Le 29 octobre 2021, la Commission Nationale pour la Protection des Données (CNPD) a publié sur son site internet une FAQ sur la protection des données et le Covidcheck.
La CNPD y apporte des précisions concernant d’une part, l’utilisation de l’application nationale luxembourgeoise CovidCheck.lu, et d’autre part, la mise en place par l’employeur du régime Covid check sur le lieu du travail (cf. notre Newsflash du 21 octobre 2021).
Il ressort des réponses à cette FAQ :
- que le scan d’un code QR via l’application CovidCheck.lu est un traitement de données à caractère personnel (cf. article 4 paragraphe 2 du RGPD[1]), portant notamment sur des données de santé, le traitement de ces dernières étant en principe interdit par le RGPD (cf. article 9 paragraphe 1 du RGPD) ;
- que la collecte de données de santé via l’application CovidCheck.lu est toutefois licite (cf. article 9 paragraphe 2 lettres (g) et (i) du RGPD et article 3septies de la Loi sur les mesures de lutte contre la pandémie Covid-19[2]), à condition que l’entreprise respecte les autres principes et obligations du RGPD ;
- que l’employeur ne peut pas collecter de données liées au statut vaccinal des salariés (i.e. information selon laquelle la personne est ou non vaccinée), et que seule la Direction de la santé est actuellement autorisée par la Loi à traiter de telles données.
La position exprimée par la CNPD implique de nombreuses considérations pratiques pour l’employeur qui, en vertu des principes et obligations découlant du RGPD, devrait donc théoriquement, préalablement à la mise en place du Covid check :
- (le cas échéant, sous la direction du DPO), réaliser et documenter l’analyse d’impact sur la protection des données (traitement de données sensibles relatives à des personnes vulnérables),
- fournir sous forme écrite au salarié toutes les informations prévues par les articles 13 et 14 du RGPD,
- le cas échéant, adapter le registre des traitements, etc.
Les avocats du Cabinet CASTEGNARO sont à votre disposition pour aborder toute question que pourrait soulever la position de la CNPD sur le plan du droit du travail.
______________________________________________________________________
1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données).
2 Loi modifiée du 17 juillet 2020 portant introduction d’une série de mesures de lutte contre la pandémie Covid-19 et modifiant : 1° la loi modifiée du 25 novembre 1975 concernant la délivrance au public des médicaments ; 2° la loi modifiée du 11 avril 1983 portant réglementation de la mise sur le marché et de la publicité des médicaments : version consolidée au 1er novembre 2021.