12 Jun Quelle utilisation peut-on faire des données de santé des employés en France?
En ce contexte de pandémie de Covid-19, de nombreux employeurs s’interrogent sur ce qu’il est possible de faire afin de protéger les employés du virus, notamment en utilisant leurs données de santé. La loi autorise-t-elle à mettre cela en place ?
La réponse est simple : ce n’est pas possible. Il est interdit d’interroger un salarié sur ses symptômes, ou son état médical. Un employé doit cependant signaler si son état de santé ne lui permet pas de mener à bien son travail, et est invité à prévenir ses collègues s’il présente les symptômes de la Covid-19, afin de protéger ceux-ci. L’interlocuteur privilégié doit être la médecine du travail, qui va diffuser les messages de prévention, et aider à mettre en place des conditions de travail permettant de prévenir la diffusion du coronavirus.
De façon générale, les données de santé des employés sont protégées par le secret médical, ainsi que par le code du travail. L’employeur ou les ressources humaines n’ont pas le droit de connaître l’état de santé d’un salarié, sauf si celui-ci est victime d’un accident du travail ou d’une maladie professionnelle.
Les réglementations applicables en France et aux Etats-Unis ?
En Europe, c’est le GDPR (Règlement général sur la protection des données, GDPR en anglais) qui est le texte de référence sur les données personnelles, incluant donc les données médicales. Aux États-Unis, le HIPAA (Health Insurance Portability and Accountability Act) est une loi votée par le Congrès en 1996 et concernant uniquement les données de santé. Si le HIPAA est imposé au niveau fédéral, certains États, comme la Californie, peuvent avoir des lois plus protectrices.
Aux États-Unis, un autre sigle peut être rencontré aux côtés d’HIPAA : HITRUST (Health Information Trust). C’est un standard privé qui vise à répondre de la meilleure façon aux exigences d’HIPAA. HITRUST CSF (pour Common Security Framework) est une certification à passer, qui dure environ 400 h et coûte de l’ordre de $100’000.
Les principales différences entre le HIPAA et la RGPD
Le HIPAA exige les données de santé (traitement suivi, diagnostics…) soient protégées, mais ne s’intéresse pas aux autres données personnelles, contrairement au RGPD
Le RGPD prévoit un droit à l’effacement des données, là où le HIPAA permet de conserver les données de santé sans limite de temps, le HIPAA permet le partage de données médicales à des tiers, notamment pour du marketing, là où le RGPD nécessite l’autorisation expresse. De plus, les fuites de données et piratages doivent être signalées en 72 heures à l’autorité compétente (en France : la CNIL), contre 60 jours aux États-Unis, et uniquement si plus de 500 personnes sont touchées.
Augustin D.
SOURCES
- https://www.healthitoutcomes.com/doc/gdpr-vs-hipaa-noting-the-differences-0001#:~:text=At%20the%20outset%2C%20it%20is,American%20citizens%20and%20healthcare%20organizations.&text=HIPAA%2C%20on%20the%20other%20hand,under%20the%20purview%20of%20HIPAA.
- https://www.village-justice.com/articles/covid-entreprises-pouvez-vous-collecter-les-donnees-sante-vos-salaries,34336.html
- https://www.acms.asso.fr/protection-donneeshttps://www.cnil.fr/fr/cnil-direct/question/donnees-sur-la-sante-un-employeur-peut-il-les-connaitre
- https://www.conseil-national.medecin.fr/sites/default/files/external-package/edition/17ss6et/guide_cnom_cnil_rgpd.pdfhttps://www.healthitoutcomes.com/doc/gdpr-vs-hipaa-noting-the-differences-0001https://www.iubenda.com/en/help/22623-gdpr-vs-hipaa-what-are-the-differences-and-how-to-comply
- https://datica.com/blog/what-is-cost-hitrust-csf-certification-2019/https://www.vie-publique.fr/en-bref/273771-coronavirus-le-rappel-de-la-cnil-sur-la-collecte-des-donnees-de-sante
English 
Français
Sorry, the comment form is closed at this time.