Un organisme de contrôle médical peut-il traiter les données de santé de ses propres salariés ?
La Cour de Justice de l’Union européenne a récemment jugé (lien vers la décision) que ce type de traitement est parfaitement licite au regard du RGPD, sous réserve de respecter, effectivement, les conditions et garanties prévues par ce texte.
En l’occurrence, l’affaire concernait un service médical ayant notamment pour mission légale d’évaluer l’incapacité de personnes assurées auprès de certaines caisses d’assurance maladie. Cette mission, réalisée sous forme d’expertise médicale, permet aux caisses d’assurance maladie d’apprécier leur obligation ou non de verser des indemnités d’incapacité de travail.
A la demande d’une des caisses concernées, le service médical a réalisé une expertise relative à l’incapacité de travail d’un assuré de ladite caisse. La particularité de la situation résidait dans le fait que cet assuré était, par ailleurs, un employé du service médical.
Après avoir découvert que son employeur a réalisé une expertise médicale sur son incapacité de travail, la personne concernée a réussi à obtenir le rapport d’expertise associé par le biais d’un ses collègues.
Considérant qu’un tel traitement de ses données de santé à caractère personnel a été réalisé illicitement, notamment sans son consentement, la personne concernée a alors attrait en justice, son employeur, le service médical.
Pour mémoire, le RGPD prévoit des exceptions à l’interdiction de principe du traitement de données de santé (article 9§1 du RGPD), parmi lesquelles figure le « traitement nécessaire notamment à l'appréciation de la capacité de travail du travailleur » (article 9§2 h)).
Si un tel traitement est possible, il doit, néanmoins, être exercé sous certaines réserves (même article), en particulier le respect d’un devoir de confidentialité dans les conditions indiquées à l’article 9§3 du RGPD (« les données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l'Union, au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l'Union ou au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents. »).
Les juges européens ont considéré que cette exception (le traitement de données de santé nécessaire à l’évaluation de capacité d’un travailleur) n’a pas à être limitée « aux hypothèses où un " tiers neutre " traite des données concernant la santé aux fins de l’appréciation de la capacité de travail d’un travailleur ». La « casquette » d’employeur du responsable de traitement concerné est donc sans incidence sur la possibilité pour celui-ci, en tant qu’organisme de contrôle médical, de réaliser un tel traitement.
La CJUE a également précisé qu’il n’est pas nécessaire, par principe, que le responsable du traitement garantisse qu’aucun collègue de la personne concernée ne puisse accéder aux données se rapportant à l’état de santé de celle‑ci. Pour la Cour, il suffit que les traitements soient réservés à des personnes soumises à une obligation de secret, conformément aux conditions prévues par le RGPD (article 9§3 du RGPD).
Par ailleurs, les juges européens ont précisé qu’un traitement autorisé, par exception en vertu du RGPD, n’est pas pour autant dispensé de base légale et ce, comme tout traitement de données à caractère personnel. Un tel traitement doit donc également respecter l’une des conditions de licéité prévues à l’article 6§1 du RGPD (consentement, exécution d’un contrat, obligation légale, sauvegarde des intérêts vitaux, mission d’intérêt public, intérêt légitime).
Cette solution nous donne ainsi des éclairages pour apprécier la licéité de certains traitements de données de santé réalisés pour les besoins d’une mission légale/de service public, d’une part, et l’organisation de la protection du secret médical dans un tel cadre, d’autre part.
À lire aussi : En direct de l’APSSIS – La directive NIS 2 pourrait s’appliquer à l’ensemble des établissements hospitaliers français
Avez-vous apprécié ce contenu ?
A lire également.
Au GHT de Saône-et-Loire – Bresse-Morvan, un concentrateur de données comme socle des usages d’IA et de la coordination territoriale
17 mars 2026 - 08:32,
Actualité
- Par Pierre Derrouch, DSIHFace aux limites d’une convergence applicative étendue à plus de 350 logiciels hétérogènes, le Groupement hospitalier de territoire de Saône-et-Loire – Bresse-Morvan a engagé, à partir de 2022, une inflexion stratégique centrée sur la donnée. Mis en production en 2023, un concentrateur de données de...
L’Occident se fracasse sur Seedance – la cyber face au paradigme de Robin des Bois
24 fév. 2026 - 08:18,
Tribune
-Impossible de le rater si on s’intéresse un minimum aux évolutions de l’IA : le logiciel Seedance(1), IA spécialisée dans la génération de vidéo d’un réalisme époustouflant, déclenche la colère des Majors américaines : Warner, Disney, Netflix, etc.
L’approche Calimero de la filière logicielle : quand un responsable passe à côté des enjeux industriels et regarde le doigt plutôt que la lune
10 fév. 2026 - 08:14,
Tribune
-Je suis tombé sur une interview [1] de très bon niveau sur BFM Business : celle de Michel Paulin, président de la filière Logiciels et solutions numériques de confiance, ancien patron d’OVHcloud et de SFR, sur les rapports entre la souveraineté numérique, le rôle de l’État et de la commande publique...
Pourquoi le parcours patient n’existe pas (encore)
02 fév. 2026 - 21:08,
Tribune
-Le parcours patient est devenu un mot-clé, presque un slogan. Il est omniprésent dans les discours stratégiques, les projets d’établissement et les feuilles de route numériques. Pourtant, dans les hôpitaux, il reste largement invisible. Les patients ressentent des ruptures, des lenteurs, des incohér...
