Comment traiter les données relatives au handicap des salariés conformément au RGPD ?
Réponse courte
Le traitement des données relatives au handicap constitue un traitement de données sensibles au sens de l'article 9 du RGPD et nécessite des garanties renforcées. Ces données ne peuvent être traitées que sur une base légale spécifique : obligation légale d'aménagement raisonnable, consentement explicite du salarié, respect d'obligations en droit du travail, ou finalités de médecine préventive. L'employeur doit assurer une sécurité maximale, limiter strictement l'accès aux personnes habilitées et documenter chaque traitement.
Les mesures techniques et organisationnelles renforcées sont obligatoires : chiffrement des données, contrôle d'accès strict, registre détaillé des traitements et durée de conservation justifiée. Le non-respect expose à des sanctions administratives pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial. Une analyse d'impact relative à la protection des données (AIPD) est requise pour les traitements à grande échelle ou à risque élevé.
La nomination d'un délégué à la protection des données (DPO) devient nécessaire dès lors que l'employeur traite régulièrement et systématiquement des données sensibles. Les salariés doivent être informés de manière transparente sur leurs droits d'accès, de rectification, d'effacement et d'opposition, ainsi que sur les destinataires et la durée de conservation de leurs données personnelles.
Définition
Les données relatives au handicap sont des données à caractère personnel concernant la santé physique ou mentale d'une personne et révélant des informations sur son état de santé. Elles constituent des catégories particulières de données (données sensibles) au sens de l'article 9 du RGPD. Ces données comprennent toute information sur la reconnaissance officielle de handicap, les besoins d'aménagement du poste, les limitations fonctionnelles, les certificats médicaux ou tout élément permettant d'identifier directement ou indirectement la situation de handicap d'un salarié. Leur traitement est soumis à un régime juridique particulièrement strict en raison des risques élevés qu'il présente pour les droits et libertés fondamentaux des personnes concernées.
Questions fréquentes
Conditions d’exercice
Le traitement de données relatives au handicap n'est licite que s'il repose sur l'une des bases légales spécifiques prévues par l'article 9, paragraphe 2 du RGPD. Les bases légales applicables en contexte RH sont présentées dans le tableau suivant :
| Base légale | Application en contexte RH | Conditions |
|---|---|---|
| Consentement explicite (Art. 9.2.a) | Mise en place volontaire d'aménagements | Recueil écrit, libre, éclairé et révocable |
| Obligation légale (Art. 9.2.b) | Aménagements raisonnables obligatoires | Article L.562-1 Code du travail |
| Droit du travail (Art. 9.2.b) | Respect obligations employeur | Égalité de traitement, non-discrimination |
| Médecine du travail (Art. 9.2.h) | Examens médicaux, aptitude | Professionnels de santé soumis au secret |
| Intérêt public santé (Art. 9.2.i) | Gestion systèmes de protection sociale | Base légale spécifique requise |
La minimisation des données est impérative : seules les informations strictement nécessaires à la finalité poursuivie peuvent être collectées. L'employeur ne peut pas exiger la communication de documents médicaux détaillés mais uniquement les informations pertinentes pour mettre en œuvre les aménagements requis. Le traitement doit être proportionné à l'objectif légitime poursuivi et ne pas excéder ce qui est nécessaire.
