Le partage de données médicales entre contrôle médical de l’assurance maladie et services de prévention et de santé au travail : un dispositif au croisement du secret médical, du RGPD et de la prévention de la désinsertion professionnelle

Deux décrets du 28 avril 2026 (n° 2026-320 et 2026-321) organisent la transmission réciproque d’informations entre le service du contrôle médical de l’assurance maladie et les services de prévention et de santé au travail (SPST), en application des articles L. 315-4 du code de la sécurité sociale et L. 4622-2-1 du code du travail. Ces deux articles, créés par la loi n° 2021-1018 du 2 août 2021 pour renforcer la prévention en santé au travail, étaient entrés en vigueur le 1er janvier 2024 mais leur effectivité demeurait suspendue à l’adoption de mesures d’application. Le dispositif vise à identifier précocement les assurés en arrêt de travail présentant un risque de désinsertion professionnelle et à organiser, par un échange ciblé de données médicales et professionnelles, un accompagnement coordonné par les SPST, le service du contrôle médical et les organismes locaux d’assurance maladie. Il s’inscrit dans un contexte budgétaire tendu (les indemnités journalières ont atteint des niveaux historiques en 2025) et dans une politique gouvernementale de renforcement des contrôles, l’Assurance maladie ayant annoncé 740 000 actions de contrôle programmées pour 2026. La publication de ces textes coïncide également avec la diffusion par la CNIL, le 2 avril 2026, d’un nouveau référentiel relatif à la durée de conservation des données ressources humaines. Le fondement législatif : un décloisonnement assumé entre santé au travail et assurance maladie La loi du 2 août 2021, transposition partielle de l’accord national interprofessionnel du 9 décembre 2020, a procédé à un décloisonnement structurel entre la santé au travail et l’assurance maladie. Son article 19 a inséré dans le code de la sécurité sociale un nouvel article L. 315-4 qui autorise la transmission, par l’organisme d’assurance maladie ou le service du contrôle médical, d’informations sur les arrêts de travail répondant à certaines conditions ou révélant un risque de désinsertion professionnelle, vers les SPST. Le même article a créé symétriquement, dans le code du travail, l’article L. 4622-2-1 qui organise un flux inverse, le SPST informant à son tour le service du contrôle médical, les caisses et le service social de l’assurance maladie, lorsqu’il accompagne un travailleur signalé. La transmission par le SPST d’informations sur le poste et les conditions de travail est subordonnée à l’accord exprès du travailleur. La loi a également renommé les services de santé au travail interentreprises en services de prévention et de santé au travail interentreprises (SPSTI), créé une cellule pluridisciplinaire de prévention de la désinsertion professionnelle (article L. 4622-8-1 du code du travail) et institué un rendez-vous de liaison (article L. 1226-1-3 du code du travail) ainsi qu’un examen de préreprise enrichi (article L. 4624-2-4). Les décrets du 28 avril 2026 viennent ainsi parachever, près de cinq ans après la loi, l’opérationnalité du dispositif. Le secret médical à l’épreuve du partage administratif Le partage d’informations médicales entre le médecin-conseil de l’assurance maladie et le médecin du travail soulève une difficulté juridique classique : la conciliation du secret médical, principe protégé par l’article L. 1110-4 du code de la santé publique et par l’article R. 4127-4 du même code (code de déontologie médicale), avec les nécessités de coordination administrative. Le secret professionnel est également garanti par l’article 226-13 du code pénal. La jurisprudence du Conseil d’État reconnaît que le secret médical peut être levé dans des cas strictement encadrés par la loi, tout en exerçant un contrôle vigilant sur la proportionnalité des dérogations. Le Conseil constitutionnel, dans sa décision n° 99-416 DC du 23 juillet 1999 relative à la couverture maladie universelle, a consacré la protection du secret des informations médicales comme un élément du droit au respect de la vie privée, lequel découle de l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789. La Cour européenne des droits de l’homme, dans l’arrêt CEDH, 25 février 1997, Z. c/ Finlande, a reconnu de longue date que la protection des données de santé revêt une importance fondamentale au regard de l’article 8 de la Convention. Le législateur a