Quels risques pour la transmission des motifs d’arrêts-maladie des salariés aux entreprises au regard du RGPD ?

Article paru le 7 juillet 2018 | Partager sur les réseaux sociaux

Classé dans : Santé RGPD Tribune

La Sécurité sociale a annoncé, en janvier dernier, procéder à une expérimentation : informer certaines entreprises des motifs d’arrêts de travail de leurs salariés. L’objectif est de montrer à ces entreprises les proportions des types d’arrêts concernés, afin d’identifier les leviers potentiels d’amélioration des conditions de travail de leurs salariés, de leurs performances productives et d’une réduction de leurs coûts.

Quels seraient les impacts de la généralisation à long terme de ce partage d’informations ?

La communication des motifs des arrêts-maladie des employés aux entreprises par la Sécurité sociale constitue un risque important de trahison du secret médical ainsi qu’un non-respect évident du Règlement Général sur la Protection des Données (RGPD), dès lors qu’un rapprochement entre les motifs et les salariés peut être établi. Les conséquences possibles pour les salariés-patients seraient des pressions supplémentaires de la part de leur employeur, dans l’objectif théorique de réduire la fréquence et l’importance des arrêts de travail, afin qu’à terme l’entreprise puisse progresser dans son secteur, en améliorant ses performances productives et financières. Le phénomène ainsi engendré pourrait être néfaste et même contre-productif.

Une possibilité de mettre à profit les résultats obtenus par la Sécurité sociale serait de transmettre des chiffres d’absentéisme globaux par secteur et par région, par type d’arrêt maladie, parmi ceux actuellement concernés. Un éventuel détail de la répartition des arrêts-maladie par taille d’entreprise, en conservant toutefois suffisamment d’entreprises dans le groupe, pourrait également être réalisé en fournissant ainsi plus de détails concrets aux entreprises. Celles-ci pourraient ensuite en tirer un enseignement sur leurs pratiques habituelles, dans le but d’optimiser leurs positionnements par rapport à leurs concurrents, en tout respect de l’anonymat des informations des salariés.

Aucun recoupement, et donc aucune identification de personne, ne serait alors possible et les données communiquées ne seraient ainsi plus caractérisées comme sensibles, en respectant en conséquence le RGPD.

La Sécurité sociale, à l’initiative de ce projet et disposant des données de base, porte donc au regard du RGPD la responsabilité de la mise à disposition sécurisée de ces informations et donc de l’intégralité du traitement concerné.
La généralisation de l’expérimentation telle qu’elle se poursuit actuellement, avec les risques d’identification des personnes concernées, se heurte également à la notion du recueil du consentement explicite du patient pour une diffusion et une utilisation de ses données personnelles, selon les conditions définies par le RGPD.

Dans une telle perspective, un travail de communication rigoureux et de grande ampleur devrait être effectué, afin de permettre à chacun d’identifier clairement et aisément l’intégralité de ses données qui seront collectées, conservées, et qui font potentiellement l’objet de traitements et d’usages ultérieurs (remboursements par une complémentaire, etc.). De même, une attention particulière devra être portée à la purge des données, à expiration du délai prévu, tout comme sur demande du patient, ainsi que prévu par le RGPD. Étendre une telle expérimentation suppose donc la mise à l’épreuve de la relation de confiance entre toutes les parties prenantes (salariés-patients, entreprises, praticien et Sécurité sociale).

Quelques suggestions de bonnes pratiques

En cas de généralisation, celle-ci devra être abordée comme une véritable gestion de projet, en impliquant l’ensemble des acteurs. En s’assurant du respect de la réglementation (RGPD, Loi Informatique et Libertés, etc.), la Sécurité sociale pourra s’appuyer sur un discours solide et rassurant, en conservant ainsi la confiance des parties prenantes de ce partage d’informations. L’anonymat des salariés-patients concernés doit être garanti aux salariés comme aux médecins ayant prescrit les arrêts. Il semble également pertinent de communiquer à tous les acteurs sur la collecte et les usages potentiels des données que les patients leur auront transmises, et qu’ils seront donc en mesure ou dans la nécessité de communiquer eux aussi.

La généralisation de la communication des motifs des arrêts de travail des salariés à leurs entreprises nécessiterait donc une conduite du changement, un véritable accompagnement de l’ensemble des acteurs et un réel effort de communication, de sensibilisation et d’adaptation du discours tenu en fonction de l’acteur concerné (entreprise, DPO de l’entreprise, salarié-patient, médecin, etc.).

Une extrême rigueur et une prudence dans la manipulation et la communication des données sont donc vivement recommandées, ainsi que dans le respect du droit des salariés (consentement à la collecte, utilisation, communication de données, ainsi que demande de purge des données précédemment collectées).

Tribune rédigée par Doriane Dupuy-Lenglet, Armelle Kerneis et Emeline Griveaux, consultantes mc²i Groupe

Lire la tribune sur le site : Les Echos

Partagez cet article sur les réseaux sociaux