Protection des données à caractère personnel (RGPD)

Dans le cadre du Règlement Général sur la Protection des Données (RGPD), applicable à compter du 25 mai 2018, votre Service de Prévention et de Santé au Travail Interentreprise de l’Allier (SSTI03) met en œuvre toutes les actions nécessaires afin de protéger les données personnelles qu’il traite. A cet égard, la présente politique de confidentialité des données personnelles, vous explique en détail le traitement de vos données à caractère personnel, les finalités de ce traitement, la personne responsable du traitement, les mesures de sécurité mises en place pour garantir la sécurité et la confidentialité des informations traitées, et les droits dont vous disposez.

1. Qui est responsable de traitement ?

Dans le cadre de votre adhésion à SSTi03 (Service de Prévention et de Santé au Travail Interentreprise de l’Allier), le responsable de traitement est : SSTi03, représenté par sa direction.

SSTi03 définit seul :

  • Les raisons pour lesquelles il utilise vos données personnelles (cf. objectifs poursuivis)
  • Les modalités d’utilisation de vos données personnelles (nature des informations collectées, durée de conservation des informations recueillies, mesures de sécurité, etc).

Pour assurer au mieux ses missions, SSTi03 travaille avec un sous-traitant, éditeur de notre logiciel métiers, agissant pour son compte et sous sa responsabilité.

Cet éditeur de logiciel métiers dédiés à la prévention et à la santé au travail, respecte de manière stricte les réglementations en vigueur sur la protection des données personnelles de santé : la directive européenne “Règlement général sur la protection des données” (RGPD) et la loi française “Informatique et Libertés” (LIL ainsi que les critères de sécurité de la PGSSI-S (politique générale de sécurité du ministère de la santé).

Pour mener à bien ses missions, il a accès aux bases de vos données personnelles :

  • De vos travailleurs : informations administratives et informations relatives à l’état de santé des travailleurs
  • De votre entreprise : informations administratives et informations permettant de connaître les risques auxquels les travailleurs sont exposés.

2. Sur quelles bases légales prévues par le RGPD, SSTi03 collecte et utilise-t-il vos données à caractère personnel ?

SSTi03 collecte et utilise vos données à caractère personnel à des fins professionnelles en vertu de l’article L.4622-2 du Code du Travail modifié par la Loi n°2021-1018 du 2 août 2021 pour renforcer la prévention en santé au travail.

Le traitement de vos données personnelles repose ainsi sur la base de l’obligation légale.

3. Pour quelles finalités (objectifs) SSTi03 utilise -t-il vos données personnelles ?

Selon leurs compétences et la nature des missions exercées, les professionnels de SSTi03 collectent et utilisent, pour le compte de SSTi03, les données personnelles des travailleurs de votre entreprise et celles de votre entreprise elle-même.

Le traitement de vos données personnelles répond aux finalités suivantes :

  • Pour assurer le suivi de l’état de santé des travailleurs, exemples : tenue du Dossier Médical en Santé au Travail (DMST), sessions de formations et de sensibilisation des travailleurs …
  • Pour assurer la prévention des risques professionnels, exemples : actions en milieu de travail : rédactions des Fiches d’Entreprise (FE), sessions de formations et de sensibilisation des adhérents ,…,
  • Pour assurer la prévention de la désinsertion professionnelle : accompagnement et suivi du salarié dans son parcours de maintien en emploi,
  • Pour réaliser des activités d’études et enquêtes, de recherches en santé, de veille sanitaire et épidémiologique,
  • Pour assurer des actions de santé publique.

Le traitement de vos données personnelles permet également la mise en œuvre des actes de télésanté (réalisation à distance d’une visite ou d’un examen), compatible avec les exigences du RGPD.

Les professionnels de SSTi03 veillent à ne traiter que les informations adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités précédemment citées.

Chaque professionnel est soumis à des obligations de confidentialité et au secret professionnel (cf. article R4127-72 du code de la santé publique) et /ou au secret médical.

4. Quelles données vous concernant sont collectées et utilisées par SSTi03 ?

Les professionnels de SSTi03 collectent les données à caractère personnel directement auprès des travailleurs concernés. Toutefois, certaines données concernant les travailleurs, peuvent être recueillies de manière indirecte (cf. auprès du personnel administratif de votre entreprise) : données administratives et/ou données relatives à leur situation professionnelle.

Il s’agit des informations suivantes :

  • Dans le cadre de la tenue du Dossier Médical de Santé au Travail (DMST) (cf. articles R.4624-45-3 et s. du code du travail) – Les données administratives et de contact du salarié : nom, nom de naissance, prénom, sexe, date de naissance, lieu de naissance, adresse postale, numéro de téléphone, email professionnel et/ou personnel, – Les données relatives à la situation personnelle et familiale (situation de famille, nombre d’enfants, situation maritale, médecin traitant), – Les données relatives à la formation, à l’emploi et au poste de travail (diplômes, niveau d’étude, emploi, nom de l’employeur, type de contrat de travail, date d’entrée dans l’entreprise adhérente, code Profession et Catégorie Socioprofessionnelle, risques professionnels, historique des arrêts de travail et absences),
  • Également les données sensibles définies par l’article 9 du RGPD (cf. des données de santé nécessaires aux fins de la médecine du travail) :  données de santé, informations médicales nécessaires à la prise en charge en santé au travail des salariés en application de la législation en vigueur dans le respect du secret médical et du secret professionnel.
  • Dans le cadre de votre adhésion au SSTi03 : – Les données d’identification et d’authentification lors de l’utilisation du portail de SSTi03. – Les cookies (traceurs) déposés par SSTi03, sur son site internet ont pour seuls buts de comprendre la navigation des utilisateurs et améliorer le fonctionnement optimal du site. Ils ne servent en aucun cas à cibler des offres publicitaires.
  • Les données nécessaires à la validation des demandes d’adhésion, à l’établissement et l’envoi de la facturation.
  • Dans le cadre de l’Action en Milieu de Travail (AMT) : Les données relatives à nos propositions de service (étude de poste, prélèvements, participations à des actions individuelles et collectives de prévention, sessions de sensibilisation, réunions d’informations, etc), les caractéristiques du ou des postes occupés, les données d’exposition, les risques actuels ou passés auxquels le travailleur est ou a été exposé, etc.
  • Dans le cadre d’études/d’enquêtes et les actions de santé publique : Les données sont traitées de façon anonyme pour permettre l’analyse statistique à des fins d’enquêtes, d’études et d’actions de santé publique.

