Un organisme de contrôle médical peut-il traiter les données de santé de ses propres salariés ?
La Cour de Justice de l’Union européenne a récemment jugé (lien vers la décision) que ce type de traitement est parfaitement licite au regard du RGPD, sous réserve de respecter, effectivement, les conditions et garanties prévues par ce texte.
En l’occurrence, l’affaire concernait un service médical ayant notamment pour mission légale d’évaluer l’incapacité de personnes assurées auprès de certaines caisses d’assurance maladie. Cette mission, réalisée sous forme d’expertise médicale, permet aux caisses d’assurance maladie d’apprécier leur obligation ou non de verser des indemnités d’incapacité de travail.
A la demande d’une des caisses concernées, le service médical a réalisé une expertise relative à l’incapacité de travail d’un assuré de ladite caisse. La particularité de la situation résidait dans le fait que cet assuré était, par ailleurs, un employé du service médical.
Après avoir découvert que son employeur a réalisé une expertise médicale sur son incapacité de travail, la personne concernée a réussi à obtenir le rapport d’expertise associé par le biais d’un ses collègues.
Considérant qu’un tel traitement de ses données de santé à caractère personnel a été réalisé illicitement, notamment sans son consentement, la personne concernée a alors attrait en justice, son employeur, le service médical.
Pour mémoire, le RGPD prévoit des exceptions à l’interdiction de principe du traitement de données de santé (article 9§1 du RGPD), parmi lesquelles figure le « traitement nécessaire notamment à l'appréciation de la capacité de travail du travailleur » (article 9§2 h)).
Si un tel traitement est possible, il doit, néanmoins, être exercé sous certaines réserves (même article), en particulier le respect d’un devoir de confidentialité dans les conditions indiquées à l’article 9§3 du RGPD (« les données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l'Union, au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l'Union ou au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents. »).
Les juges européens ont considéré que cette exception (le traitement de données de santé nécessaire à l’évaluation de capacité d’un travailleur) n’a pas à être limitée « aux hypothèses où un " tiers neutre " traite des données concernant la santé aux fins de l’appréciation de la capacité de travail d’un travailleur ». La « casquette » d’employeur du responsable de traitement concerné est donc sans incidence sur la possibilité pour celui-ci, en tant qu’organisme de contrôle médical, de réaliser un tel traitement.
La CJUE a également précisé qu’il n’est pas nécessaire, par principe, que le responsable du traitement garantisse qu’aucun collègue de la personne concernée ne puisse accéder aux données se rapportant à l’état de santé de celle‑ci. Pour la Cour, il suffit que les traitements soient réservés à des personnes soumises à une obligation de secret, conformément aux conditions prévues par le RGPD (article 9§3 du RGPD).
Par ailleurs, les juges européens ont précisé qu’un traitement autorisé, par exception en vertu du RGPD, n’est pas pour autant dispensé de base légale et ce, comme tout traitement de données à caractère personnel. Un tel traitement doit donc également respecter l’une des conditions de licéité prévues à l’article 6§1 du RGPD (consentement, exécution d’un contrat, obligation légale, sauvegarde des intérêts vitaux, mission d’intérêt public, intérêt légitime).
Cette solution nous donne ainsi des éclairages pour apprécier la licéité de certains traitements de données de santé réalisés pour les besoins d’une mission légale/de service public, d’une part, et l’organisation de la protection du secret médical dans un tel cadre, d’autre part.
À lire aussi : En direct de l’APSSIS – La directive NIS 2 pourrait s’appliquer à l’ensemble des établissements hospitaliers français
Avez-vous apprécié ce contenu ?
A lire également.
Un nouvel outil d’IA au service d’une détection optimale du cancer par imagerie
07 avril 2026 - 10:45,
Communiqué
- Gustave Roussy,Gustave Roussy, dans le cadre d’un consortium réunissant Guerbet, Intrasense et le CHU d’Angers, a participé au développement d’un outil d’intelligence artificielle capable d’identifier automatiquement, à partir d’un scanner thoraco-abdomino-pelvien, les lésions cancéreuses présentes dans cette zone...
Du séjour au domicile : le SMS comme brique du système d’information hospitalier
07 avril 2026 - 07:30,
Actualité
- Pierre Derrouch, DSIHLa réduction continue des durées de séjour hospitalier déplace une part du risque clinique vers le domicile. En chirurgie ambulatoire, les réhospitalisations entre un à trois jours après l’intervention figurent parmi les indicateurs de sécurité suivis par la Haute Autorité de Santé dans le cadre des...
Data Challenge DaT‑Park : l’IA au service du diagnostic des syndromes parkinsoniens
07 avril 2026 - 07:02,
Actualité
- Rédaction, DSIHLa Société Française de Médecine Nucléaire (SFMN), avec le soutien de la Plateforme des données de santé (PDS) et dans le cadre du plan France 2030, prépare le lancement du Data Challenge DaT‑Park, une compétition internationale qui vise à améliorer le diagnostic des syndromes parkinsoniens grâce à ...
Equasens nomme François-Pierre Marquier au poste de Directeur Général Délégué et renforce ainsi sa gouvernance pour accompagner ses ambitions de croissance
02 avril 2026 - 15:47,
Communiqué
- Le groupe EquasensLe groupe Equasens annonce la nomination de François-Pierre Marquier au poste de Directeur Général Délégué. Il rejoint à ce titre l’équipe de direction aux côtés de Denis Supplisson, Directeur Général, et de Grégoire de Rotalier, Directeur Général Délégué et directeur de la Division Établissements d...
