Ces textes prévoient, entre autres, la transmission des données de santé sur la vaccination aux employeurs. d’instaurer un passe sanitaire pour accéder à de nombreux lieux et établissements de santé, une obligation vaccinale pour certains salariés et des mesures pour les personnels non vaccinés.
Un Flash Info et un guide pratique LDAJ complet sont disponibles en pièce-jointe sur le contrôle de ces données.
La justification de l’obligation de vaccination auprès de l’employeur (Art 12 de la loi et 2-3 du décret)
Les personnes soumises à l’obligation vaccinale (Voir Flash Info N°12) doivent justifier avoir satisfait à l’obligation vaccinale ou ne pas y être soumises auprès de leur employeur lorsqu’elles sont salariées ou agents publics.
Le contrôle de l’obligation vaccinale s’effectue dans les mêmes conditions que le passe sanitaire (article 49-2 du décret du 1er juin 2021) : par une simple "lecture" du justificatif de vaccination, lorsque cela est nécessaire pour l’accès au lieu de travail. (article 2-3 du décret du 1er juin 2021)
En revanche, l’employeur n’est pas autorisé à demander une copie du certificat de vaccination, ou de tout autre document relatif à l’état de santé des salariés, même par mail.
En effet, le certificat de vaccination contient des données de santé protégées par le secret médical. L’employeur ne peut conserver que « les résultats des vérifications de satisfaction à l’obligation vaccinale ». (article 13,IV de la loi du 5 août 2021).
Une durée de conservation des données sur l’obligation vaccinale indéterminée (Art. 2-3 du décret)
L’employeur conserve les données des vérifications de satisfaction à l’obligation vaccinale contre le covid-19 “jusqu’à la fin de l’obligation vaccinale”. Ils doivent s’assurer “de la conservation sécurisée de ces documents et, à la fin de l’obligation vaccinale, de la bonne destruction de ces derniers”.
Problème : ni la loi, ni le décret ne définissent la durée de l’obligation vaccinale, pas même dans son principe.
Or, pour garantir un traitement équitable et transparent, le responsable du traitement doit fournir à la personne concernée, au moment de la collecte, une information sur « la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ». (article 13 du Règlement UE 2016/679 - RGPD)
De plus, les données personnelles ne peuvent être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». (article 5 du Règlement UE 2016/679)
« La fin de l’obligation vaccinale » est un événement incertain dans son principe. En effet : une obligation vaccinale peut être permanente. Ainsi, les textes, dans leur rédaction actuelle, ne garantissent pas une durée raisonnable de conservation des données personnelles, ni une information des personnes concernées sur cette durée.
Le rôle du médecin du travail pour garantir le secret médical (art. 13 de la loi)
Selon les textes, les personnes peuvent transmettre le certificat de rétablissement ou le certificat médical de contre-indication au médecin du travail compétent, qui informe l’employeur, sans délai, de la satisfaction à l’obligation vaccinale avec, le cas échéant, le terme de validité du certificat transmis.
À notre sens, les salariés devraient également pouvoir communiquer au médecin du travail leur certificat de vaccination, pour la même raison : le secret médical. L’employeur n’a pas à savoir si le salarié est vacciné ou non, seulement s’il satisfait son obligation vaccinale.
À noter que dans une décision 2021-917 QPC du 11 juin 2021, le Conseil constitutionnel avait déclaré contraire à la constitution, une disposition qui prévoyait la transmission de données de santé susceptibles d’être communiquées aux employeurs au motif que la désignation des agents n’était subordonnée à aucune habilitation spécifique ni à aucun contrôle particulier. Cette demande portait une atteinte disproportionnée au droit au respect de la vie privée.
Les dispositions qui régissent le secret médical et professionnel sont les articles 226-13 et 226-22 du code pénal et l’article R.4127-4 du code de la santé publique.
Des contrôles par des personnes habilitées et sans enregistrement de données personnelles
Le contrôle des passes sanitaires ne peut être effectués que par des personnes et des services nommément habilités par le responsable de l’établissement ou de l’événement. Le nom de ces personnes et services ainsi que les jours et horaires des contrôles qu’ils ont effectués doivent être consignés dans un registre tenu par l’employeur.
Les contrôles peuvent être effectués au moyen de l’application "TousAntiCovid Vérif" ou d’une application équivalente répondant aux conditions du ministère de la Santé.
Les personnes habilitées aux contrôles doivent être informées et consentir à leurs obligations de protéger la confidentialité des données.
Elles ne doivent pouvoir lire que les noms, prénoms, date de naissance et le résultat positif ou négatif d’un justificatif conforme. Les données ne sont traitées qu’une seule fois et ne sont pas conservées. L’application conserve des données statistiques sur le nombre et la date de scans effectués, à l’exclusion de toute donnée personnelle.
Les personnes sont informées de manière appropriée et visible de ce contrôle sur les lieux dans lesquels il est effectué. Ces contrôles se tiennent aux accès de l’établissement.
Pas de passe sanitaire dans le cadre d’une activité syndicale
De même, conformément à la décision 2021-824 du Conseil constitutionnel du 5 août 2021 dans son considérant 42, le passe sanitaire ne peut pas être exigé pour exercer une activité syndicale et accéder aux locaux syndicaux dans un établissement public ou privé. Un Flash Info est disponible sur ce sujet :
http://www.sante.cgt.fr/Info-LDAJ-L-exercice-des-mandats-syndicaux-au-regard-de-la-mise-en-place-du
© Le secteur LDAJ de la Fédération CGT Santé Action Sociale - Novembre 2021