Modalités pratiques
L'employeur doit mettre en œuvre des mesures de sécurité renforcées pour protéger ces données particulièrement sensibles. Les obligations pratiques incluent :
Mesures techniques obligatoires :
- Chiffrement des données au repos et en transit
- Contrôle d'accès strict avec authentification renforcée
- Traçabilité des accès et des modifications
- Sauvegarde sécurisée avec procédures de restauration
- Cloisonnement des données sensibles
Mesures organisationnelles obligatoires :
- Désignation nominative des personnes habilitées
- Formation régulière du personnel habilité
- Procédures documentées de gestion des violations
- Clauses de confidentialité pour tous les intervenants
- Limitation stricte du nombre d'accès
Durées de conservation à respecter :
| Type de données | Durée maximale | Base légale |
|---|---|---|
| Données de candidature | 2 ans après fin recrutement | Prescription légale |
| Aménagements du poste | Durée du contrat + 5 ans | Délai de prescription |
| Certificats médicaux | Durée strictement nécessaire | Principe de minimisation |
| Dossier personnel | 5 ans après fin de contrat | Archives obligatoires |
Le registre des activités de traitement doit obligatoirement mentionner pour chaque traitement de données sensibles : la finalité, la base légale précise, les catégories de données, les destinataires, les mesures de sécurité mises en œuvre, et la durée de conservation avec justification. Une analyse d'impact (AIPD) est requise si le traitement présente un risque élevé, notamment en cas de traitement à grande échelle, de décisions automatisées, ou de surveillance systématique.
Pratiques et recommandations
Il est fortement recommandé de désigner un délégué à la protection des données (DPO) dès lors que l'employeur traite de manière régulière et systématique des données sensibles relatives à la santé de ses salariés. Le DPO conseille l'employeur, contrôle la conformité RGPD et sert de point de contact avec la CNPD.
Former systématiquement le personnel RH et les managers habilités à accéder aux données sensibles. La formation doit couvrir les obligations RGPD, les principes de confidentialité, les procédures de sécurité, et les sanctions en cas de violation. Documenter chaque formation avec émargement et supports conservés.
Sécuriser particulièrement les transmissions à des tiers (médecine du travail, services sociaux, ADEM). Utiliser exclusivement des canaux sécurisés, chiffrer les documents, limiter les informations transmises au strict nécessaire, et obtenir des engagements de confidentialité écrits.
Mettre en place des procédures de gestion des violations de données incluant : détection rapide, évaluation du risque, notification à la CNPD dans les 72 heures si risque pour les droits et libertés, communication aux personnes concernées si risque élevé, et documentation complète de l'incident. Réaliser des audits de conformité réguliers (au minimum annuels) pour vérifier le respect des obligations RGPD, l'efficacité des mesures de sécurité, la mise à jour du registre, et la validité des bases légales.
Privilégier systématiquement le principe de minimisation : ne collecter que les données strictement nécessaires, éviter les questionnaires médicaux détaillés, recueillir uniquement les besoins d'aménagement sans connaître le diagnostic médical, et supprimer les données devenues inutiles.
Cadre juridique
| Référence | Objet |
|---|---|
| RGPD - Article 4 | Définitions (données de santé, traitement, consentement) |
| RGPD - Article 5 | Principes relatifs au traitement (licéité, minimisation, limitation) |
| RGPD - Article 6 | Licéité du traitement (bases légales générales) |
| RGPD - Article 9 | Traitement des catégories particulières de données (données sensibles) |
| RGPD - Articles 12-13 | Information des personnes concernées (transparence, droits) |
| RGPD - Article 30 | Registre des activités de traitement |
| RGPD - Article 32 | Sécurité du traitement (mesures techniques et organisationnelles) |
| RGPD - Article 35 | Analyse d'impact relative à la protection des données (AIPD) |
| RGPD - Article 37 | Désignation du délégué à la protection des données |
| Code du travail - Article L.251-1 | Principe de non-discrimination (handicap, âge, religion, orientation) |
| Code du travail - Article L.562-1 | Aménagements raisonnables pour salariés handicapés |
| Loi 1er août 2018 | Organisation de la CNPD et mise en œuvre du RGPD au Luxembourg |
| Loi 28 novembre 2006 | Égalité de traitement (interdiction discrimination) |
Note
Le non-respect des obligations RGPD expose l'employeur à des sanctions administratives pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. Une vigilance particulière est requise pour tout traitement de données relatives au handicap, avec documentation systématique de la conformité et mise en place de mesures de sécurité renforcées.