Délibération n° 2021-173 du 21 juillet 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Enquêtes épidémiologiques COVID-19 en milieu de travail », présenté par l'Office de la Médecine du Travail.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel ;
Vu la loi n° 637 du 11 janvier 1958 tendant à créer et à organiser la médecine du travail, modifiée ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.451 du 4 juillet 2017 modifiant certaines dispositions relatives à la médecine du travail ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l’Ordonnance Souveraine n° 6.987 du 29 juin 2018 relative à l’organisation et à la modernisation du fonctionnement de la Médecine du Travail ;
Vu l’arrêté ministériel n° 2010-638 du 23 décembre 2010 portant application de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la Décision Ministérielle du 5 janvier 2021 relative à l’adaptation des règles relatives à la médecine du travail dans le cadre de l’épidémie de COVID-19, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la Recommandation R(97) 5 du Comité des Ministres aux États membres du Conseil de l’Europe relative à la protection des données médicales du 13 février 1997 ;
Vu la demande d’avis déposée par l’Office de la Médecine du Travail le 13 avril 2021 concernant le traitement automatisé d’informations nominatives ayant pour finalité « Enquêtes épidémiologiques COVID-19 en milieu de travail » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 11 juin 2021, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 21 juillet 2021 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
La loi n° 637 du 11 janvier 1958 tendant à créer et à organiser la médecine du travail dispose que l’Office de la Médecine du travail (OMT) « participe, le cas échéant, en liaison avec l’Inspection du travail, à toutes recherches, études et enquêtes, en particulier à caractère épidémiologique, entrant dans le cadre de ses missions ».
La Décision Ministérielle du 5 janvier 2021 relative à l’adaptation des règles relatives à la médecine du travail dans le cadre de l’épidémie de COVID-19, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies, est venue conforter l’intervention de l’OMT dans le cadre spécifique des enquêtes épidémiologiques relatives à la crise sanitaire Covid-19.
Aussi, l’OMT souhaite soumettre à l’avis de la Commission, conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, le traitement ayant pour finalité « Enquêtes épidémiologiques COVID-19 en milieu de travail ».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Enquêtes épidémiologiques COVID-19 en milieu de travail ».
Il concerne les salariés et employeurs de la Principauté.
Les fonctionnalités du traitement sont :
- Réception des signalements des employeurs des cas de COVID-19 confirmés (PCR positive) ou hautement probables (c’est-à-dire présentant les symptômes évocateurs de perte de goût et d’odorat) au sein de l’entreprise (les cas index) ;
- Création d’une fiche d’enquête COVID-19 dans un outil dédié développé par l’OMT ;
- Transmission aux employeurs d’un tableau de recensement des « cas contacts » (tableau établi en coordination entre les médecins de l’OMT et la DASA) ;
- Appel du cas index par le médecin afin de mieux connaître son état de santé et mise à jour du tableau ;
- Communication du tableau à la DASA via un outil de transfert sécurisé ;
- Enregistrement du tableau dans l’outil dédié développé par l’OMT ;
- Réception des résultats communiqués par la DASA (tests réalisés par le Centre National de Dépistage de Monaco) ;
- Recherche des résultats manquants dans l’application de suivi des tests de la DASA via un accès dédié fourni par cette dernière ;
- Réception des résultats des tests réalisés hors Centre National de Dépistage de Monaco (transmis par les laboratoires d’analyse) ;
- Saisie des résultats dans l’outil OMT dédié ;
- Pour les salariés dont le résultat est inconnu 10 jours après le dernier contact avec le cas index, enquête par du personnel dédié de l’OMT directement auprès des personnes concernées afin de savoir si un test a été réalisé et connaitre son éventuel résultat (données déclaratives) ;
- Communication des résultats consolidés à la DASA (envoi sécurisé) ;
- Production de statistiques anonymes.
La Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le respect d’une obligation légale à laquelle il est soumis, un motif d’intérêt public, ainsi que par la réalisation d’un intérêt légitime, sans que ne soient méconnus ni l’intérêt, ni les droits et libertés fondamentaux de la personne concernée.
La Commission relève que l’article 2 5) de la loi n° 637 du 11 janvier 1958 dispose que l’OMT « participe, le cas échéant, en liaison avec l’Inspection du travail, à toutes recherches, études et enquêtes, en particulier à caractère épidémiologique, entrant dans le cadre de ses missions ».
