Publicité en cours de chargement...
Un organisme de contrôle médical peut-il traiter les données de santé de ses propres salariés ?
La Cour de Justice de l’Union européenne a récemment jugé (lien vers la décision) que ce type de traitement est parfaitement licite au regard du RGPD, sous réserve de respecter, effectivement, les conditions et garanties prévues par ce texte.
En l’occurrence, l’affaire concernait un service médical ayant notamment pour mission légale d’évaluer l’incapacité de personnes assurées auprès de certaines caisses d’assurance maladie. Cette mission, réalisée sous forme d’expertise médicale, permet aux caisses d’assurance maladie d’apprécier leur obligation ou non de verser des indemnités d’incapacité de travail.
A la demande d’une des caisses concernées, le service médical a réalisé une expertise relative à l’incapacité de travail d’un assuré de ladite caisse. La particularité de la situation résidait dans le fait que cet assuré était, par ailleurs, un employé du service médical.
Après avoir découvert que son employeur a réalisé une expertise médicale sur son incapacité de travail, la personne concernée a réussi à obtenir le rapport d’expertise associé par le biais d’un ses collègues.
Considérant qu’un tel traitement de ses données de santé à caractère personnel a été réalisé illicitement, notamment sans son consentement, la personne concernée a alors attrait en justice, son employeur, le service médical.
Pour mémoire, le RGPD prévoit des exceptions à l’interdiction de principe du traitement de données de santé (article 9§1 du RGPD), parmi lesquelles figure le « traitement nécessaire notamment à l'appréciation de la capacité de travail du travailleur » (article 9§2 h)).
Si un tel traitement est possible, il doit, néanmoins, être exercé sous certaines réserves (même article), en particulier le respect d’un devoir de confidentialité dans les conditions indiquées à l’article 9§3 du RGPD (« les données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l'Union, au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l'Union ou au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents. »).
Les juges européens ont considéré que cette exception (le traitement de données de santé nécessaire à l’évaluation de capacité d’un travailleur) n’a pas à être limitée « aux hypothèses où un " tiers neutre " traite des données concernant la santé aux fins de l’appréciation de la capacité de travail d’un travailleur ». La « casquette » d’employeur du responsable de traitement concerné est donc sans incidence sur la possibilité pour celui-ci, en tant qu’organisme de contrôle médical, de réaliser un tel traitement.
La CJUE a également précisé qu’il n’est pas nécessaire, par principe, que le responsable du traitement garantisse qu’aucun collègue de la personne concernée ne puisse accéder aux données se rapportant à l’état de santé de celle‑ci. Pour la Cour, il suffit que les traitements soient réservés à des personnes soumises à une obligation de secret, conformément aux conditions prévues par le RGPD (article 9§3 du RGPD).
Par ailleurs, les juges européens ont précisé qu’un traitement autorisé, par exception en vertu du RGPD, n’est pas pour autant dispensé de base légale et ce, comme tout traitement de données à caractère personnel. Un tel traitement doit donc également respecter l’une des conditions de licéité prévues à l’article 6§1 du RGPD (consentement, exécution d’un contrat, obligation légale, sauvegarde des intérêts vitaux, mission d’intérêt public, intérêt légitime).
Cette solution nous donne ainsi des éclairages pour apprécier la licéité de certains traitements de données de santé réalisés pour les besoins d’une mission légale/de service public, d’une part, et l’organisation de la protection du secret médical dans un tel cadre, d’autre part.
À lire aussi : En direct de l’APSSIS – La directive NIS 2 pourrait s’appliquer à l’ensemble des établissements hospitaliers français
Avez-vous apprécié ce contenu ?
A lire également.
Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...
Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...
Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !
30 juin 2025 - 20:50,
Communiqué
- APSSISL’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.
