Mise à jour le 10 septembre 2021

De quoi parle-t-on ?

Le cadre légal

L’obligation vaccinale contre la Covid-19 est édictée par la LOI n° 2021-1040 du 5 août 2021 relative à la gestion de la crise sanitaire en particulier son chapitre II. Cette loi est précisée par le Décret n° 2021-1059 du 7 août 2021 (qui n’est pas très utile dans notre cas).

Les personnels directement concernés

Elle s’impose aux personnels des établissements de soins, sociaux médico-sociaux, ainsi qu’un certain nombre de professionnels (professions des secteurs médical, paramédical, sanitaire et social, pompiers, ambulanciers…).

Les personnels exempts

Les salariés des entreprises extérieures intervenant ponctuellement, c’est-à-dire de manière non récurrente pour des tâches de très courte durée ne sont pas soumis à l’obligation vaccinale. Il s’agit donc des interventions très brèves et non récurrentes, comme l’intervention d’une entreprise de livraison ou une réparation urgente. En revanche, la réalisation de travaux lourds dans l’entreprise (rénovation d’un bâtiment) ou l’intervention des services de nettoyage ne sont pas considérées comme des tâches ponctuelles.

Le calendrier d’application

L’obligation vaccinale ne s’appliquera pleinement qu’à compter du 16 octobre 2021. Jusqu’à cette date, une période transitoire en plusieurs étapes est prévue pour permettre aux professionnels concernés de se conformer à leur obligation.

Du 09/08 au 14/09, sans vaccination complète, un passe sanitaire est exigé a minima, ou une contre-indication médicale.

Du 15/09 au 15/10, une vaccination partielle accompagnée d’un test négatif sont exigés a minima, ou une contre-indication médicale.

À partir du 16/10, une vaccination complète est exigée, ou une contre-indication médicale.

Conséquences sur le contrat de travail

La sanction du non-respect de l’obligation vaccinale est l’interdiction pour le salarié d’exercer son activité. En pratique, le dispositif prévu est similaire à celui qui s’applique pour le passe sanitaire : le salarié peut utiliser des jours de repos, en accord avec son employeur ; à défaut, son contrat de travail est suspendu.

Comment fonctionner ?

Les employeurs-responsables de traitement doivent tenir un registre de leurs salariés ayant présenté un schéma vaccinal complet, et donc aptes à travailler. Ce registre ne doit contenir que les personnes aptes.

Afin d’obtenir cette information, les employeurs reçoivent communication de cette information :

  • par les salariés directement, qui doivent leur communiquer leur état de vaccination;
  • par la médecine du travail si celle-ci a été sollicitée par les salariés pour cause de contre-indication vaccinale ou certificat de rétablissement à la Covid-19, avec son terme de validité le cas échéant.

Si les salariés souhaitent présenter leur document à leur employeur, celui ne peut en déléguer le contrôle que pour les organisations de plus de 2000 salariés ou agents.

Les risques

En tant qu’organisation concernée par l’obligation vaccinale de ses salariés et en se limitant aux questions de protection des données, vous êtes exposés aux risques de

  • défaut de présentation d’un registre des traitements à jour :
    • d’un devoir de réparation du préjudice, par le juge civil ;
    • d’une sanction administrative pouvant aller jusqu’à 2% du chiffre d’affaire mondial consolidé ou de 10.000.000€ (le montant le plus élevé étant retenu) par la CNIL.
  • collecte illicite de données à caractère personnel, passible :
    • de 300.000€ d’amende et de 5 ans de prison pour la personne physique responsable de la collecte, par le juge pénal (art.226-18 du Code Pénal) ;
    • d’un devoir de réparation du préjudice, par le juge civil ;
    • d’une sanction administrative pouvant aller jusqu’à 4% du chiffre d’affaire mondial consolidé ou de 20.000.000€ (le montant le plus élevé étant retenu) par la CNIL.

Pour éviter, ou du moins atténuer ces risques, il convient de mettre en place

  1. la formation nécessaire en matière de protection des données dans ce cas particulier pour les personnels en charge, ainsi que
  2. toute l’information nécessaire pour que les personnes concernées aient été suffisamment informées en visant à mettre en place ce dispositif dans la plus grande confiance, et
  3. mettre à jour son registre des traitements.

Annexes

Traitement « Contrôler le respect de l’obligation vaccinale »

  • Finalités du traitement : Contrôler l’obligation vaccinale des salariés et intervenants concernés
  • Base de licéité : RGPD art.6.1.c respect d’une obligation légale (loi relative à la gestion de la crise sanitaire, chapitre II) et 9.2.g (motifs d’intérêt public sur la base de la loi)
  • Catégorie de personnes concernées : Salariés et personnes soumises à l’obligation vaccinale
  • Catégories de données à caractère personnel :
    • Nom, prénom
    • Matricule du salarié (le cas échéant)
    • Mention « Obligation vaccinale OK » (ou assimilable)
  • Catégories de destinataires des données : La direction de l’Organisation
  • Durée de conservation des données : Durée du contrat le salarié à son employeur ou de l’obligation vaccinale (non précisé dans la loi et donc dispositif à considérer actuellement comme pérenne)
  • Description des mesures de sécurité mises en œuvre :
    • Formation des personnels aux questions spécifiques de la protection des données dans le cadre du contrôle du passe sanitaire
    • Modalités renforcées de communication avec le service de santé au travail
    • Information des modalités de contrôle par voie d’affichage
    • etc.

Arbitrage sur la nécessité de réaliser une AIPD

Une AIPD (Analyse d’Impact sur la Protection des Données) est un processus et un document permettant d’apprécier les risques et les impacts pour les personnes concernées d’un événement indésirable sur le traitement (perte de confidentialité, intégrité et/ou disponibilité des données). Le RGPD précise les exigences pour les AIPD dans ses articles 35 et 36, et le CEPD (Comité Européen de Protection des Données) a validé le document wp248 rev.01 qui précise la loi. Ce document indique que si un traitement valide deux des neufs critères présentés à son §III.B.a, une AIPD est requise.

Nous avons donc fait le travail d’appréciation et nous notons qu’il est possible de retenir :

  1. le traitement porte sur des personnes vulnérables (salariés, relation de subordination)
  2. le traitement embarque des données sensibles ou hautement personnelles (l’état vaccinal, y compris si un salarié a eu 3 doses ou même 1 seule dose)
  3. le traitement est « à grande échelle » (100% du personnel est concerné dans le cas d’une maison de retraite par exemple)
  4. le traitement empêche [les personnes concernées] d’exercer un droit ou de bénéficier d’un service ou d’un contrat

Nous aurions donc potentiellement 4 critères sur 9, ce qui rend la réalisation d’une AIPD requise.

Limites de l’exercice

Ne voyez dans cet article aucun signe de maîtrise complète du sujet. Nous vous invitons à nous donner votre point de vue, signaler des erreurs ou des améliorations possibles, en laissant un commentaire éventuel.

Licence de publication

Auteurs : PiaLab et Baptiste LARVOL-SIMON

Licence de publication : Creative-Commons By-SA autorisation vous est donnée de recopier et modifier le contenu de cet article en respectant la licence ici indiquée et en citant l’auteur d’origine.