Un organisme de contrôle médical peut-il traiter les données de santé de ses propres salariés ?
La Cour de Justice de l’Union européenne a récemment jugé (lien vers la décision) que ce type de traitement est parfaitement licite au regard du RGPD, sous réserve de respecter, effectivement, les conditions et garanties prévues par ce texte.
En l’occurrence, l’affaire concernait un service médical ayant notamment pour mission légale d’évaluer l’incapacité de personnes assurées auprès de certaines caisses d’assurance maladie. Cette mission, réalisée sous forme d’expertise médicale, permet aux caisses d’assurance maladie d’apprécier leur obligation ou non de verser des indemnités d’incapacité de travail.
A la demande d’une des caisses concernées, le service médical a réalisé une expertise relative à l’incapacité de travail d’un assuré de ladite caisse. La particularité de la situation résidait dans le fait que cet assuré était, par ailleurs, un employé du service médical.
Après avoir découvert que son employeur a réalisé une expertise médicale sur son incapacité de travail, la personne concernée a réussi à obtenir le rapport d’expertise associé par le biais d’un ses collègues.
Considérant qu’un tel traitement de ses données de santé à caractère personnel a été réalisé illicitement, notamment sans son consentement, la personne concernée a alors attrait en justice, son employeur, le service médical.
Pour mémoire, le RGPD prévoit des exceptions à l’interdiction de principe du traitement de données de santé (article 9§1 du RGPD), parmi lesquelles figure le « traitement nécessaire notamment à l'appréciation de la capacité de travail du travailleur » (article 9§2 h)).
Si un tel traitement est possible, il doit, néanmoins, être exercé sous certaines réserves (même article), en particulier le respect d’un devoir de confidentialité dans les conditions indiquées à l’article 9§3 du RGPD (« les données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l'Union, au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l'Union ou au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents. »).
Les juges européens ont considéré que cette exception (le traitement de données de santé nécessaire à l’évaluation de capacité d’un travailleur) n’a pas à être limitée « aux hypothèses où un " tiers neutre " traite des données concernant la santé aux fins de l’appréciation de la capacité de travail d’un travailleur ». La « casquette » d’employeur du responsable de traitement concerné est donc sans incidence sur la possibilité pour celui-ci, en tant qu’organisme de contrôle médical, de réaliser un tel traitement.
La CJUE a également précisé qu’il n’est pas nécessaire, par principe, que le responsable du traitement garantisse qu’aucun collègue de la personne concernée ne puisse accéder aux données se rapportant à l’état de santé de celle‑ci. Pour la Cour, il suffit que les traitements soient réservés à des personnes soumises à une obligation de secret, conformément aux conditions prévues par le RGPD (article 9§3 du RGPD).
Par ailleurs, les juges européens ont précisé qu’un traitement autorisé, par exception en vertu du RGPD, n’est pas pour autant dispensé de base légale et ce, comme tout traitement de données à caractère personnel. Un tel traitement doit donc également respecter l’une des conditions de licéité prévues à l’article 6§1 du RGPD (consentement, exécution d’un contrat, obligation légale, sauvegarde des intérêts vitaux, mission d’intérêt public, intérêt légitime).
Cette solution nous donne ainsi des éclairages pour apprécier la licéité de certains traitements de données de santé réalisés pour les besoins d’une mission légale/de service public, d’une part, et l’organisation de la protection du secret médical dans un tel cadre, d’autre part.
À lire aussi : En direct de l’APSSIS – La directive NIS 2 pourrait s’appliquer à l’ensemble des établissements hospitaliers français
Avez-vous apprécié ce contenu ?
A lire également.
OSE 2050, un programme pour anticiper le futur de la santé
31 mars 2026 - 08:20,
Actualité
- Damien Dubois, DSIHLe 23 mars, les HCL, la DGOS et l’AIS ont lancé OSE 2050, un programme de prospective pour imaginer le futur de la santé en associant des experts, des professionnels de santé et des citoyens.
Publication d’un corpus inédit de comptes rendus médicaux fictifs en open data pour accélérer l’IA en santé
26 mars 2026 - 19:08,
Actualité
- Rédaction, DSIHDans un contexte réglementaire européen exigeant, qui garantit un accès et un partage sécurisés des données de santé, le projet PARTAGES apporte une réponse opérationnelle aux défis posés à l’IA en santé. Coordonné par la Plateforme des données de santé (Health Data Hub) et réunissant 32 partenaires...
Speech Processing Solutions dévoile Philips SpeechLive Health, un nouvel assistant IA conçu pour la documentation clinique moderne
25 mars 2026 - 14:46,
Communiqué
- Speech Processing SolutionsSpeech Processing Solutions, leader mondial des solutions professionnelles de dictée et de traitement de la parole commercialisées sous la marque Philips, annonce le lancement de Philips SpeechLive Health, un assistant de documentation clinique basé sur l’IA conçu pour les professionnels de santé. C...
Dedalus et Inovie renouvellent leur partenariat pour le déploiement à grande échelle de la suite InVitro
25 mars 2026 - 08:24,
Communiqué
- DedalusDedalus, acteur majeur de la numérisation des laboratoires de biologie médicale, et INOVIE, acteur majeur du diagnostic médical en France, annoncent la signature d’un partenariat stratégique d’une durée de cinq ans, portant sur le déploiement de la suite Dedalus InVitro en mode SaaS.
