UN PASSE POUR ALLER TRAVAILLER ?

La Ministre du Travail reçoit, ce jour, les organisations syndicales patronales et salariales afin d’échanger sur l’éventuelle extension du passe sanitaire à l’ensemble des lieux de travail.

Les fédérations de fonctionnaires seront, elles, consultées demain par la Ministre de la Fonction publique sur le sujet.

En revanche, la question d’un passe vaccinal pour l’ensemble des travailleurs n’apparait, à ce stade, pas à l’ordre du jour.

A suivre les annonces du Gouvernement, deux passes coexisteraient alors, l’un concernant les usagers et l’autre concernant les travailleurs.

Dans l’attente de la présentation et de la discussion du projet de loi à l’Assemblée Nationale, à compter du 10 janvier prochain, il convient de revenir sur la situation actuelle et d’attirer l’attention des employeurs sur les pratiques à proscrire dans le cadre du contrôle du passe sanitaire.

• Quels travailleurs actuellement concernés ?

Il s’agit des travailleurs intervenant dans les établissements où il est demandé aux usagers de présenter un passe sanitaire[1], sauf lorsque leur activité se déroule dans des espaces non accessibles au public ou en dehors des horaires d’ouverture au public.

Les salariés des prestataires intervenant de façon récurrente, planifiée et prolongée, au sein de l’un de ses établissements, sont également concernés par la présentation d’un passe sanitaire valide.

Les personnels effectuant des livraisons, eux, ne sont pas soumis à l’obligation du passe sanitaire. Il en va de même de ceux effectuant des interventions d’urgence[2].

• Quelles modalités de contrôle ?

Le responsable de l’établissement ou de l’évènement, ou les personnes dûment habilitées par ce dernier, ont une obligation de contrôle de la validité de ces passes, contrôle opéré par la présentation, avant chaque début de journée de travail, du passe sur support papier ou numérique, via l’application TousAntiCovid Vérif, seule application habilitée à ce stade par le Gouvernement[3].

Ce contrôle, en ce qu’il implique le traitement de données à caractère personnel, pouvant être des données sensibles, doit être strictement encadré et limité, afin de protéger la vie privée des salariés et des agents[4].

• Minimisation et conservation des données traitées[5] : attention à ne pas collecter plus d’informations que nécessaire et de façon illimitée !

Seule la présentation du passe sanitaire peut être exigée par le responsable d’établissement, comme le rappelle la CNIL.

Ce dernier ne peut donc demander à son personnel d’autres informations, telles que son statut vaccinal ou schéma vaccinal réalisé, son intention de se faire vacciner ou non, la présentation d’un certificat de vaccination ou le résultat d’un test de dépistage[6].

Quid du titre simplifié remis par l’employeur ?En revanche, et si seulement un salarié le souhaite et à son initiative, celui-ci peut présenter à son employeur un justificatif de son statut vaccinal, après avoir occulté toute autre information y figurant autre que la nature du document et celle indiquant que son schéma vaccinal est complet.

L’employeur ne doit pas avoir connaissance des dates d’injection, du type de vaccin administré, des éventuelles pathologies du salarié, par exemple.

Quid avec l’obligation de rappel[7] ?Le passe sanitaire, à compter du 15 janvier 2022, ne sera valable qu’à la condition que tout adulte de plus de 18 ans ait reçu une dose de rappel dans les conditions fixés par décret. Le titre simplifié précédemment délivré par l’employeur deviendra donc obsolète si le salarié concerné n’a pas fait une dose de rappel dans les délais, ce que l’employeur a tout intérêt, dans le cadre de son obligation de contrôle, à le rappeler à ses salariés, avant la date du 15 janvier 2022. Tout salarié qui souhaiterait, alors, continuer à bénéficier d’un titre simplifié devra volontairement transmettre un nouveau justificatif de son statut vaccinal complet.

L’employeur lui remet, alors, un titre spécifique permettant ensuite une vérification simplifiée.

Attention, l’employeur ne peut conserver le justificatif présenté par son salarié : il ne peut que conserver le résultat de l’opération de vérification, à savoir l’information selon laquelle le passe sanitaire est valide ou non.

La CNIL précise que si cette information peut être inscrite, par exemple, dans un fichier dédié ou dans le dossier personnel du salarié, elle ne peut être conservée postérieurement à la fin de l’application du dispositif, conformément au calendrier fixé par le Gouvernement ou, si elle est antérieure, à la fin de la relation de travail.

