitement mis en œuvre par les employeurs et les ARS est le contrôle du respect de l’obligation vaccinale des personnes concernées. Cette finalité devra être reportée au sein du registre des activités de traitement tenu par le responsable de traitement.

Il conviendra également de ne pas oublier la sous-finalité concernant l’habilitation nécessaire des personnes chargées du contrôle. En effet, les employeurs doivent tenir un registre détaillant les personnes et services habilités (article 2-3 II du décret prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire, modifié).

Quelle base légale ?

Pour les établissements directement concernés par l’obligation vaccinale, le fondement légal sera simple à identifier et ne pourra qu’être l’obligation légale visée à l’article 6 1 c) du Règlement européen général sur la protection des données n°2016-679 (RGPD).

Pour les employeurs dont les salariés ont pour mission d’intervenir au sein des établissements concernés par l’obligation vaccinale, l’identification du fondement légal peut paraitre moins évidente. Animés par le souci de préserver les relations commerciales avec leurs clients, certains de ces employeurs ont été tentés de vérifier le statut vaccinal de leurs salariés sur le fondement de l’intérêt légitime de leur entreprise, voire pire, du consentement de leurs salariés.

Tout d’abord, on rappellera que le consentement des salariés ne peut être généralement retenu comme base légale d’un traitement de données personnelles mis en œuvre par l’employeur, selon la doctrine établie du Comité européen à la protection des données (CEPD) – le consentement d’un salarié donné à son employeur ne pouvant présenter les caractéristiques nécessaires (libre, spécifique, éclairé et univoque).

Par ailleurs, pour écarter le choix du fondement légal de l’intérêt légitime, il s’agira de rappeler que l’obligation vaccinale s’applique notamment aux personnes « exerçant leur activité » au sein des établissements listés à l’article 12 I 1°de la loi 2021-1040 et « aux prestataires de services et distributeurs de matériels », (article 12 I 8° de la loi 2021-1040). De même, on notera l’exception prévue à l’article 12 III de la loi 2021-1040 qui exclut de l’obligation vaccinale les personnes « chargées de l’exécution d’une tâche ponctuelle » au sein des locaux concernés.

Dès lors au regard de ces précisions, les employeurs dont le personnel est amené à exercer régulièrement leur activité au sein d’établissements de santé, sociaux et médico-sociaux pourront se fonder, eux aussi, sur l’obligation légale pour justifier leur traitement des données personnelles.

Quelles personnes sont concernées ?

Les personnes concernées par l’obligation vaccinale (nous renverrons aux dispositions de l’article 12 de la loi 2021-1040 pour une liste exhaustive), telles que les personnels des établissements de soins, médico-sociaux, les professions du secteur paramédical, pompiers, ambulanciers, apparaitront nécessairement au sein du registre des activités de traitement comme « personnes concernées » au sens du RGPD.

Toutefois, là encore des interrogations sont apparues. En l’absence de précision de la part des textes et d’une position de la CNIL, le débat existe pour savoir si le traitement doit se limiter aux seules personnes dont le schéma vaccinal est complet ou bien concerner également les personnes ne répondant pas à l’obligation vaccinale. Loin d’être négligeable, le risque juridique lié à cette interrogation est d’intégrer au sein du traitement des données de santé, voire des données politiques ou philosophiques. Le principe de minimisation des données prévu par le RGPD imposerait aux employeurs et aux ARS de traiter uniquement les données des personnes dont le schéma vaccinal est complet. Dans le cas contraire, le responsable de traitement sera contraint nécessairement à la réalisation d’une analyse d’impact.

Les personnes concernées par l’obligation vaccinale ne sont pas les seules personnes concernées par le traitement relatif au contrôle de l’obligation vaccinale. Il ne faudra pas oublier également les personnes habilitées à contrôler les justificatifs. En effet, comme déjà évoqué, les employeurs et les ARS sont tenus d’habiliter nommément les personnes et services autorisés à contrôler les justificatifs pour leur compte.

Quelles données personnelles collecter ?

Conformément à l’article 30 du RGPD, le registre des activités de traitement devra identifier les catégories de données personnelles qui seront collectées par l’employeur et les ARS chargés du contrôle de l’obligation vaccinale. A ce titre et concernant les personnes concernées par l’obligation vaccinale, seront collectées nécessairement :

• • Des données d’identification : Aux nom et prénom pourrait se substituer le matricule au sein de l’établissement lorsque ce dernier est mis en place ;

• • Le statut du schéma vaccinal : ok (ou non ok pour les responsables de traitement choisissant de traiter les données également des personnes dont le schéma vaccinal n’est pas complet).

Si des doutes ont pu surgir à la lecture des textes, il est désormais acquis que les justificatifs (certificats, QR code…) ne devront en aucun cas être conservés par l’employeur ou les ARS ; seuls les résultats des contrôles (ok, voire non ok) doivent être conservés.