En ce qui concerne plus précisément la crise sanitaire en lien avec la Covid-19, elle relève que la Décision Ministérielle du 5 janvier 2021, susvisée, dispose en son article premier que « (…) l’Office de la Médecine du Travail participe à la lutte contre l’épidémie de COVID-19, notamment aux actions de dépistage et de vaccination définies par l’État dans le cadre de cette lutte ».
Il est également précisé que dans le cadre de ces actions définies par l’État, une procédure a été établie par la Direction de l’Action Sanitaire (DASA). Les 5 premiers points de cette procédure sont définis comme suit :
- « Si le salarié est présent sur son lieu de travail, l’employeur lui demande de rentrer chez lui immédiatement et de respecter les mesures barrières renforcées vis-à-vis de son entourage ;
- L’employeur prévient rapidement l’Office de la Médecine du Travail par téléphone au 97.98.46.46 (en semaine) et/ou par courriel à l’adresse info-covid19@omt.mc en communiquant les coordonnées de la personne détectée positive ;
- Le médecin du travail adresse à l’employeur le protocole nécessaire pour dresser la liste des cas contacts au sein de ses locaux : celui-ci envoie rapidement au médecin du travail les coordonnées des personnes potentiellement concernées ;
- L’employeur demande aux personnes qu’il identifie comme contacts à risque élevé de rentrer chez elles et de respecter les mesures barrières renforcées vis-à-vis de leur entourage ;
- Le médecin du travail mène une enquête épidémiologique en collaboration avec l’employeur et, le cas échéant, en lien avec le médecin inspecteur de santé publique de la Direction de l’Action Sanitaire pour les services de la Fonction Publique ou le médecin scolaire pour les établissements scolaires de la Principauté ».
À cet égard, la Commission relève que la gestion des cas contacts à laquelle participe l’OMT est prévue par la Décision Ministérielle du 1er juillet 2021 modifiant la Décision Ministérielle du 20 mai 2020 relative à la mise en œuvre d’un traitement d’informations nominatives destiné à permettre le suivi de la situation épidémiologique, prise en application de l’article 65 de l’Ordonnance Souveraine n° 6.387 du 9 mai 2017 relative à la mise en œuvre du Règlement Sanitaire International (2005) en vue de lutter contre la propagation internationale des maladies.
Cette dernière dispose que l’État peut mettre en œuvre un traitement ayant notamment pour fonctionnalité la gestion « des données d’identification des personnes ayant été en contact avec des personnes infectées par ce virus afin d’identifier, au moyen d’une enquête sanitaire si nécessaire, les personnes présentant un risque d’infection ». Cette Décision précise en son article 3 que « Les données d’identification des personnes positives à la COVID-19 ne peuvent être communiquées à des personnes autres que les personnes dont l’intervention est strictement nécessaire pour permettre la mise en œuvre de toute mesure sanitaire pour éviter la propagation de la COVID-19, les autorités sanitaires de l’État de résidence de l’intéressé et, à la demande de ce dernier, à son médecin traitant. Ces données ne peuvent être communiquées, sauf consentement préalable des personnes positives concernées, aux personnes ayant été en contact avec elles ».
Aussi, la Commission appelle l’attention de l’OMT, qui a été chargée dans le cadre des relations de travail de rechercher les cas contacts en entreprise avant de les transmettre à la DASA, sur le rôle octroyé à l’employeur. Ce dernier, qui dispose de la connaissance de son entreprise et de ses personnels, et est en mesure d’appliquer les règles de renvoi des cas contacts à leur domicile, est « associé » à la recherche épidémiologique selon la procédure de la DASA (voir supra).
La Commission estime qu’en faisant le choix d’associer l’employeur, il y a un risque que celui-ci ne mette pas en œuvre la confidentialité requise relativement au statut du salarié initialement positif, qui peut ne pas vouloir indiquer son statut à ses cas contacts. Elle demande donc à ce que la sensibilisation des ces derniers soit renforcée, pour permettre notamment de recueillir le consentement à la divulgation de son état tel que prévu à l’article 3 de la Décision Ministérielle du 1er juillet 2021, susvisée.
Sous cette réserve, la Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
En ce qui concerne les données de santé :
- Cas index : origine de la contamination (professionnelle ou extra-professionnelle), état (symptomatique ou non) ;
- Cas contact : date du dernier contact avec le cas index et niveau de risque, résultat du test PCR pour les cas à risque élevé.
