La contre-visite médicale est l’un des rares dispositifs où un employeur déclenche le traitement de données de santé d’un salarié. Ce levier de gestion de l’absentéisme s’inscrit dans un cadre juridique double : le Code du travail qui l’autorise (art. L.1226-1), et le RGPD qui en encadre strictement l’exécution. Méconnaître l’un ou l’autre expose à des sanctions cumulables — CNIL, prud’hommes et même pénales en cas d’atteinte au secret médical. Ce guide pose les obligations 2026 d’un DRH ou dirigeant qui commande une contre-visite, en s’appuyant sur le règlement européen, la jurisprudence française et les référentiels CNIL.
📌 En bref
- La contre-visite médicale traite des données de santé au sens de l’article 9 RGPD : interdiction de principe, exception au titre du contrôle légalement autorisé.
- L’employeur reste responsable de traitement ; le médecin contrôleur (et son organisme) est sous-traitant au sens de l’article 28 RGPD.
- L’employeur n’a accès qu’à la conclusion du contrôle (justifié / non justifié), jamais au diagnostic — secret médical (L.1110-4 CSP).
- Sanctions cumulables : CNIL (jusqu’à 20 M€ ou 4 % CA), prud’hommes (dommages et intérêts), pénales (5 ans / 300 000 € pour atteinte au secret médical, art. 226-13 CP).
- Obligations clés 2026 : registre des traitements, AIPD si suivi systématique, contrat sous-traitance art. 28, information du salarié, durée conservation 1 à 5 ans selon finalité.
Cadre juridique : pourquoi le RGPD s’applique à la contre-visite
Le contrôle médical déclenché par l’employeur, prévu par l’article L.1226-1 du Code du travail, conditionne le maintien du complément employeur aux indemnités journalières. Il génère trois traitements de données distincts, tous soumis au RGPD :
- Données d’identification du salarié (nom, adresse, fonction, dates d’arrêt) — données ordinaires (art. 6 RGPD).
- Données de santé au sens strict : la conclusion du médecin contrôleur sur le caractère justifié ou non de l’arrêt — article 9 RGPD (catégorie particulière).
- Conclusion administrative exploitée par les RH pour décider du maintien du complément, voire pour engager une procédure disciplinaire — données ordinaires mais issues du traitement art. 9.
La règle est claire : le traitement des données de santé est interdit par principe (art. 9.1 RGPD), avec une dizaine d’exceptions limitativement énumérées au paragraphe 2. La contre-visite relève de l’exception art. 9.2.b (« nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ») couplée à l’autorisation du Code du travail L.1226-1.
Côté secret médical, l’article L.1110-4 du Code de la santé publique protège l’ensemble des informations parvenues à la connaissance du professionnel de santé. La Cour de cassation a posé la règle d’or dans son arrêt fondateur du 10 octobre 1995 (n° 92-40.839) : l’employeur ne peut recevoir que la conclusion du contrôle ; aucun élément médical (diagnostic, traitement, antécédents) ne peut lui être transmis. La violation expose à 5 ans d’emprisonnement et 300 000 € d’amende (art. 226-13 du Code pénal).
⚠️ Alerte YMYL — accès au diagnostic
Si vous recevez du médecin contrôleur (ou de son organisme) une information autre que « justifié », « non justifié », « salarié absent », « refus du contrôle » ou « impossibilité matérielle » : arrêtez la lecture, ne stockez pas, signalez au DPO. Toute exploitation d’un élément médical relève de la complicité de violation du secret médical.
