Données relatives à la santé
Le RGPD interdit en principe le traitement de données à caractère personnel relatives à la santé. En effet, au vu de leur importance, le RGPD les considère comme étant des données dites « sensibles ». Il existe cependant des exceptions.
L’exécution du contrat n’est pas une exception valable à elle seule. Il sera donc nécessaire que le travailleur donne son autorisation écrite au traitement de telles données ou que ce traitement soit nécessaire pour des motifs d’intérêts publics importants.
Pensons par exemple à la surveillance de la santé au travail, à la médecine du contrôle, aux accidents de travail, …
Étant donné que le travailleur concerné doit pouvoir donner "librement" son consentement et aussi pouvoir le retirer à tout moment, il est difficile de considérer le consentement comme une base légitime dans une relation de travail où le travailleur se trouve en effet sous l'autorité de l'employeur.
Le législateur a dès lors prévu une interdiction, pour l'employeur potentiel ou actuel, d'utiliser ce consentement comme fondement pour le traitement de données (sensibles) relatives à la santé de ses travailleurs, sauf si le but est d’octroyer un avantage à ce même travailleur.
Le RGPD impose aux entreprises, effectuant des traitements de données de santé, des obligations assez strictes. Ainsi, ces entreprises doivent :
- Désigner un délégué à la protection des données ou DPO ;
- Tenir un registre des traitements ;
- Faire une analyse des risques ;
Si l'employeur est tenu de prendre toutes les mesures nécessaires à la santé et au bien-être de ses travailleurs sur le lieu de travail, c'est toutefois au médecin du travail qu’il appartient de soumettre les (futurs) travailleurs à un examen de santé et de décider s'ils sont (toujours) aptes à l'exercice de leur profession. Il se limitera à informer l’employeur si un travailleur est ou non apte au travail, sans jamais lui communiquer d’informations relatives à une éventuelle maladie ou affection. L'employeur n'a pas non plus accès au dossier de santé de ses travailleurs.
En principe, un employeur ne peut pas interroger un candidat travailleur sur son état de santé. En effet, la discrimination sur la base de l'état de santé actuel ou futur est interdite. Le futur travailleur n'est dès lors pas obligé de répondre à des questions relatives à son état de santé.
Cependant, pour certaines fonctions, par exemple celle d'agent de police, l'examen de santé fait partie de la procédure de sélection. Cet examen n'a toutefois lieu qu'à la fin de la procédure de sélection et ne peut pas servir à opérer un choix. Bien entendu, on ne peut analyser que les données relatives à la santé qui sont pertinentes pour l'exercice de la fonction spécifique.
Lorsqu'un travailleur est en congé-maladie, un médecin-contrôleur peut vérifier, sur demande de l'employeur, si la personne concernée est véritablement inapte au travail en raison d'une maladie ou d'un accident et est donc légitimement absente au travail. Le médecin-contrôleur peut uniquement informer l'employeur sur l’état d’incapacité de travail ou non de la personne ainsi que sur sa durée probable, mais il ne peut aucunement communiquer le diagnostic. L’employeur ne peut donc pas lui-même procéder à une collecte active d’informations auprès de l’employé afin de connaitre des causes de son incapacité de travail.
Le travailleur a en outre toujours le droit de consulter le dossier de patient qui le concerne et d'en obtenir une copie, contrairement à son employeur.
Le médecin du travail et le médecin-contrôleur sont tenus au secret professionnel. Toute communication d'informations médicales à des tiers est interdite, sauf en cas d’obligation légale à cet égard. Ils doivent prendre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel dont ils sont responsables contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé.
Si le travailleur est en incapacité de travail (malade), il doit en principe transmettre un certificat médical à son employeur.
La partie du certificat médical qui est destinée à l'employeur est complétée à la fois par le travailleur et par son médecin traitant. Elle reprend les données d'identification du travailleur, le motif de l'incapacité de travail en des termes généraux (maladie, accident, grossesse, ...), la durée probable de l'incapacité, l'autorisation ou non pour le travailleur de sortir de chez lui pendant son incapacité de travail et le cachet du médecin traitant. La partie du certificat médical qui est réservée au service de contrôle mentionne en outre le diagnostic.
L'indication du diagnostic du médecin traitant et la mention de sa spécialité (s'il s'agit d'un spécialiste) sur la partie du certificat médical qui est uniquement transmise au service de contrôle sont conformes au RGPD. En effet, le traitement est notamment nécessaire afin d'exécuter les obligations et les droits spécifiques du responsable du traitement en matière du droit du travail, en l'occurrence le droit de contrôle de l'employeur dans le cadre du régime de l'incapacité de travail.
Il est également possible de fournir un certificat médical sans mention de la spécialité du prestataire de soins afin de ne pas divulguer d’informations sur les causes de la maladie.