SPTI : l’employeur peut-il obtenir communication des informations personnelles en lien avec l’état de santé des travailleurs collectées par le Service de Prévention en Santé au Travail ?

SPSTi l’employeur peut-il obtenir des informations personnelles : Le Service de Prévention en Santé au Travail (SPSTi) est chargé de collecter et de traiter des informations personnelles relatives à la santé des travailleurs. Il est essentiel que le SPSTi définisse qui est autorisé à accéder à ces informations pour garantir leur sécurité et leur confidentialité. Bien que l’employeur puisse obtenir des avis et propositions du SPSTi concernant l’aménagement des conditions de travail des travailleurs (par exemple, avis d’aptitude), il n’a pas le droit d’accéder aux éléments médicaux justifiant ces avis et propositions.

Le dossier médical en santé au travail (DMST) est le principal support contenant les informations sur la santé des travailleurs. L’accès à ce dossier est strictement réglementé, et l’employeur n’est pas autorisé à y accéder. Le médecin du travail, responsable de ces dossiers, doit garantir la confidentialité des informations.

Néanmoins, dans certains cas exceptionnels, l’employeur peut avoir accès à des documents révélant des informations sur la santé du travailleur, comme un arrêt de travail pour maladie ou une déclaration d’accident du travail. Ces cas sont strictement encadrés par la loi, et ces informations sont généralement transmises par le travailleur lui-même.

Il est crucial que l’employeur veille à la sécurité et à la confidentialité de ces informations, en restreignant l’accès uniquement aux personnes autorisées et en garantissant leur confidentialité.

Règles de droit 

Quand il utilise des informations personnelles dans le cadre de ses activités, le Service de Prévention en Santé au Travail (SPSTi) doit définir les personnes autorisées à accéder aux informations collectées pour chacun des fichiers créés. Il est responsable de l’application des règles en matière de sécurité et de confidentialité. Il doit faire attention avant de communiquer les informations à l’employeur.

Ainsi, si l’employeur peut obtenir communication des avis et propositions de mesures individuelles d’aménagement des conditions de travail que le SPSTi émet consécutivement à l’évaluation de l’état de santé du travailleur (ex. avis d’aptitude ou d’inaptitude, mesure individuelle d’aménagement d’un poste, etc.), il ne peut pas en revanche accéder aux éléments médicaux justifiant les avis et propositions formulés par les SPSTi.

En pratique

L’ensemble des informations personnelles des travailleurs concernant leur état de santé et leurs conditions de travail est, pour l’essentiel, inscrit dans le dossier médical en santé au travail (DMST) tenu par le SPSTi. Ce dossier retrace, dans le respect du secret médical, les informations relatives à l’état de santé du travailleur, aux expositions auxquelles il a été soumis ainsi que les avis et propositions du médecin du travail concernant notamment les mesures individuelles d’aménagement, d’adaptation ou de transformation du poste. 

D’autres supports peuvent également contenir des informations sur l’état de santé du travailleur (ex : déclaration d’accident du travail).

Les informations portant sur l’état de santé des travailleurs sont considérées comme particulièrement sensibles. Elles impliquent d’appliquer des mesures particulières pour leur utilisation, notamment d’accomplir, dans certaines situations, des formalités auprès de la CNIL.

Lorsqu’il est responsable du fichier au sein duquel des informations personnelles de santé sont collectées sur le travailleur, la règle du secret médical impose que le SPSTi ne transmette celles-ci que dans le cadre d’un accès autorisé, sous peine de voir cette transmission qualifiée de violation de données.  Pour plus d’informations, nous vous invitons à consulter le site internet de la CNIL (https://www.cnil.fr/fr/les-violations-de-donnees-personnelles) et le guide pratique consacré aux tiers autorisés (https://www.cnil.fr/sites/default/files/atoms/files/guide_tiers_autorises.pdf)

En ce qui concerne le DMST :

Les permissions d’accès aux informations figurant dans le DMST sont strictement définies par le code du travail. Ces accès sont restreints aux personnes suivantes : 

• l’équipe pluridisciplinaire de santé au travail intervenant dans le suivi du travailleur (sauf opposition du travailleur);

• le médecin choisi par le travailleur ;

• le travailleur et, en cas de décès, les ayants-droit conformément aux dispositions du code de la santé publique ;

• un autre SPSTi compétent pour assurer la continuité de la prise en charge (sauf refus du travailleur); 

• le médecin-inspecteur du travail, en particulier en cas de risque pour la santé publique.

L’employeur est exclu de la liste des personnes autorisées à accéder au DMST. Le SPSTi n’a donc pas le droit de communiquer à un employeur le DMST des travailleurs.

ATTENTION ! 