Quelles données sont traitées et sous quel régime
Cartographier les données est le premier réflexe RGPD. Voici la grille pour une contre-visite type :
| Donnée traitée | Catégorie RGPD | Base légale | Conservation | Destinataires |
|---|---|---|---|---|
| Identité salarié (nom, adresse, fonction) | Ordinaire (art. 6) | Obligation légale (L.1226-1 CT) | Durée du contrat + 5 ans (prescription civile) | RH, paie, prestataire contrôle |
| Dates et motif administratif de l’arrêt | Ordinaire | Obligation légale | 5 ans après fin contrat | RH, paie, médecin contrôleur |
| Conclusion médicale (justifié / non justifié) | Sensible (art. 9.2.b) | L.1226-1 CT + autorisation légale | 1 an (recommandation CNIL salaires) | RH habilités uniquement |
| Diagnostic médical, traitement, antécédents | Sensible | INTERDIT à l’employeur (L.1110-4 CSP) | N/A — non collectable | Médecin contrôleur uniquement (secret pro) |
| Compte-rendu administratif (rapport prestataire) | Ordinaire | Intérêt légitime (art. 6.1.f) + L.1226-1 | 5 ans (prescription prud’homale) | DRH, contentieux, conseil prud’hommes (si litige) |
| Décision RH (suspension complément, sanction) | Ordinaire | Obligation légale + intérêt légitime | Durée contrat + 5 ans | RH, paie, salarié |
Cette cartographie doit figurer dans le registre des activités de traitement (art. 30 RGPD) sous une fiche dédiée intitulée typiquement « Gestion de l’absentéisme — contre-visite médicale ». La CNIL contrôle régulièrement la complétude de ces registres lors de ses missions.
Les acteurs et leurs rôles RGPD
La contre-visite implique systématiquement plusieurs intervenants. Leur qualification au sens du RGPD détermine leurs obligations respectives :
| Acteur | Qualification RGPD | Obligations principales |
|---|---|---|
| Employeur (entreprise) | Responsable de traitement (art. 4.7 RGPD) | Définit les finalités, choisit le prestataire, informe le salarié, signe le contrat sous-traitance, conserve les preuves |
| Organisme prestataire (réseau de médecins contrôleurs) | Sous-traitant (art. 4.8 + art. 28 RGPD) | Agit sur instruction de l’employeur, contrat art. 28 obligatoire, mesures de sécurité art. 32, registre propre |
| Médecin contrôleur (personne physique) | Professionnel de santé soumis au secret médical (L.1110-4 CSP) | Réalise la visite, transmet uniquement la conclusion, conserve le dossier médical séparément |
| Délégué à la protection des données (DPO interne ou externe) | Conseiller indépendant (art. 37-39 RGPD) | Tient le registre, conduit l’AIPD, point de contact CNIL et personnes concernées |
Le contrat de sous-traitance article 28 est non négociable : il doit décrire la nature du traitement, les catégories de données, la durée, les obligations de sécurité, le sort des données en fin de contrat, et l’autorisation de sous-traitants ultérieurs. L’absence de ce contrat est l’un des manquements les plus fréquemment relevés par la CNIL lors des contrôles employeur.
Droits du salarié : information, accès, opposition
Le salarié contrôlé reste titulaire de ses droits RGPD. L’employeur doit les organiser en pratique :
- Droit à l’information (art. 13 RGPD) — au plus tard au moment où la donnée est collectée, donc dès la convocation à la contre-visite ou via la mention RGPD figurant dans le contrat de travail / règlement intérieur. Doit préciser : finalité, base légale, destinataires, durée de conservation, droits, contact DPO, droit de réclamation CNIL.
- Droit d’accès (art. 15) — le salarié peut demander copie de toutes les données le concernant, y compris la conclusion administrative du contrôle. Il ne peut pas obtenir le diagnostic via l’employeur (qui n’est pas censé le détenir) — il peut le demander directement au médecin contrôleur en sa qualité de patient.
- Droit de rectification (art. 16) — toute donnée inexacte doit être corrigée sans délai (ex. erreur sur la date d’arrêt, fonction).
- Droit à l’effacement (art. 17) — partiellement applicable, l’effacement est limité par les obligations légales de conservation (5 ans prud’hommes).
- Droit d’opposition (art. 21) — pas applicable au contrôle légalement obligatoire, le salarié ne peut pas s’opposer à une contre-visite valablement organisée.
- Droit de réclamation — toujours mentionner la possibilité de saisir la CNIL (cnil.fr/plaintes).
💡 Tip pratique RH
Préparez une fiche d’information RGPD « contre-visite » de 1 page, à remettre systématiquement avec la convocation et à conserver signée. Elle clôt le débat sur le « j’ai pas été informé » devant les prud’hommes ou la CNIL. Modèle disponible dans notre guide gratuit.
Sécurité et confidentialité : les obligations art. 32
L’article 32 RGPD impose des « mesures techniques et organisationnelles appropriées » au regard du risque. Pour des données de santé, le niveau attendu est élevé. Référentiel : guide CNIL sécurité RGPD. Mesures minimales attendues 2026 :
- Chiffrement des fichiers contenant la conclusion médicale (en repos et en transit) — TLS 1.2 minimum, AES-256 pour les fichiers stockés.