Les mesures de sécurité appropriées[8] doivent, par ailleurs, être mises en œuvre, et seules les personnes habilitées pourront accéder à de telles informations, pour l’exercice de leurs missions.

• Obligation d’accountability : la nécessaire mise en place de la documentation requise par le RGPD

La mise en place du contrôle du passe sanitaire, déjà contraignante d’un point de vue organisationnel, peut apparaitre lourde administrativement pour les employeurs, qui sont tenus, en plus d’informer-consulter le CSE sur les modalités pratiques du contrôle du passe sanitaire[9], d’appliquer la règlementation relative à la protection des données.

A ce titre, ils doivent notamment informer leurs salariés sur le traitement de leurs données réalisées dans ce cadre en leur fournissant l’ensemble des informations requises[10], documenter la base légale[11] des traitements réalisés, mettre à jour leurs registres des activités de traitement[12] et réaliser, le cas échéant, une analyse d’impact[13].

En cas d’extension du passe sanitaire à l’ensemble des travailleurs, tous les employeurs (et non plus seulement ceux des secteurs visés par le Décret 2021-1059 du 7 août 2021)se retrouveraient désormais en charge d’assumer, de facto, la politique de santé publique définie par le Gouvernement et le législateur, pendant cette pandémie.

Si les employeurs ne semblent pas tous opposés au principe d’une telle extension de l’obligation du passe sanitaire, la question des modalités pratiques du contrôle les préoccupent à juste titre, notamment pour les salariés itinérants, ou travaillant sur les chantiers.

Quid des difficultés de gestion des absences des salariés non pourvus d’un passe sanitaire valable, notamment des incidences sur l’activité de l’entreprise, d’autant que certains secteurs souffrent de véritables difficultés en matière de recrutement ?

Le législateur appliquera-t-il le même régime juridique aux salariés ne présentant pas un passe sanitaire valable ?

Qu’en est-il des télétravailleurs et de l’égalité de traitement avec leurs collègues travaillant dans les locaux de l’entreprise ?

Dans quelles mesures l’employeur sera-t-il tenu de proposer un aménagement aux salariés ne présentant pas un passe sanitaire valable ?

Par ailleurs, les sanctions très sévères prévues aujourd’hui en cas de manquement à l’obligation de contrôle[14] seront-elles maintenues ou passerons-nous à une logique incitative plutôt que punitive ?

Les salariés des secteurs actuellement concernés par l’obligation de présentation sur le passe sanitaire seront-ils, eux, soumis désormais à une obligation de passe vaccinal valide ?

Les autorités de contrôle, telles que la CNIL, fourniront-elles des indications précises aux employeurs afin de les accompagner dans la gestion pragmatique de ces traitements de données à caractère personnel (base légale applicable, le cas échéant, exceptions applicables à un traitement de données sensibles, etc.) ?

Alors que le Gouvernement, les autorités de contrôle – voire les juridictions[15] – semblent s’accorder quant à une interprétation restreinte de la définition d’une donnée de santé, les employeurs pourraient-ils se voir reprocher dans un second temps une approche précautionneuse quant au traitement de ces données, potentiellement sensibles ?  

Le Gouvernement transfère la responsabilité de sa politique sanitaire sur les employeurs qui subiront, à leur détriment, les nombreuses insécurités juridiques découlant d’un tel dispositif, si le législateur ne répond pas aux multiples questions qui se posent en pratique.

LE PÔLE SOCIAL 

Dans le cadre de son activité le pôle social du cabinet d’avocats ALTIJ vous accompagne dans l’information de vos salariés, la mise en place des modalités de contrôle et vous assiste dans toutes vos démarches grâce à sa connaissance du secteur, de ses enjeux et de ses contraintes. 

