Alors que les organisations commencent à réintroduire les gens dans les lieux de travail et les écoles pendant la pandémie de COVID-19, elles sont confrontées à un ensemble unique de problèmes de protection de la vie privée qui découlent de l'utilisation de processus et de technologies de dépistage. Les organisations doivent concevoir et mettre en œuvre de nouvelles procédures pour protéger la santé et la sécurité des travailleurs, des étudiants et du personnel, mais ces procédures, la technologie déployée pour les mettre en œuvre et les données recueillies à l'appui de ces procédures peuvent aller à l'encontre des protections juridiques prévues par les lois sur la confidentialité et la sécurité, sans parler des lois sur le travail et l'emploi. Les lois qui s'appliquent à chaque organisation varient également selon qu'il s'agit d'une entité publique ou privée et selon la ou les juridictions dans lesquelles l'organisation opère.

En général, le retour au travail et à l'école implique la mise en œuvre d'une combinaison des stratégies suivantes : (1) règles et procédures écrites à suivre, (2) présélection pour déterminer qui peut retourner au travail ou à l'école, (3) suivi des symptômes et dépistage de la santé sur une base continue, et (4) recherche des contacts et mise en quarantaine si l'on soupçonne une exposition au COVID-19. Chacune de ces stratégies crée une série de problèmes qui doivent être résolus.

Bien que les procédures écrites doivent être conformes aux directives changeantes de la santé publique, elles peuvent ne pas être applicables. Par exemple, de nombreuses écoles publiques ont créé des procédures écrites pour les athlètes qui reprennent leur sport au niveau du lycée et de l'université. Bien que ces procédures soient conçues pour protéger et assurer la sécurité des athlètes, elles franchissent souvent la limite entre l'encouragement des athlètes à suivre les règles et l'affirmation que les athlètes ont assumé les risques de la participation - ce qui constitue une renonciation - avec une applicabilité douteuse.

Le fait que la présélection des employés en vue de déterminer s'ils peuvent reprendre le travail puisse violer les lois sur l'emploi est étroitement lié aux problèmes de confidentialité. L'EEOC a déjà affirmé que l'utilisation des tests d'anticorps COVID-19 comme moyen de présélectionner les employés pour déterminer s'ils peuvent retourner au travail viole la norme de l'Americans with Disabilities Act "liée à l'emploi et conforme à la nécessité commerciale" pour les examens ou enquêtes médicaux des employés actuels, car les directives du CDC prévoient que les résultats des tests d'anticorps "ne devraient pas être utilisés pour prendre des décisions concernant le retour des personnes sur le lieu de travail".

Le suivi des symptômes et le dépistage de la santé soulèvent un certain nombre de questions relatives à la protection de la vie privée, qu'il s'agisse des questions qui peuvent être posées dans le cadre du dépistage ou de la manière dont les données recueillies doivent être traitées. Les directives de l'EEOC à l'intention des employeurs couverts précisent que les employeurs peuvent demander aux employés s'ils présentent des symptômes associés au COVID-19, conformément aux symptômes et aux directives actuels spécifiés par le CDC, ou à ceux d'autres autorités de santé publique et de sources médicales réputées. Les employeurs peuvent également prendre la température corporelle de leurs employés pendant la pandémie, conformément aux recommandations du CDC et des autorités sanitaires locales et régionales. Toutes les informations recueillies doivent être traitées comme un dossier médical de l'employé, avec les implications associées à la protection de la confidentialité de ces données et les limites à la conservation et au partage de ces informations. Il est important de noter que les employeurs sont autorisés à partager les informations médicales avec les agences de santé publique.

L'utilisation de la recherche des contacts pour déterminer si une personne a été exposée au COVID-19, ou a exposé d'autres personnes, soulève une pléthore de nouvelles questions. La recherche des contacts peut être effectuée manuellement, mais elle est souvent mise en œuvre par des applications mobiles qui communiquent entre elles. Le partenariat Google/Apple, par exemple, a développé une interface de programmation d'applications (API) commune qui sera disponible sur tous les téléphones mobiles fonctionnant sous les systèmes d'exploitation Android ou iOS. Cette API permet aux agences de santé publique et aux organisations médicales de développer des applications de recherche des contacts. La technologie sous-jacente permet aux téléphones d'entrer en contact les uns avec les autres lorsqu'ils sont à proximité et de partager des informations anonymes qui peuvent être utilisées ultérieurement pour établir des listes de contacts si une personne est diagnostiquée comme étant atteinte du COVID-19. Cette technologie est sujette à un certain nombre de problèmes de confidentialité et de sécurité, notamment le suivi des appareils pour identifier et localiser les utilisateurs, le partage d'informations de santé personnellement identifiables[8] et confidentielles, et l'utilisation de ces données à d'autres fins par les entreprises technologiques ou les organismes de santé publique. Ces applications doivent également être déployées avec précaution par les employeurs afin d'éviter les problèmes de droit du travail liés à la surveillance en dehors des heures de travail. Les lois existantes sur la protection de la vie privée sont toujours en vigueur pour les données collectées dans le cadre du suivi des contacts, et certains États interviennent pour créer de nouvelles lois sur la protection de la vie privée afin de traiter spécifiquement du suivi des contacts.

Enfin, la collecte de données pose également des problèmes de conservation des documents. Les organisations peuvent être chargées de conserver certains documents pour établir la conformité avec les mandats de protection de la vie privée ou pour répondre à des préoccupations réglementaires plus larges, en particulier pour les documents relatifs aux ressources humaines. De plus, certaines données, même si elles n'atteignent pas le niveau d'un enregistrement, peuvent devoir être conservées pour des mesures statistiques ou autres. Ces questions de conservation des données doivent être soigneusement mises en balance avec les réglementations strictes en matière de protection de la vie privée aux niveaux national et international. À cette fin, les préoccupations relatives à la découverte de litiges pourraient également se manifester. C'est là que les processus et les systèmes de conservation et d'élimination des documents sont les plus importants.

Dans l'ensemble, les organisations sont confrontées à un ensemble difficile de problèmes de confidentialité découlant de l'utilisation de processus et de technologies de dépistage pour réintroduire les travailleurs et les étudiants sur les lieux de travail et dans les écoles pendant la pandémie de COVID-19. Le paysage des questions juridiques relatives à la protection de la vie privée va continuer à évoluer au fur et à mesure que les directives des CDC changent et que les gouvernements adoptent de nouvelles lois pour répondre spécifiquement aux défis liés au COVID-19.