You are currently viewing Comment traiter les données de santé des travailleurs ou employés?
Photo du National Cancer Institute sur Unsplash

L’Information Commissioner’s Office (ICO), l’autorité de protection des données du Royaume-Uni, a publié le 31 août 2023 une guideline sur le traitement des données de santé des travailleurs et employés.

L’ICO indique que cette guideline est encore amenée à évoluer et qu’elle peut être adaptée au besoin, toutes les parties n’ayant pas besoin d’être suivies à la lettre. En effet, certaines parties sont obligatoires d’un point de vue légal. D’autres sont fortement recommandées, l’autorité conseille de s’y conformer sauf à pouvoir démontrer que l’approche adoptée est aussi possible par rapport à la loi. Il y a aussi des parties qui ne sont que des recommandations de bonnes pratiques.

L’autorité précise que la guideline concerne les « workers », traduisible en français par travailleurs. Ils sont définis comme étant des personnes travaillant pour une organisation. Cette approche a été choisie pour pouvoir encadrer un maximum de relations de travail, que ce soit un employé ou non, et peu importe la nature de la tâche à effectuer ou du contrat.

Par rapport à la protection des données, la loi citée par l’autorité, l’United Kingdom’s General Data Protection Regulation (UK GDPR) est la version du Royaume-Uni de la réglementation européenne connue sous le nom de RGPD ou Règlement général sur la protection des données. De ce fait, les deux réglementations se ressemblent sensiblement et les recommandations de l’autorité du Royaume-Uni peuvent aussi être appliquées dans le reste de l’Union Européenne.

La guideline rappelle les différents principes de protection des données. Il est rappelé que pour traiter des données de santé dans un tel contexte, plusieurs bases légales de l’article 6 peuvent s’appliquer. Il s’agit ici de l’exécution d’un contrat, de l’obligation légale du responsable de traitement, l’intérêt légitime du responsable de traitement et la sauvegarde des intérêts vitaux de la personne concernée.
Elle rappelle aussi que les données de santé font parties de ce que le UK GDPR (et le RGPD) considère comme étant des données sensibles. En tant que telles, elles font l’objet d’un régime spécial. L’article 9 du UK GDPR (et du RGPD) dispose que le traitement de telles données n’est possible que dans certaines conditions. Parmi ces conditions, la guideline prévoit que le traitement de données de santé dans le cadre du monde du travail n’est possible que :

  • Lorsque « le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale » (article 9.2.b UK GDPR).
  • Lorsque « le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice » (article 9.2.f).
  • Lorsque « le traitement est nécessaire pour des motifs d’intérêt public important » (article 9.2.g).
  • Lorsque « le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée » (article 9.2.c).

Il est conseillé d’éviter la base légale du consentement et la condition du consentement express, car l’employé se trouve dans une situation de subordination et son consentement n’est pas entièrement libre.

La guideline précise aussi d’autres principes tels que l’information au travailleur, la durée de conservation des données, la conservation des données en soit, la réalisation ou non d’une analyse d’impact sur la protection des données… La guideline contient aussi des informations à propos d’autres sujets tels que le sort des registres de maladies, blessures et absences.