Ces données sont recueillies par l’employeur ou la DASA auprès de la personne concernée. Cette collecte est justifiée par les missions de l’OMT et les dispositions d’intérêt publics en lien avec la crise sanitaire qui incluent dans le dispositif cet organisme de droit privé investi d’une mission d’intérêt général.
En ce qui concerne les autres informations collectées :
- identité du signataire : nom, prénom ;
- vie professionnelle : fonction, signature, société ;
- statut : date de la convention.
En ce qui concerne la personne désignée pour accéder à distance :
- identité : cas index et cas contact : nom, prénom, date de naissance, n° CCSS ; référent chez l’employeur : nom et prénom ;
- adresses et coordonnées : cas index et cas contact : adresse, téléphone, mail ; référent chez l’employeur : téléphone et mail ;
- vie professionnelle : cas index et cas contact : employeur, établissement, service, possibilité de télétravail.
Les informations sont communiquées à l’OMT par l’employeur, qui en est le relai.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable des personnes concernées est réalisée par une mention sur le document de collecte, à savoir la prescription PCR pour le cas contact et dans la notice fournie dans le document de collecte en ce qui concerne le référent de l’employeur.
À la lecture des différentes mentions, la Commission constate que l’information des personnes concernées est effectuée conformément à l’article 14 de la loi n° 1.165.
Il est enfin précisé que le cas index, qui a déjà été informé préalablement s’il a été testé à Monaco, sera informé téléphoniquement de ses droits, étant isolé.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès est exercé par voie postale auprès du Directeur de l’OMT.
À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate que les informations objets du traitement sont communiquées à la DASA pour insertion dans le traitement de suivi épidémiologique du SARS-COV-2 en Principauté.
Ont par ailleurs accès aux informations objet du présent traitement les médecins et personnels habilités par les médecins, à savoir infirmières, auxiliaires médicales, personnels administratifs en renfort. Concernant ces derniers, la Commission demande à ce qu’un engagement de confidentialité renforcé soit signé.
Elle note par ailleurs que peuvent avoir accès au traitement les administrateurs IT de l’OMT, à la demande et sous la supervision d’un utilisateur habilité.
La Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et les interconnexions avec d’autres traitements
Le responsable de traitement indique que le traitement ne fait l’objet d’aucun rapprochement ou interconnexion. La Commission relève toutefois un rapprochement avec des traitements liés à la messagerie, qui n’ont pas fait l’objet de formalité légale. Elle demande donc à ce que ceux-ci lui soient soumis dans les meilleurs délais.
Elle relève en outre une interconnexion avec le traitement lié aux habilitations, légalement mis en œuvre.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
La Commission relève toutefois que l’OMT demande aux employeurs de transmettre les tableaux de cas contacts par le biais d’un lien de dépôt sécurisé, afin d’en protéger la transmission. Elle estime que l’information des employeurs devrait être renforcée sur ce point, afin de ne pas les communiquer par simple mail. À cet égard, la Commission demande qu’une procédure sécurisée soit mise en place dès la saisine de l’OMT pour information du « cas index », qui semble être transmise soit par téléphone, soit par simple mail.
En outre, les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les données sont conservées 2 mois avant d’être anonymisées, excepté le résultat du test qui est conservé dans le dossier médical du salarié. Concernant cette durée, la Commission prend acte des précisions selon lesquelles les médecins du Travail étant les prescripteurs des ordonnances pour réaliser les tests, ils doivent être destinataires des résultats qui sont conservés dans le dossier médical des salariés concernés.
Après en avoir délibéré, la Commission :
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Demande que :
- la communication initiale par l’employeur à l’OMT de données nominatives concernant la positivité à la COVID‑19 d’un salarié (cas index) soit sécurisée ;
- un engagement de confidentialité renforcée soit signé par les personnels administratifs appelés en renfort ;
- les traitements relatifs à la messagerie de l’OMT lui soient soumis dans les meilleurs délais ;
- le rôle de l’employeur soit mieux défini afin que le respect de la confidentialité due à la personne concernée ne donnant pas son consentement à la divulgation de son état à ses cas contacts soit respectée.
Sous réserve de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par l’Office de la Médecine du Travail, du traitement automatisé d’informations nominatives ayant pour finalité « Enquêtes épidémiologiques COVID-19 en milieu de travail ».
Le Président de la Commission de
Contrôle des Informations Nominatives.