- Habilitations restrictives : seuls les RH dûment habilités peuvent consulter les conclusions ; pas de partage par email non chiffré.
- Cloisonnement des dossiers médicaux : le service RH ne doit jamais être hébergé sur le même espace que le DPO ou le médecin du travail.
- Journalisation des accès (art. 32.1.b RGPD) : qui a consulté quoi, quand. Conservation des logs minimum 6 mois.
- Procédure de violation : notification CNIL sous 72 heures (art. 33), information des personnes si risque élevé (art. 34).
- Anonymisation après usage : passé le délai de conservation, anonymiser ou supprimer définitivement.
Une analyse d’impact sur la protection des données (AIPD) au sens de l’article 35 RGPD est obligatoire dès lors que l’employeur met en place un système systématique de contre-visites (par exemple via un prestataire récurrent et un protocole formalisé). La CNIL considère que tout traitement combinant données sensibles + monitoring de salariés relève de l’AIPD obligatoire (liste CNIL 11 octobre 2018, point 8).
Sanctions et risques en cas de manquement
Le triptyque de risques est cumulable. Voici les scénarios les plus fréquents :
| Manquement | Sanction | Référence |
|---|---|---|
| Absence d’information du salarié | CNIL : 10 000 à 100 000 € | Art. 13 RGPD + sanctions CNIL 2023-2025 |
| Pas de contrat sous-traitance art. 28 | CNIL : jusqu’à 10 M€ ou 2 % CA | Art. 28 + 83.4 RGPD |
| Conservation excessive (>5 ans sans justification) | CNIL : injonction + amende | Art. 5.1.e RGPD |
| Violation des données non notifiée à temps | Jusqu’à 10 M€ ou 2 % CA | Art. 33 + 83.4 RGPD |
| Demande / réception du diagnostic médical | Pénal : 5 ans, 300 000 € (employeur) + 1 an, 15 000 € (médecin) | Art. 226-13 CP + L.1110-4 CSP |
| Sanction disciplinaire fondée sur diagnostic | Prud’hommes : licenciement nul + dommages | Cass. soc. 28 janv. 2010 n° 08-42.616 |
| Atteinte grave aux droits (multiplication) | CNIL : jusqu’à 20 M€ ou 4 % CA | Art. 83.5 RGPD |
Au-delà du chiffre, les conséquences réputationnelles sont massives : la CNIL publie systématiquement les sanctions supérieures à 100 000 € sur son site, avec mention du nom de l’entreprise. Le risque image, surtout pour une PME / ETI, peut excéder la sanction financière.
8 bonnes pratiques pour DRH et dirigeant
- Inscrire la contre-visite au registre des traitements (art. 30) avec finalité « gestion de l’absentéisme — contrôle médical art. L.1226-1 CT », base légale article 9.2.b RGPD + L.1226-1 CT, durée de conservation 1 an conclusion / 5 ans dossier global.
- Conduire une AIPD au démarrage du dispositif si vous prévoyez plus de 5 contrôles par an ou un protocole systématique. Faire valider par le DPO.
- Signer un contrat de sous-traitance art. 28 avec le prestataire avant la première mission. Vérifier les clauses sécurité, sous-traitants ultérieurs et fin de contrat.
- Informer le salarié en amont (mention dans le contrat de travail / règlement intérieur) ET au moment de la convocation (fiche RGPD signée, à conserver).
- Limiter l’accès aux conclusions à 2-3 personnes RH habilitées et tracées. Pas de copie email non chiffré.
- Refuser tout document médical du prestataire qui irait au-delà de la conclusion administrative. Le notifier formellement par écrit. Le DPO doit être informé.
- Mettre en place un workflow de violation : qui contacter en cas de fuite, quels délais (72 h CNIL), quels formats (formulaire CNIL en ligne).
- Auditer annuellement le dispositif : nombre de contrôles, motifs, conclusions, suites données. Conserver la trace pour démontrer la proportionnalité du traitement (principe art. 5.1.c RGPD).
