L’essentiel :

Les services de prévention et de santé au travail (SPST) et la Caisse nationale de l’assurance maladie (CNAM) sont autorisés à échanger des données à caractère personnel relatives aux salariés présentant un risque de désinsertion professionnelle, s’ils y consentent.

La CNIL invite le ministère à rappeler aux responsables des traitements que les modalités de partage des données à caractère personnel doivent assurer leur stricte confidentialité, notamment concernant la gestion des habilitations et la traçabilité des accès.

La CNIL accueille favorablement le projet de notice d’information qui sera élaborée conjointement par le ministère, avec la CNAM et les SPST, et mise à disposition des CPAM afin d’assurer la bonne délivrance de l’information et la liberté du consentement des salariés.

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés ») ;

Vu la loi n° 2021-1018 du 2 août 2021 pour renforcer la prévention en santé au travail ;

Sur proposition de M^me Aminata Niakate, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

Un risque de désinsertion professionnelle survient lorsque l’état de santé d’un travailleur restreint son aptitude professionnelle à rester en poste ou à réintégrer son poste, ou un autre poste au sein du même organisme, suite à un arrêt de travail.

Les services de prévention et de santé au travail (SPST) ont pour mission la prévention de la désinsertion professionnelle en application de l’article L. 4622-2 du code du travail. A ce titre, ils sont notamment chargés d’identifier les situations individuelles et de proposer, en lien avec l’employeur et le travailleur, les mesures individuelles d’aménagement du poste et des conditions de travail.

La Caisse nationale de l’assurance maladie (CNAM) est également chargée, en vertu des missions qui lui sont dévolues par l’article L. 221-1 du code de la sécurité sociale, de « promouvoir la prévention de la désinsertion professionnelle afin de favoriser le maintien dans l’emploi de ses ressortissants dont l’état de santé est dégradé du fait d’un accident ou d’une maladie, d’origine professionnelle ou non ». Elle peut proposer à ce titre des dispositifs pour accompagner les salariés.

La loi n° 2021-1018 du 2 août 2021 pour renforcer la prévention en santé au travail instaure des échanges de données à caractère personnel relatives aux salariés présentant un risque de désinsertion professionnelle, s’ils y consentent, entre la CNAM et les SPST interentreprises et autonomes. Deux flux d’information sont mis en œuvre :

— flux aller : les services du contrôle médical des CPAM transmettent aux SPST les informations relatives aux arrêts de travail des salariés présentant un risque de désinsertion professionnelle, à la condition que ces derniers y consentent ; et

- flux retour : les SPST transmettent aux services du contrôle médical des CPAM, avec l’accord des salariés, les informations relatives au poste de travail et aux conditions de travail.

B. L’objet de la saisine

La CNIL a été saisie pour avis sur un projet de décret en Conseil d’Etat encadrant le flux aller ainsi qu’un projet de décret simple encadrant les deux flux.

La présente délibération concerne le projet de décret en Conseil d’Etat relatif à la transmission d’informations du service du contrôle médical de la CNAM aux services de prévention et de santé au travail prévue à l’article L. 315-4 du code de la sécurité sociale (flux aller).

La transmission de données à caractère personnel entre le service du contrôle médical et le SPST a pour finalités :

— d’identifier plus rapidement les salariés en risque de désinsertion professionnelle afin d’améliorer leur accompagnement ; et

- de renforcer et améliorer la coordination des SPST et des CPAM et des mesures proposées par chacun.

La CNAM et les SPST sont chacun responsables des traitements à partir desquels sont échangées les données, qu’ils mettent en œuvre sur le fondement de leur missions respectives d’intérêt public.

Dans l’attente de la mise en service du système d’information dédié à la transmission de ces informations – envisagée, à ce stade des travaux, pour 2027 - le dispositif mis en œuvre s’appuie sur une transmission des informations par messagerie sécurisée. Le système d’information cible sera encadré par de nouveaux textes règlementaires pris après avis de la CNIL.

II. L’avis de la CNIL

A. Sur l’accès aux données

Les données à caractère personnel seront transmises au moyen d’une messagerie de santé sécurisée répondant aux conditions prévues à l’article L. 1470-5 du code de la santé publique. Les messageries peuvent être nominatives ou partagées entre les professionnels d’une même structure.

Dès lors, la CNIL invite le ministère à rappeler aux responsables des traitements que les modalités de partage des données à caractère personnel doivent assurer leur stricte confidentialité, notamment l’habilitation spécifique des agents autorisés à consulter les données transmises pour l’accomplissement de leurs missions, ainsi que la traçabilité des accès. Ces mesures de sécurité sont d’autant plus importantes que les données transmises comportent des données relatives à la santé, données sensibles et nécessitant par conséquent une vigilance particulière.

B. Sur l’information des personnes

En application de l’article 19 de loi n° 2021-1018 du 2 août 2021 pour renforcer la prévention en santé au travail, le projet de décret prévoit que la transmission des données à caractère personnel s’effectuera sous réserve de l’accord de la personne concernée, recueilli par le service du contrôle médical.

Si le fait de subordonner la transmission de leurs données à caractère personnel à leur accord est une garantie permettant aux salariés de garder le contrôle sur leurs données, la CNIL relève toutefois qu’une attention particulière devrait être portée à la liberté et au caractère éclairé de leur consentement.

Aussi, la CNIL accueille favorablement le projet de notice d’information qui sera élaborée conjointement par le ministère avec la CNAM et les SPST et mise à disposition des CPAM afin d’assurer la bonne délivrance de l’information. Outre les éléments prévus par le RGPD, elle prévoit l’information de la personne sur la possibilité de retirer son accord à tout moment, l’absence de conséquence sur ses droits si elle refuse la transmission de ses données, ainsi que la possibilité d’accéder à la notice d’information sur les sites de la CNAM ou des ministères sociaux.

C. Sur le droit d’effacement

La CNIL prend acte de ce que le droit d’effacement est écarté en application des dispositions de l’article 17.3.b du RGPD, au regard de l’intérêt de ces informations pour la lutte contre la désinsertion professionnelle qui constitue une mission d’intérêt public en matière de santé publique et de santé au travail.

D. Sur la mise en cohérence des textes

Concernant le flux aller, les données à caractère personnel transmises par le service du contrôle médical au SPST seront enregistrées dans le dossier médical en santé au travail (DMST). La CNIL prend note que les dispositions de l’article R. 4624-45-4 du code du travail, listant les données collectées dans le DMST, seront modifiées afin de prendre en compte les dispositions du projet de décret.

Les autres dispositions du projet de décret n’appellent pas d’observations de la part de la CNIL.

La présidente,

M.-L. Denis