Le responsable du traitement est un employeur (entreprise) qui a dû faire face à une infection massive au COVID-19 sur le lieu de travail. Pour éviter que cela ne se reproduise, il a recueilli le nom complet et l’état de santé des employés qui étaient positifs au COVID (les personnes concernées). Il a ensuite envoyé un courriel à tous les autres employés qui auraient pu être en contact avec un employé infecté, en les informant de la personne qui avait été testée positive au COVID. En outre, le responsable du traitement ne conservait pas de base de données de toutes les personnes infectées par le COVID et avait informé tous les employés de leurs droits en vertu de l’article 13 RGPD.

L’autorité slovène de protection des données (APD ; Informacijski pooblaščenec), dans une décision 0611-608/2021/9 du 18.01.2022, a ouvert une enquête d’office sur le traitement des données de santé.

L’APD a noté que le fait d’informer les employés susceptibles d’avoir été en contact avec un collègue positif était une mesure préventive de protection de la santé publique. Toutefois, elle a constaté que le responsable du traitement aurait également pu informer ces employés sans divulguer le nom complet des employés infectés. Selon l’APD, l’objectif de prévention d’une propagation de masse aurait pu être atteint de cette manière. Par conséquent, l’APD a estimé que le responsable du traitement avait traité illégalement les données relatives à la santé de l’employé infecté, conformément à l’art. 9 et à l’art. 5 par. 1 let. c RGPD. Il suffit donc d’informer les employés qui ont été en contact avec un employé positif, sans fournir le nom de cet employé positif.

(Décision traduite et présentée en anglais : https://gdprhub.eu/index.php?title=IP_(Slovenia)_-_0611-608/2021/9)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)