La nature du justificatif (schéma vaccinal complet, résultat négatif d’un examen de dépistage virologique, certificat de rétablissement ou certificat de contre-indication médicale) doit-elle être intégrée au registre ? Là encore, conformément au principe de minimisation, le responsable de traitement devra bien se garder d’indiquer la nature du justificatif apporté, au risque d’intégrer des données de santé dans son traitement (données de santé apparaissant nécessairement en indiquant qu’un salarié dispose d’un certificat de contre-indication médicale ou de rétablissement).

Afin de ménager l’employeur pris en étau entre ces obligations de contrôle de l’obligation vaccinale et la règlementation en matière de données personnelles, on ne pourra que préconiser d’intégrer au sein du registre uniquement la durée de validité du schéma vaccinal. Ainsi, apparaitra dans le registre seulement la date de fin de validité qui correspondra potentiellement au certificat de rétablissement, au certificat de contre-indication médicale, au résultat négatif d’un examen de dépistage virologique.

Concernant les personnes habilitées, les données collectées concerneront leur identification, la date de leur habilitation, ainsi que les jours et horaires des contrôles effectués par ces personnes et services (article 2-3 II du décret prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire, modifié).

Quelles durées de conservation ?

La loi du 5 août 2021 prévoit que les employeurs et les ARS peuvent conserver les résultats des vérifications de satisfaction à l’obligation vaccinale contre la covid-19 opérées, jusqu’à la fin de l’obligation vaccinale, soit le 15 novembre 2021 inclus (article 13 IV loi n°2021-1040 du 5 août 2021).

Cette précision légale permet de fixer une durée limitée au traitement de données personnelles relatif au contrôle de l’obligation vaccinale.

Les responsables de traitement tentés de retenir la durée de prescription de droit commun, soit 5 ans, risqueraient de faire preuve d’un excès de zèle au regard de la sensibilité avérée du traitement concerné.

Si la loi prévoit une destruction des « documents » à l’issue de l’obligation vaccinale, cette rédaction trompeuse vise le fichier tenu à jour par le responsable de traitement et non les justificatifs qui – on le rappelle – n’auront pas été conservés.

Quelles obligations d’information ?

En qualité de responsable de traitement, les employeurs et les ARS chargés du contrôle de l’obligation vaccinale n’échapperont pas à leurs obligations d’information et au respect de l’exercice des droits des personnes concernées par le traitement mis en œuvre.

A ce titre, concernant les personnes concernées par le contrôle de l’obligation vaccinale, les employeurs et ARS devront leur apporter une information appropriée et visible sur le lieu dans lequel ce contrôle est effectué (article 2-3 IV du décret prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire, modifié). Un affichage devra donc être mis en place.

Par ailleurs, concernant les personnes habilitées aux contrôles, les employeurs et les ARS devront préalablement informer les personnes habilitées des obligations qui leur incombent, notamment en matière de protection des données à caractère personnel. Des sessions de formation et de sensibilisation devront donc être mises en place.

Enfin, dans les entreprises et établissements d’au moins cinquante salariés, l’employeur devra informer, sans délai et par tout moyen, le comité social et économique des mesures de contrôle de l’obligation vaccinale. L’avis du comité social et économique peut intervenir après que l’employeur a mis en œuvre ces mesures, au plus tard dans un délai d’un mois à compter de la communication par l’employeur des informations sur lesdites mesures (article 15 de la loi n°2021-1040 du 5 août 2021).

Une analyse d’impact obligatoire?

On rappellera qu’une analyse d’impact doit obligatoirement être menée quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». Pour savoir si le traitement est susceptible d’engendrer un risque élevé, le responsable de traitement dispose de deux outils :

• • la liste des types d’opérations de traitement établie par la CNIL et répertoriant les traitements pour lesquels une analyse d’impact doit être obligatoirement réalisée. Sans surprise, le traitement relatif au contrôle de l’obligation vaccinale n’est pas dans cette liste ;

• • Les critères posés par le CEPD à partir desquels si 2 des 9 critères sont réunis, une analyse d’impact devra être réalisée.

Concernant le traitement relatif au contrôle de l’obligation vaccinale, 4 critères pourraient éventuellement être retenus ;

1. • collecte de données sensibles ou données à caractère hautement personnel ;

• • collecte de données personnelles à large échelle ;

• • personnes vulnérables (salariés, etc.) ;

• • exclusion du bénéfice d’un droit/contrat au regard des conséquences sur la relation de travail (voir sur ce sujet l’article Passe sanitaire, vaccin et licenciement de M^e Guillaume Champenois)

Au regard des critères définis par le CEPD, il apparait dès lors difficile d’échapper au lourd exercice de l’analyse d’impact pour l’ensemble des employeurs et ARS chargés du contrôle de l’obligation vaccinale.

On comprend donc que le contrôle de l’obligation vaccinale n’est pas sans impact pour les employeurs et les ARS chargés de ce contrôle, pris entre l’étau de différentes réglementations, et ce, sur des sujets très peu consensuels. La mise en œuvre de la règlementation en matière de données personnelles pourra être l’occasion de réinstaurer un dialogue et favoriser une sensibilisation de tous les acteurs de l’établissement.

Laurence Huin

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.