Publicité en cours de chargement...
Un organisme de contrôle médical peut-il traiter les données de santé de ses propres salariés ?
La Cour de Justice de l’Union européenne a récemment jugé (lien vers la décision) que ce type de traitement est parfaitement licite au regard du RGPD, sous réserve de respecter, effectivement, les conditions et garanties prévues par ce texte.
En l’occurrence, l’affaire concernait un service médical ayant notamment pour mission légale d’évaluer l’incapacité de personnes assurées auprès de certaines caisses d’assurance maladie. Cette mission, réalisée sous forme d’expertise médicale, permet aux caisses d’assurance maladie d’apprécier leur obligation ou non de verser des indemnités d’incapacité de travail.
A la demande d’une des caisses concernées, le service médical a réalisé une expertise relative à l’incapacité de travail d’un assuré de ladite caisse. La particularité de la situation résidait dans le fait que cet assuré était, par ailleurs, un employé du service médical.
Après avoir découvert que son employeur a réalisé une expertise médicale sur son incapacité de travail, la personne concernée a réussi à obtenir le rapport d’expertise associé par le biais d’un ses collègues.
Considérant qu’un tel traitement de ses données de santé à caractère personnel a été réalisé illicitement, notamment sans son consentement, la personne concernée a alors attrait en justice, son employeur, le service médical.
Pour mémoire, le RGPD prévoit des exceptions à l’interdiction de principe du traitement de données de santé (article 9§1 du RGPD), parmi lesquelles figure le « traitement nécessaire notamment à l'appréciation de la capacité de travail du travailleur » (article 9§2 h)).
Si un tel traitement est possible, il doit, néanmoins, être exercé sous certaines réserves (même article), en particulier le respect d’un devoir de confidentialité dans les conditions indiquées à l’article 9§3 du RGPD (« les données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l'Union, au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l'Union ou au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents. »).
Les juges européens ont considéré que cette exception (le traitement de données de santé nécessaire à l’évaluation de capacité d’un travailleur) n’a pas à être limitée « aux hypothèses où un " tiers neutre " traite des données concernant la santé aux fins de l’appréciation de la capacité de travail d’un travailleur ». La « casquette » d’employeur du responsable de traitement concerné est donc sans incidence sur la possibilité pour celui-ci, en tant qu’organisme de contrôle médical, de réaliser un tel traitement.
La CJUE a également précisé qu’il n’est pas nécessaire, par principe, que le responsable du traitement garantisse qu’aucun collègue de la personne concernée ne puisse accéder aux données se rapportant à l’état de santé de celle‑ci. Pour la Cour, il suffit que les traitements soient réservés à des personnes soumises à une obligation de secret, conformément aux conditions prévues par le RGPD (article 9§3 du RGPD).
Par ailleurs, les juges européens ont précisé qu’un traitement autorisé, par exception en vertu du RGPD, n’est pas pour autant dispensé de base légale et ce, comme tout traitement de données à caractère personnel. Un tel traitement doit donc également respecter l’une des conditions de licéité prévues à l’article 6§1 du RGPD (consentement, exécution d’un contrat, obligation légale, sauvegarde des intérêts vitaux, mission d’intérêt public, intérêt légitime).
Cette solution nous donne ainsi des éclairages pour apprécier la licéité de certains traitements de données de santé réalisés pour les besoins d’une mission légale/de service public, d’une part, et l’organisation de la protection du secret médical dans un tel cadre, d’autre part.
À lire aussi : En direct de l’APSSIS – La directive NIS 2 pourrait s’appliquer à l’ensemble des établissements hospitaliers français
Avez-vous apprécié ce contenu ?
A lire également.

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)
22 juil. 2025 - 10:23,
Communiqué
- Biogroup & Agoria Santéle 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Un code de bonnes pratiques pour les modèles d'IA à usage général
15 juil. 2025 - 16:57,
Actualité
-Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Le numérique médico-social : mutation systémique et levier d’humanité
08 juil. 2025 - 01:07,
Actualité
- DSIHLongtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient
08 juil. 2025 - 00:49,
Actualité
- Maellie Vezien, DSIHÀ l’heure où les soins hospitaliers se déploient de plus en plus à domicile, l’implication du patient dans son parcours de santé devient essentielle. Mais comment favoriser son autonomie tout en garantissant une prise en charge sécurisée ? C’est le défi que relèvent l’HAD Vendée et Dicsit Informatiq...