[1] Liste précisée par le Décret 2021-1059 du 7 août 2021 modifiant le décret 2021-699 du 1 er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire, JO 8 août 2021 : Lieux d’activités et de loisirs (salles d’auditions, de conférences, de projection, de réunions, salles de concert et de spectacle, cinémas musées et salles d’exposition temporaire, festivals, événements sportifs,  établissements sportifs clos et couverts,  établissements de plein air, conservatoires, lorsqu’ils accueillent des spectateurs, et autres lieux d’enseignement artistique à l’exception des pratiquants professionnels et personnes engagées dans des formations professionnalisantes,  salles de jeux, escape-games, casinos, parcs zoologiques, parcs d’attractions et cirques, chapiteaux, tentes et structures, foires et salons, séminaires professionnels de plus de 50 personnes, lorsqu’ils ont lieu dans un site extérieur à l’entreprise, bibliothèques (sauf celles universitaires et spécialisées type Bibliothèque nationale de France), manifestations culturelles organisées dans les établissements d’enseignement supérieur, fêtes foraines comptant plus de 30 stands ou attractions, navires et bateaux de croisière avec restauration ou hébergement, tout événement culturel, sportif, ludique ou festif, organisé dans l’espace public ou dans un lieu ouvert au public susceptible de donner lieu à un contrôle de l’accès des personnes) ; Lieux de convivialité (discothèques, clubs et bars dansants, bars, cafés et restaurants, à l’exception des cantines, restaurants d’entreprise, ventes à emporter et relais routiers, ainsi que lors des services en chambres et des petits-déjeuners dans les hôtels) ; Transports publics (transports de longue distance, à savoir les trains à réservation (par exemple, TGV), les vols nationaux ou encore les cars interrégionaux).

[2] Le Ministère du travail définit les interventions urgentes comme celles réalisées pour effectuer des missions ou des travaux dont l’exécution immédiate est nécessaire pour le bon fonctionnement de l’établissement concerné (travaux pour réparer des accidents ou dommages survenus au matériel, installations ou bâtiments ou bien pour organiser des mesures de sauvetage par exemple) :

https://travail-emploi.gouv.fr/le-ministere-en-action/coronavirus-covid-19/questions-reponses-par-theme/article/obligation-de-vaccination-ou-de-detenir-un-pass-sanitaire-pour-certaines#2

[3] Décret 2021-1059 du 7 aout 2021 modifiant le décret 2021-699 du 1 er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire, JO 8 août 2021 - https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000043915443

[4]https://www.cnil.fr/fr/covid-19-questions-reponses-sur-le-passe-sanitaire-et-lobligation-vaccinale

[5] RGPD, art. 5. 1. c) : les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

RGPD, art. 5.1. e) : les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

[6] A cet effet, la FAQ du Ministère du travail précise que le défaut d’information relatif à la santé des personnes concernées serait un gage du respect du secret médical prévu par la loi, en indiquant « ce dernier [le QR code] ne comporte pas d’information précise sur la santé des personnes concernées : l’employeur ne sit pas par quel moyen ce pass est respecté, cela peut être par le vaccin, un test PCR, le rétablissement après une contamination par la COVID, etc. » : https://travail-emploi.gouv.fr/le-ministere-en-action/coronavirus-covid-19/questions-reponses-par-theme/article/obligation-de-vaccination-ou-de-detenir-un-pass-sanitaire-pour-certaines#22.

[7] Décret n° 2021-1521 du 25 novembre 2021 modifiant le décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire

[8] RGPD, art. 32 : (…) le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

[9] C. trav., art. L. 2312-8

[10] RGPD, art. 13 :

- l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement

- le cas échéant, les coordonnées du délégué à la protection des données;

- les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

- lorsque le traitement est fondé les intérêts légitimes, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

- les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent;

- le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;

- l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement

-  le cas échéant, les coordonnées du délégué à la protection des données;

- les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

- lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

- les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent; et

- le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition.

[11] RGPD, art. 6 et 9.2

[12] RGPD, art. 30

[13] RGPD, art. 35

^[14]Loi n°2021-1040 relative à la gestion de la crise sanitaire du 5 août 2021 – JO du 6 août 2021 : mise en demeure de se conformer à l’obligation dans un délai de 24h ouvrées au plus et, à défaut, fermeture administrative possible de l’établissement ou de l’évènement pour une durée maximale de sept jours. En cas de manquement réitéré à l’obligation de contrôle, à plus de trois reprises au cours d’une période de 45 jours, un an d’emprisonnement et 9 000 euros d’amende pour une personne physique (et jusqu’à 45 000 euros d’amende pour une personne morale).

[15] Nous notons à cet effet, dans l’arrêt du Conseil d’État sur l’affaire Doctolib que « les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination » (Conseil d’État, référés, 12 mars 2021, n°450163).