⚠️ À retenir — proportionnalité
Multiplier les contre-visites sans motivation peut être qualifié de traitement disproportionné (art. 5.1.c) et de harcèlement moral (L.1152-1 CT). Documenter le motif de chaque déclenchement individuel : suspicion étayée, signaux d’alerte (cf. notre guide « 7 signaux pour déclencher un contrôle »).
Questions fréquentes RGPD et contre-visite
Le salarié peut-il refuser une contre-visite en invoquant le RGPD ?
Non. La contre-visite est légalement autorisée par l’article L.1226-1 du Code du travail, et le RGPD prévoit explicitement (art. 9.2.b) que le traitement de données de santé est licite quand il est « nécessaire aux fins de l’exécution des obligations en matière de droit du travail ». Le refus du salarié est sanctionnable par la suspension du complément employeur (Cass. soc. 13 février 2013 n° 11-22.360). En revanche, le salarié peut contester la proportionnalité ou l’absence d’information.
Quelle durée de conservation pour la conclusion d’une contre-visite ?
La CNIL recommande 1 an pour la conclusion médicale strictement (donnée sensible art. 9), 5 ans pour le dossier administratif global (date, prestataire, suites RH) au titre de la prescription prud’homale. Au-delà, anonymiser ou supprimer. Conserver indéfiniment expose à une amende CNIL pour conservation excessive (art. 5.1.e).
Faut-il un DPO pour pratiquer des contre-visites ?
Pas systématiquement. La désignation d’un DPO est obligatoire (art. 37 RGPD) pour les organismes publics, ceux dont l’activité de base implique un suivi régulier à grande échelle, ou un traitement à grande échelle de données sensibles. Une PME qui pratique 2-3 contre-visites par an n’est pas obligée. Au-delà de 50-100 contrôles annuels ou d’un protocole systématique, la désignation devient prudente, voire obligatoire.
Le médecin contrôleur peut-il transmettre le diagnostic à l’employeur si le salarié donne son consentement ?
Le consentement du salarié au sens RGPD est réputé non libre dans la relation de travail (lien de subordination, lignes directrices CEPD 05/2020). Même avec consentement écrit, transmettre un diagnostic médical à l’employeur expose le médecin à une violation du secret professionnel (art. 226-13 CP). La règle est absolue : seule la conclusion administrative (justifié / non justifié) circule.
Une violation de données lors d’une contre-visite : quelle procédure ?
Notification à la CNIL sous 72 heures via le formulaire en ligne (art. 33 RGPD), description précise de la nature, volume, conséquences probables, mesures correctives prises. Si risque élevé pour le salarié (ex. fuite du diagnostic), information directe du salarié sans délai (art. 34). Documenter le tout dans le registre des violations interne. Les violations notifiées en retard ou non documentées sont systématiquement sanctionnées par la CNIL.
Peut-on partager le résultat d’une contre-visite avec le manager du salarié ?
Non, sauf strict besoin opérationnel et habilitation explicite. Le manager n’a pas besoin de connaître le résultat d’une contre-visite pour gérer l’organisation du service ; il lui suffit de savoir que le salarié est absent ou de retour. Tout partage non justifié est un manquement au principe de minimisation (art. 5.1.c) et expose à une sanction disciplinaire interne (DPO) et CNIL.
Sécuriser votre dispositif de contre-visite
Audit RGPD + référentiel sous-traitance + modèles d’information salarié inclus dans notre accompagnement employeur.
Sources juridiques — Règlement (UE) 2016/679 art. 5, 6, 9, 13, 15-17, 21, 28, 30, 32-35, 37-39, 83 ; Code du travail art. L.1226-1, L.1152-1 ; Code de la santé publique art. L.1110-4 ; Code pénal art. 226-13 ; CNIL délibération 2021-050 ; CNIL liste AIPD 11 octobre 2018 ; CEPD lignes directrices 05/2020 sur le consentement ; Cass. soc. 10 oct. 1995 n° 92-40.839 ; Cass. soc. 28 janv. 2010 n° 08-42.616 ; Cass. soc. 13 fév. 2013 n° 11-22.360 ; Cass. soc. 4 juil. 2018 n° 15-29.424.
Avertissement — Ce guide pose un cadre général. Pour un dispositif spécifique (combien de contrôles annuels, secteur d’activité réglementé, traitement transfrontalier), faire valider par votre DPO ou par un avocat en droit social et protection des données.