Ce qu’il faut savoir sur les données relatives à la santé sur le lieu de travail
Les données relatives à la santé font référence aux informations personnelles (également appelées données à caractère personnel) ayant trait à l’état de santé d’une personne. Ces données englobent les données médicales (orientations d'un patient par un généraliste vers un spécialiste et prescriptions médicales, rapports d'examens médicaux, analyses médicales en laboratoire, radiographies, etc.), mais aussi des données administratives et financières relatives à la santé (planification des rendez-vous médicaux, factures des prestations de services de santé, certificats médicaux aux fins de gestion des congés de maladie, etc.). Les données relatives à la santé sont considérées comme des données sensibles, soumises à des règles particulièrement strictes et ne peuvent être traitées que par des professionnels de la santé, liés par le secret médical. En outre, l’organisation doit prendre les mesures de sécurité nécessaires pour garantir que les données relatives à la santé sont protégées et ne font l’objet d’aucune divulgation non autorisée.
Au niveau de l’Union européenne, les institutions et organes collectent et traitent les données relatives à la santé de leur personnel — et parfois de membres de leur famille — à diverses fins, telles que l’examen médical d’embauche, les visites médicales annuelles, la gestion des congés de maladie, les demandes de travail à temps partiel pour s’occuper d’un parent gravement malade ou handicapé, etc.
Quels sont les principaux enjeux en matière de protection des données?
Qualité des données - Il importe de ne pas traiter plus de données à caractère personnel que nécessaire. Comment? En se contentant, tout d’abord, de ne collecter que les informations pertinentes et strictement nécessaires. En outre, la gestion des données relatives à la santé (telles que les certificats médicaux et autres données médicales) doit être effectuée uniquement par le service médical de l’organisation, et non par le département RH. Ce dernier doit uniquement recevoir les données administratives nécessaires au traitement des congés maladie (par exemple, le nombre de jours de congé maladie).
Droit à l’information - Les membres du personnel doivent être informés de leurs droits et des finalités du traitement de leurs informations relatives à la santé. Ce type d’information doit être expressément communiqué aux membres du personnel lors de l’introduction d’une nouvelle procédure et mis à leur disposition en permanence, par exemple, sur la page intranet de l’organisation, de façon à garantir un accès à cette information à tout moment.
Droit d’accès - Les membres du personnel ont le droit d’accéder à leur dossier médical et autres informations concernant leur santé afin de vérifier si ces données sont exactes et de rectifier toute information inexacte ou incomplète. Ils doivent également être informés sur la façon dont ils peuvent exercer leurs droits.
Délai de conservation - Les organisations doivent veiller à ce que les informations relatives à la santé ne soient pas conservées dans leurs dossiers plus longtemps que nécessaire. Des délais de conservation clairs doivent être fixés. Ces délais peuvent varier en fonction de la raison du traitement des données relatives à la santé.
Sécurité des données - Compte tenu de leur caractère sensible, les données relatives à la santé ne devraient être traitées que par des professionnels de la santé, liés par le secret médical. Par ailleurs, tous les membres du personnel du département RH en charge de procédures administratives ou financières impliquant le traitement de telles données devraient signer une déclaration de confidentialité spécifique. Il y a lieu également de leur rappeler régulièrement leurs obligations en matière de confidentialité. En outre, les organisations devraient procéder à une évaluation des risques et, si nécessaire, définir des mesures de sécurité spécifiques pour l’accès, le contrôle et la gestion de toutes les informations traitées dans le cadre de la collecte de données relatives à la santé.
Informations complémentaires
La liste suivante, non exhaustive, est une sélection de documents à consulter pour toute information complémentaire:
Lignes directrices du CEPD:
Avis de contrôle préalable du CEPD:
Avis du CEPD sur la Plateforme européenne pour les registres de maladies rares du Centre commun de recherche-Ispra (dossier 2015-0982)
Avis du CEPD concernant la procédure de sélection et de recrutement au Parlement européen d’agents contractuels et de stagiaires présentant un handicap (dossiers 2013-0608 et 2013-0607)
Sujets connexes:
Sélection et recrutement du personnel
Mesures de sécurité relatives au traitement des données à caractère personnel