Imaginez la scène. Vous recevez un appel au bureau, pour un collègue. Vous répondez à votre interlocuteur qu’il est absent, malade. Banal, non?
Et bien dans une décision du printemps dernier, la Garante a estimé que cette réponse, sous son aspect anodin, revenait à la divulgation d’une donnée de santé (GPDP, 9 mai 2024, n° 10025870). Sévères, nos voisins du sud est?
Une décision stricte, au regard de la jurisprudence française
Rappelez-vous, malgré l’intervention du RGPD, le Conseil d’Etat a plus ou moins remis à l’ordre du jour ses jurisprudences de 2010 (CE, 19 juillet 2010, n° 317182 et 334014), en exigeant la révélation directe d’une information sur l’état de santé pour se placer sur le terrain de l’article 9 du RGPD (CE, 12 mars 2021, n° 450163 ; CE, 10 juin 2021, n° 431875). A tel point que le Ministère du Travail, dans ses échanges avec la CNIL à propos du décret relatif au dossier médical en santé au travail, visait la jurisprudence antérieure à 2016 (Délibération n° 2022-069 du 23 juin 2022).
A une autre échelle, la décision italienne ne souffre aucune critique
En 2003 déjà, la justice européenne exigeait une interprétation large de l’expression « données relatives à la santé » (CJCE, 6 novembre 2003, n° C-101/01). Le G29, en 2015, en déduisait que les tickets de caisse pour l’achat de produits de santé ou le fait de porter des lunettes entraient dans ce champ (G29, Concept of “health data” in Directive 95/46/EC, 5 février 2015).
Après l’entrée en application du RGPD, l’autorité de protection des données finlandaises retenait ainsi cette qualification pour les données collectées par une montre connectée pendant une activité sportive (Tietosuojavaltuutetun toimisto, 27 décembre 2022, n° 1198/161/2022).
Alors, pragmatisme ou opportunisme des juridictions françaises? Impossible de répondre catégoriquement, tant la politique jurisprudentielle dépend de la nature de l’affaire et des enjeux exposés ou supposés.
Comment se protéger?
En promouvant une culture de la discrétion, du besoin d’en connaître. Pour préserver les intérêts tant de leur organisation que de leur collègue, les personnels doivent s’habituer à répondre le plus succinctement possible aux questions ouvertes en lien avec des données personnelles.
Avez-vous eu à gérer de telles situations? Des RETEX, des axes de préparation différents? Partagez-les en commentaires.
Besoin d’aide pour sensibiliser votre personnel? de revoir vos politiques de sécurité? Parlons-en.