Trouver votre expert comptable

Pass sanitaire : comment gérer les données des salariés ?

Publié le jeudi 23 septembre 2021 à 11h34
Par Clotilde Costil, Accroche-press’ pour France Défi
Experts & Décideurs Vie de l’entreprise Juridique Pass sanitaire : comment gérer les données des salariés ?

Le contrôle du pass sanitaire est étendu aux salariés des établissements accueillant du public. Un effort supplémentaire demandé à ces entreprises qui doivent donc respecter un certain nombre de règles, à commencer par la protection des données des salariés.

Depuis le 30 août dernier, près de deux millions de salariés doivent présenter leur pass sanitaire à leur employeur. Tous travaillent dans des établissements recevant du public, regroupant notamment les lieux de loisirs, cinémas, bibliothèques, musées et salles d’exposition, festivals, événements sportifs, parcs zoologiques, parcs d’attractions, cirques, foires et salons, discothèques, clubs et bars dansants, bars, cafés et restaurants, transports publics interrégionaux (…) d’après une liste définie par le gouvernement.

Un risque d’amende en cas de non-respect

Ces entreprises étaient déjà soumises au contrôle du pass sanitaire auprès du public depuis le 9 août dernier. Elles doivent donc désormais faire de même avec leurs propres employés de plus de 18 ans. Les salariés de moins de 18 ans ne seront tenus de présenter un pass sanitaire qu’à partir du 30 septembre.

Si une entreprise ne contrôle pas la détention du pass sanitaire, elle peut faire l’objet d’une mise en demeure suivie d’une fermeture administrative. Si un manquement est constaté à plus de trois reprises au cours d’une période de quarante-cinq jours, l’exploitant du lieu ou de l’établissement risque un an d’emprisonnement et 9 000 € d’amende. L’utilisation frauduleuse d’un pass sanitaire est quant à elle puni d’une amende de 750 €, forfaitisée à 135 € si elle est réglée rapidement.

Outre la certification de vaccination, les employés peuvent également montrer la preuve d’un test de dépistage négatif de moins de 72h (test RT-PCR, antigénique ou autotest réalisé sous la supervision d’un professionnel de santé) ou le résultat d’un test RT-PCR ou antigénique positif attestant du rétablissement de la Covid-19, datant d’au moins 11 jours et de moins de 6 mois.

Qui contrôle au sein de l’entreprise ?

Selon le site service-public.fr, le responsable de l’établissement est la personne qui en premier lieu peut opérer le contrôle du pass sanitaire, toujours à l’entrée de l’établissement. Il peut aussi désigner les personnes autorisées à contrôler les justificatifs pour son compte. “Pour ce faire, un registre doit être mis en place afin de détailler les personnes et la date de leur habilitation, ainsi que les jours et horaires des contrôles effectués par ces personnes”, indique le portail france.num.gouv.fr.

Ce contrôle doit être effectué chaque jour, sauf pour les salariés qui fournissent volontairement une attestation de vaccination. Cette vérification peut être réalisée grâce à l’application TousAntiCovid Verif, disponible sur iOS et Android, qui fonctionne grâce à un système de QR code à flasher sur le document présenté par le salarié. La Commission nationale de l’informatique et des libertés (CNIL) met toutefois en garde contre l’utilisation de dispositifs de lecture de QR code alternatifs qui sont relativement moins bien sécurisés en matière de protection des données. Elle lui recommande d’ailleurs de n’autoriser l’usage de ces outils tiers seulement lorsque l’utilisation de TousAntiCovid Verif s’avère « matériellement impossible ».

Que deviennent les données collectées ?

L’utilisation de l’application TousAntiCovid Verif développée par une entreprise française “IN Groupe” (détenue par l’État français) assure la confidentialité des documents de santé. Lors du scan du QR code, une mention apparaît immédiatement aux yeux du contrôleur : verte si le pass est validé, rouge dans le cas contraire. Il peut également accéder au nom et prénom de la personne scannée et à sa date de naissance. Le contrôleur n’ira pas plus loin en revanche : les autres informations médicales contenues dans le QR code sont cryptées.

Si les personnes habilitées au contrôle du pass doivent être préalablement informées des obligations qui leur incombent en matière de données, il leur est interdit de conserver le justificatif du pass sanitaire, c’est-à-dire le QR code qui relève de données à caractère personnel soumises au Règlement général sur la protection des données (RGPD). Seul le résultat de l’opération de vérification (la mention “valide” ou “invalide”) peut être gardé par l’employeur. Le fait de conserver le justificatif du pass pour l’utiliser à d’autres fins expose l’employeur à une sanction d’un an d’emprisonnement et de 45 000 € d’amende.