Covid 19 : la protection des données personnelles des salariés allemands
Confronté à une forte recrudescence de la pandémie de Covid-19, le législateur allemand a adopté de nouvelles mesures qui sont entrées en vigueur le 24 novembre 2021 (pour un aperçu de ces règles, notre article Nouvelles dispositions anti-covid en Allemagne). La mise en œuvre de ces règles nécessite des précisions en matière de protection des données de santé des salariés.
Avec l’introduction du nouveau §28b de la loi allemande sur la protection contre les infections (Infektionsschutzgesetz, IfSG), tout employeur en Allemagne est désormais tenu d'effectuer des contrôles quotidiens et de documenter régulièrement le statut sanitaire des salariés qui souhaitent accéder à leur lieu de travail. Dans la mesure où ces contrôles impliquent le traitement régulier de données médicales sensibles, plusieurs autorités fédérales allemandes chargées de la protection des données ont apporté des précisions sur les différentes règles à respecter.
Quelles sont les données qui peuvent être collectées par l’employeur ?
- L’employeur doit s’assurer que les salariés présentent une preuve de vaccination, de guérison ou un test négatif - appelé certificat 3G – « Geimpft, Genesen, Getestet » - avant d’accéder à leur lieu de travail.
- Dans le cadre de ce contrôle, les autorités fédérales chargées de la protection des données rappellent que l’employeur est tenu de veiller au respect du principe de minimisation (RGPD, article 5). Selon ce principe, la collecte des données à caractère personnel doit être strictement limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
- Ainsi, pour assurer le respect de la réglementation, l’employeur et/ou la personne chargée du contrôle du certificat 3G peuvent consigner le résultat de la vérification opérée en apposant, par exemple, une case cochée ou un signe similaire à côté du nom de l’employé. En revanche, il n’est pas permis de distinguer selon le type de certificat présenté. Certaines autorités fédérales recommandent notamment l’utilisation de l’application „CovPassCheck-App“(https://digitaler-impfnachweis-app.de/covpasscheck-app/).
L’employeur peut-il conserver et/ou sauvegarder les données du certificatif 3G ?
- La nouvelle réglementation prévoit la possibilité pour les salariés de remettre volontairement leur certificat 3G à leur employeur. Celui-ci peut alors conserver une copie du justificatif présenté jusqu’à la fin de l’application du dispositif, soit jusqu’au 19 mars 2022. Un contrôle quotidien n'est alors en principe plus nécessaire. Il convient de s’assurer que le recueil du consentement du salarié est conforme aux dispositions relatives à la protection des données en la matière.
- En l’absence de consentement du salarié, l’employeur ne peut jamais conserver une copie du certificat 3G. Le salarié doit alors pouvoir présenter sur simple demande une preuve de vaccination, de guérison ou un test négatif.
- Les autorités allemandes chargées de la protection des données ont toutefois précisé que si la mise en place de contrôle quotidien est susceptible d'avoir un impact disproportionné sur le fonctionnement de l’entreprise (par exemple, risque de retards importants dus à l'accès simultané d'un grand nombre d’employés), l’employeur peut conserver l’information selon laquelle le salarié dispose d’un certificat ainsi que sa date de validité. Il n’est toutefois pas autorisé à faire une copie du certificat 3G en l’absence du consentement du salarié concerné.
L'employeur peut-il exiger que le certificat 3-G lui soit envoyé préalablement sous forme électronique ?
- L’envoi préalable sous format électronique du certificat 3G ne peut résulter que du consentement du salarié.
- Les autorités fédérales allemandes relèvent que l’employeur doit en particulier veiller à ce que le cercle des destinataires soit limité (par exemple au moyen d’une adresse électronique fonctionnelle spécifique) et que le mode de communication proposé soit sûr. Ainsi, l’employeur ne peut pas demander à l’ensemble de ses salariés de consigner cette information dans un document en accès partagé.
- Enfin, si le salarié ne donne pas son consentement à la sauvegarde de son certificat 3G, l’employeur devra supprimer les courriels ou autres échanges contenant les informations.
Il convient de préciser qu’en principe cette obligation de contrôle ne s’applique pas aux simples visiteurs des locaux. Toutefois, rien n’empêche une entreprise de le prévoir.