Un employé RH peut-il accéder aux dossiers médicaux des salariés ?
Réponse courte
Non, un collaborateur RH ne peut pas accéder au dossier médical d'un salarié. Les données de santé constituent une catégorie particulière de données au sens de l'article 9 du RGPD et sont en principe interdites de traitement par l'employeur. Seul le médecin du travail ou un professionnel soumis au secret médical peut détenir et exploiter ces informations.
L'employeur reçoit uniquement les conclusions d'aptitude ou d'inaptitude émises par le service de santé au travail, sans détail sur la pathologie. La confusion entre dossier RH et dossier médical est une source fréquente de manquements graves susceptibles d'une sanction CNPD. L'accès indu par un collaborateur RH peut en outre constituer une violation du secret médical et une faute grave.
Définition
Le dossier médical du salarié est l'ensemble des informations relatives à son état de santé détenues par le service de santé au travail (médecin du travail, infirmier) ou par les professionnels de santé extérieurs. Il comprend antécédents, examens, diagnostics, certificats et recommandations médicales. Ce dossier est distinct du dossier administratif tenu par le service RH, qui contient des éléments contractuels, disciplinaires et de rémunération. La séparation entre ces deux dossiers est impérative au regard du RGPD et de la législation sur le secret médical.
Conditions d’exercice
L'article 9.1 RGPD interdit en principe le traitement des données de santé par l'employeur, qui ne peut recevoir que les conclusions d'aptitude émises par le service de santé au travail (art. L.321-1 et L.326-1 du Code du travail).
| Condition | Détail |
|---|---|
| Interdiction de principe | Art. 9.1 RGPD interdit le traitement des données de santé |
| Exceptions | Obligations du droit du travail et de la sécurité sociale (art. 9.2.b) |
| Secret médical | Détention exclusive par le service de santé au travail |
| Information transmise | Uniquement les conclusions d'aptitude ou d'inaptitude |
| Conservation séparée | Dossier médical physiquement et logiquement séparé |
| Accès limité | Professionnels de santé uniquement |
Modalités pratiques
Le dossier RH (contrats, paie, évaluations) et le dossier médical scellé au service de santé au travail sont strictement cloisonnés, seul l'avis d'aptitude et le certificat d'absence sans motif remontant au RH.
| Étape | Détail |
|---|---|
| Dossier RH | Contrats, paie, évaluations, disciplinaire, formation |
| Dossier médical | Détenu par le service de santé au travail, scellé |
| Transmission | Seul l'avis médical d'aptitude remonte au RH |
| Arrêts maladie | Seul le certificat d'absence, sans motif, est remis au RH |
| Stockage | Dossier médical jamais stocké dans le SIRH |
| Durée | Dossier médical conservé selon les règles du service de santé |
Pratiques et recommandations
Séparer strictement le dossier médical du dossier administratif, en s'assurant qu'aucun document médical détaillé ne circule dans le service RH ou ne soit archivé dans le SIRH.
Former les collaborateurs RH à la distinction entre avis d'aptitude et informations médicales, afin d'éviter toute collecte ou conservation illégitime.
Rappeler dans la charte interne que le simple fait de consulter un document médical appartenant à un salarié constitue une violation du secret médical et peut justifier une sanction disciplinaire.
Orienter systématiquement vers le médecin du travail toute demande ou situation impliquant des données de santé, y compris pour les aménagements de poste.
Documenter la gouvernance de ces données dans le registre des traitements et dans une procédure écrite accessible au DPO.
Cadre juridique
Le cadre juridique combine RGPD, droit du travail et secret médical.
| Référence | Objet |
|---|---|
| Art. 9 RGPD | Traitement des catégories particulières de données (santé) |
| Art. 5 RGPD | Minimisation et limitation des finalités |
| Loi du 1er août 2018 | Régime national et rôle de la CNPD |
| Art. L.321-1 Code du travail | Service de santé au travail et médecine du travail |
| Art. L.326-1 Code du travail | Secret professionnel du médecin du travail |
| Art. 458 Code pénal | Secret professionnel et sanctions pénales |
Note
Le médecin du travail est seul habilité à détenir et analyser les données médicales. L'employeur qui demanderait directement à son RH de consulter un certificat médical commet une faute pouvant entraîner une amende administrative de la CNPD et des poursuites pénales pour violation du secret médical.