L’interdiction pour un employeur d’accéder au DMST déployé par le SPSTi est un principe fondamental. En effet, le médecin du travail reste indépendant de l’employeur dans l’exercice de ses missions et est tenu au secret médical, y compris lorsqu’il exerce au sein d’un SPSTi autonome implanté dans les locaux de l’employeur. Il est responsable du contenu des dossiers médicaux et doit veiller à ce que la confidentialité des informations soit préservée. Pour plus d’informations, nous vous invitons à consulter les fiches n°2 relative aux responsabilités de traitement et n° 12 relative à la sécurité des informations).

En revanche, le SPSTi peut transmettre à l’employeur des informations, formuler des propositions ou faire des préconisations découlant du suivi médical du travailleur pour aménager ses conditions de travail. Ces informations, propositions et préconisations pour mettre en place des conditions individualisées de travail ne permettent pas à l’employeur d’accéder aux informations médicales du DMST justifiant la mise en place de telles mesures individuelles. Il en est notamment ainsi :

• de l’avis d’aptitude ou d’inaptitude rendu conformément aux dispositions de l’article L. 4624-4 du code du travail dans le cadre du suivi individuel renforcé du travailleur ;

• des mesures individuelles d’aménagement, d’adaptation ou de transformation du poste de travail ou des mesures d’aménagement du temps de travail justifiées par des considérations relatives notamment à l’âge ou à l’état de santé physique et mental du travailleur ;

• des préconisations émises en matière de reclassement du travailleur.

En ce qui concerne les autres supports permettant de déduire des informations sur l’état de santé du travailleur :

Dans des cas exceptionnels, l’employeur accède à certaines informations permettant de déduire des informations sur l’état de santé du travailleur, notamment en cas de transmission des documents suivants :

• arrêt de travail pour maladie ;

• déclaration d’accident du travail indiquant la nature et le siège des lésions ;

• déclaration de grossesse ;

• reconnaissance de la qualité de travailleur handicapé (RQTH).

Chacun de ces cas de transmission d’informations à l’employeur est juridiquement encadré par les textes. A noter que ces transmissions sont effectuées par le travailleur lui-même.

ATTENTION ! 

Pour les hypothèses où l’employeur est autorisé à accéder à des informations donnant des indications sur l’état de santé du travailleur, il doit notamment veiller à :

• identifier les agents habilités, c’est-à-dire identifiés comme autorisés à traiter ce type d’informations ;
• restreindre les accès dans la limite des attributions, des missions et des fonctions exercées par les agents concernés ; 
• soumettre ces agents à une obligation de confidentialité ; 
• mettre en place des mesures techniques bloquant les accès à des agents qui ne seraient pas habilités.

Par exemple, le chargé de formation d’une entreprise, quand bien même il exerce au sein du département ressources humaines, n’a pas à accéder aux informations personnelles portant sur la santé du travailleur. Le SPSTi doit veiller à la transmission des informations aux personnes dûment habilitées par l’employeur.

Pour aller plus loin

1. Accès de l’employeur aux informations personnelles transmises par le travailleur ou le SPSTi : Oui, l’employeur est autorisé à accéder à certaines informations que le travailleur ou le SPSTi lui transmet. Par exemple, l’employeur peut obtenir des avis et propositions du SPSTi concernant l’aménagement des conditions de travail des travailleurs, comme les avis d’aptitude ou d’inaptitude. Toutefois, il n’a pas le droit d’accéder aux éléments médicaux justifiant ces avis et propositions.
2. Désignation d’agents au sein de la DRH pour échanger avec le SPSTi : Le texte ne mentionne pas explicitement si des agents spécifiques au sein de la DRH ont été désignés pour échanger avec le SPSTi. Cependant, il est impératif que seules les personnes dûment habilitées aient accès à ces informations, garantissant ainsi leur confidentialité et leur sécurité.
3. Information des travailleurs sur la transmission d’informations à l’employeur : Les travailleurs doivent être informés que l’employeur reçoit certaines informations découlant de leur suivi médical, comme les avis d’aptitude ou d’inaptitude. Il est essentiel de garantir la transparence et d’informer les travailleurs des données qui sont partagées avec l’employeur pour des raisons légitimes.
4. Mesures de sécurité pour les échanges avec l’employeur : Des mesures de sécurité particulières doivent être mises en place pour garantir la confidentialité des informations échangées avec l’employeur. Ces mesures visent à prévenir toute violation des données personnelles et à assurer que seules les personnes autorisées aient accès à ces informations. Le texte mentionne la nécessité d’identifier les agents habilités, de restreindre l’accès à ces agents, de les soumettre à une obligation de confidentialité, et de mettre en place des mesures techniques bloquant les accès aux agents non habilités.

Références

• Articles 5 et 32 et s. du RGPD
• Articles L. 4622-4, L. 4624-8 et R. 4624-10 et s. du code du travail
• Articles R. 4127-5 et R. 4127-95 du code de la santé publique
• Articles R. 4127-5 et R. 4127-95 du code de la santé publique
• Guide de la CNIL sur la sécurité des données personnelles (2018)
• Guide de la CNIL sur les tiers autorisés (2020)