Marcus Belke
CEO de 2B Advice GmbH, moteur de l'innovation dans le domaine de la vie privée conformité et de la gestion des risques, et a dirigé le développement d'Ailance, la nouvelle génération de conformité plateforme.
L'évaluation en matière de protection des données de Données de santé dans les relations de travail est l'un des aspects les plus sensibles de la pratique moderne de la conformité. La publication de la médiatrice nationale pour la protection des données constitue une occasion actuelle d'approfondir la question. Protection des données et de la liberté d'information de Rhénanie du Nord-Westphalie (LDI NRW) sur ce que l'on appelle la maladie continue. La question centrale est de savoir si et dans quelle mesure un employeur est autorisé à collecter ou à exiger des informations relatives à la santé de ses employés lorsqu'il soupçonne que plusieurs périodes de maladie sont liées entre elles et ne déclenchent donc pas le versement d'une nouvelle rémunération.
Les données de santé et leur vulnérabilité
Données de santé sont soumis à l'article 9, paragraphe 1 RGPD les catégories particulières de données à caractère personnel. Elles ne peuvent en principe pas être traitées, à moins qu'un motif d'autorisation spécial de l'article 9, paragraphe 2, ne s'applique. RGPD s'applique. Dans les relations de travail, une telle Traitement entre autres par l'art. 9 al. 2 let. b RGPD i.V. m. § L'article 26, paragraphe 3, de la BDSG peut être légitimé s'il est nécessaire à l'exercice de droits ou au respect d'obligations légales découlant du droit du travail.
La formulation "nécessaire" n'est pas une simple formalité : elle exige une évaluation de la protection des données au cas par cas. Les employeurs ne peuvent donc pas exiger de manière générale la présentation de documents médicaux ou faire établir leurs propres diagnostics. Ils doivent pouvoir justifier la proportionnalité de la mesure.
La maladie continue, pierre de touche d'une pratique conforme à la protection des données
La notion de maladie continue est issue de la législation sur le maintien de la rémunération (§ 3, alinéa 1, phrase 2 EFZG). Selon cette disposition, l'obligation de continuer à verser le salaire est supprimée lorsqu'un travailleur tombe à nouveau malade, mais que la nouvelle maladie a un lien de causalité avec la précédente et que la période de six semaines est déjà épuisée. L'existence d'un tel lien n'est souvent pas claire. En cas de litige devant les tribunaux du travail, il incombe aux employeurs d'exposer et de prouver la persistance du lien de causalité.
C'est précisément à ce stade que des tensions apparaissent en matière de protection des données : Pour s'acquitter de leur charge de la preuve, il n'est pas rare que les employeurs demandent un avis médical. Par exemple du médecin traitant, du médecin du travail ou par l'intermédiaire de la caisse d'assurance maladie. La LDI NRW fait toutefois remarquer que de telles mesures impliquent une atteinte considérable aux droits des employés concernés et ne peuvent donc être autorisées que dans des cas exceptionnels particulièrement justifiés.
Le rôle de l'obligation de participation des travailleurs
La décision du tribunal fédéral du travail du 18 janvier 2023 (Az. 5 AZR 93/22) donne une impulsion essentielle à la pratique. Selon cette décision, il incombe au travailleur de démontrer concrètement et de manière compréhensible qu'il n'y a pas de lien entre les périodes de maladie. Cette charge d'explication échelonnée l'oblige, dans certaines circonstances, à délier les médecins traitants du secret professionnel.
La pertinence de cette décision en matière de protection des données est considérable : alors que les employeurs eux-mêmes ne sont autorisés à collecter des données que de manière limitée, les employés sont soumis à une obligation procédurale de divulgation. Il s'agit d'une tension que les responsables de la conformité et de la protection des données doivent garder à l'esprit.
Conseil de lecture : Arrêt de l'OFSP sur le litige relatif à la continuation de la maladie : pourquoi la présentation d'une attestation d'incapacité de travail ne suffit plus à elle seule
Mesures de protection des données dans la pratique
Quelle que soit la manière dont les données sont obtenues, les règles suivantes s'appliquent Données de santé des exigences accrues en matière de mesures de protection techniques et organisationnelles. Il s'agit notamment de la séparation Rangement de Données de santé, l'exclusion des accès non autorisés grâce à des concepts de rôles et de droits ainsi que l'utilisation de Cryptage. Ces mesures ne sont pas de simples recommandations de bonnes pratiques, mais des obligations légales, par exemple en vertu de l'article 32 de la loi sur la protection des données. RGPD.
En outre, il est recommandé de procéder à une évaluation documentée des risques à un stade précoce. En particulier, si l'employeur a concernés personne à divulguer ou à recourir à un renseignement de la caisse de maladie. Ces mesures doivent être prises dans le Registre des activités de traitement et s'accompagner d'analyses d'impact sur la protection des données (AIPD) si les risques sont considérés comme élevés.
Recommandations pour les responsables de la protection des données et de la conformité
Dans la pratique, il est essentiel que les responsables de la protection des données et de la conformité participent activement à la définition des limites et des possibilités légales en cas de suspicion de maladie chronique. Une coopération étroite avec les services RH est indispensable à cet égard. Il convient notamment de développer des descriptions de procédures standardisées qui définissent les critères d'une enquête autorisée, prennent en compte des moyens doux alternatifs (tels que les avis du médecin du travail) et réglementent strictement l'accès aux données sensibles.
En outre, la formation interne devrait garantir que les recruteurs ne se précipitent pas ou ne se laissent pas entraîner par la routine. Données de santé collecter ou demander. De même, une structure Documentation de cas individuels, y compris des considérations Nécessité et la proportionnalité, est vivement conseillée. Notamment en vue d'éventuels contrôles par les autorités de surveillance.
Appréciation de la continuation de la maladie sous l'angle de la protection des données
L'évaluation de la continuation de la maladie au regard de la protection des données exige une approche différenciée. Les employeurs doivent soigneusement mettre en balance l'intérêt du droit du travail à contrôler les coûts et l'intérêt de la protection des données des employés. Les responsables de la protection des données et de la conformité jouent ici un rôle central : ils veillent non seulement à la sécurité juridique des processus, mais protègent également les droits fondamentaux des employés. Il s'agit d'un exercice d'équilibre qui exige à la fois du tact et de la précision juridique.
Conseil de lien : Données de santé des employés : ce que les employeurs* peuvent faire et savoir
Marcus Belke est CEO de 2B Advice et juriste et expert en informatique pour la protection des données et le numérique. Conformité. Il écrit régulièrement sur la gouvernance de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French