donc entouré la transmission organisée par les articles L. 315-4 et L. 4622-2-1 de garanties spécifiques : information du travailleur, recueil de son accord pour les données relatives au poste, finalité strictement liée à la prévention de la désinsertion professionnelle, périmètre d’informations défini par décret. Le cadre du RGPD et le rôle de la CNIL Les données échangées étant des données concernant la santé au sens de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD), elles relèvent des catégories particulières dont le traitement est en principe interdit par l’article 9, sauf exceptions énumérées, parmi lesquelles figure le traitement nécessaire aux fins de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, ou pour des motifs d’intérêt public dans le domaine de la santé publique (article 9, § 2, h et i). La loi n° 78-17 du 6 janvier 1978 modifiée précise les conditions nationales de mise en œuvre. Toute opération de traitement doit reposer sur une base juridique claire, respecter les principes de minimisation et de finalité, et faire l’objet d’une analyse d’impact relative à la protection des données (AIPD) en application de l’article 35 du RGPD. La CNIL, dans son référentiel publié le 2 avril 2026 sur la conservation des données RH, a rappelé l’exigence de durées de conservation strictement limitées. La jurisprudence de la CJUE, notamment l’arrêt CJUE, 16 janvier 2019, Deutsche Post (C-496/17), tend à considérer que la communication de données personnelles entre administrations doit être prévue par un texte suffisamment précis et proportionné. Le Conseil d’État, juge ordinaire de la légalité des décrets, contrôle régulièrement la compatibilité des textes réglementaires avec les exigences du RGPD, ainsi que l’a illustré sa décision CE, 19 mai 2023, La Quadrature du Net. Les enjeux institutionnels : prévention de la désinsertion et lutte contre les abus Les décrets du 28 avril 2026 servent une double finalité, parfois en tension. Sur le plan préventif, ils permettent d’activer plus tôt les dispositifs créés par la loi du 2 août 2021 : essai encadré, convention de rééducation professionnelle en entreprise (article L. 323-3-1 du code de la sécurité sociale), visite de préreprise, rendez-vous de liaison. Sur le plan du contrôle, le partage facilite l’identification des situations atypiques et nourrit la stratégie de lutte contre la fraude annoncée par la CNAM. Cette dualité fonctionnelle suppose une vigilance particulière sur la finalité poursuivie : les données transmises pour des finalités préventives ne sauraient être détournées au profit d’objectifs purement répressifs sans nouveau fondement légal, en application du principe de limitation des finalités (article 5, § 1, b du RGPD). L’indépendance du médecin du travail, principe rappelé à l’article L. 4623-8 du code du travail et par la jurisprudence du Conseil d’État (CE, 17 juillet 2013, n° 358109), constitue un garde-fou supplémentaire : le médecin du travail ne peut devenir un auxiliaire du contrôle des arrêts de travail. Enjeux pour les concours Le candidat doit maîtriser l’architecture du dispositif : articles L. 315-4 du code de la sécurité sociale et L. 4622-2-1 du code du travail, créés par la loi n° 2021-1018 du 2 août 2021 pour renforcer la prévention en santé au travail, dont la mise en œuvre opérationnelle est assurée par les décrets n° 2026-320 et 2026-321 du 28 avril 2026. Il doit savoir mobiliser les fondements du secret médical (article L. 1110-4 du code de la santé publique, article 226-13 du code pénal) et les garanties européennes : article 8 de la CEDH, RGPD du 27 avril 2016 (notamment articles 5, 9 et 35), loi du 6 janvier 1978 modifiée. Les références jurisprudentielles utiles incluent CC, 23 juillet 1999, n° 99-416 DC, CEDH, 25 février 1997, Z. c/ Finlande, et la jurisprudence du Conseil d’État sur le contrôle des traitements de données (CE, 19 mai 2023, La Quadrature du Net). L’angle d’analyse privilégié est celui de la conciliation entre intérêt général (maîtrise des dépenses d’assurance maladie, prévention de la désinsertion professionnelle) et droits fondamentaux (vie privée, secret médical, indépendance médicale). Le sujet permet enfin d’illustrer les transformations contemporaines de l’action publique : décloisonnement des administrations, partage de données, gouvernance par la donnée, et la nécessité d’un encadrement précis des finalités pour éviter les dérives vers une logique purement répressive.​​​​​​​​​​​​​​​​