SSTi03 ne collecte pas de données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale d’une personne ou la vie sexuelle.

Lorsqu’un consentement est nécessaire pour la mise en œuvre d’un traitement, nous procédons à l’information des personnes concernées et demandons leur consentement.

5. Qui peut avoir accès à vos données personnelles ?

  • Dans le cadre de la gestion du DMST : Seuls les professionnels de santé en charge du suivi individuel du travailleur : – Les médecins du travail, collaborateurs médecins, médecins – Les autres médecins : un médecin désigné par le salarié suivi, le médecin de l’entreprise de travail temporaire, les médecins régionaux du travail et de la main d’œuvre, le médecin inspecteur du travail -Les Infirmier(ère)s Diplômé(e)s d’Etat en Service de Santé au Travail (IDEST) -Les membres de l’équipe pluridisciplinaire, sous l’autorité du médecin du travail : préventeurs, psychologue du travail, assistant(e)s de service de santé au travail, etc.

Peuvent consulter et alimenter toute ou partie du DMST dans le respect du secret médical. Ils sont responsables du contenu du DMST.

Tous les membres de l’équipe pluridisciplinaire ne disposent pas des mêmes droits. Seuls les professionnels de santé accèdent à l’ensemble des données présentes dans le DMST.

En conséquence, les personnels non professionnels de santé ou n’appartenant pas à l’équipe pluridisciplinaire (personnel de direction et personnel administratif notamment) ne sont pas autorisés à en prendre connaissance, ni même à l’alimenter.

Le médecin du travail peut également décider l’accès aux DMST, aux ayants droit, aux administrations, organismes publics, autorités judiciaires sur demande et dans la limite de ce qui est permis par la réglementation.

Par ailleurs, vos données personnelles sont également accessibles par les équipes de notre éditeur de logiciel métiers. Ces équipes sont formées à la sécurité des données et s’engagent au secret professionnel. Toutes leurs actions sont tracées et auditables.

  • Dans le cadre de votre adhésion au SSTi03 : – L’accès aux informations permettant de valider votre demande d’adhésion, est strictement réservé à l’équipe de professionnels de santé et à l’équipe pluridisciplinaire. – L’accès aux informations permettant d’établir et d’envoyer votre facture est strictement réservé au personnel administratif (responsable administratif et financier, gestionnaires du service des adhésions).
  • Dans le cadre de l’Action en Milieu de Travail (AMT) au sein de votre entreprise : Les données collectées permettant de mener des actions individuelles et collectives de prévention ne sont accessibles qu’aux personnels de santé et aux membres de l’équipe pluridisciplinaire en charge du DMST.
  • Dans le cadre d’études/d’enquêtes et les actions de santé publique : Les résultats d’enquêtes anonymes peuvent être transmis à nos différents partenaires tels que : la CARSAT, un Organisme de placement spécialisé (OPS), la Maison de l’Autonomie (MDA), la CNAM (liste non exhaustive), qui pourront les utiliser ultérieurement à des fins de veille sanitaire et/ou de mise en place d’actions de santé publique.

6. Les données à caractère personnel sont-elles transférées en dehors de l’Union Européenne ? 

Vos données personnelles sont traitées au sein de l’Union Européenne et ne seront pas envoyées vers un pays hors Union Européenne ou vers une organisation internationale.

Elles ne sont pas communiquées à un tiers et ne sont pas vendues non plus.

7. La durée de conservation de vos données personnelles

Durée de conservation du DMST :

Le code du travail prévoit une durée de conservation du DMST de quarante ans à compter de la date de la dernière visite ou examen du travailleur au sein du service de prévention de santé au travail concerné, dans la limite d’une durée de dix ans à compter du décès de la personne.

Par exception pour les travailleurs susceptibles d’être exposés à des risques particuliers, il existe dans le code du travail des règles spécifiques imposant une durée de conservation du DMST plus longue, cf. voir tableau ci-dessous :

Nature du risque Durée de conservation des informations
Agents chimiques dangereux et amiante (art.R.4412-55 du code du travail) 50 ans, après la fin de la période d’exposition
Agents biologiques pathogènes (art.R.4426-9 du code du travail) Durée pouvant aller jusqu’à 40 ans, après la cessation de l’exposition connue
Rayonnements ionisants (art.R.4451-83 du code du travail) Conservation jusqu’au moment où le travailleur a ou aurait atteint l’âge de 75 ans et, en tout état de cause, pendant une période d’au moins 50 ans après la fin de la période d’exposition

Durée de conservation des fichiers et bases de données (hors DMST) :

Il s’agit de fichiers, de bases de données, constitués notamment pour rédiger la fiche d’entreprise et mener des actions de prévention, pour mener des recherches, études et enquêtes.

Les données contenues dans les fichiers et les bases de données hors DMST sont conservées sur toute la durée de l’adhésion.

Par ailleurs, notre éditeur de logiciel métiers s’engage à conserver ces données pendant toute la durée de la relation contractuelle sauf instruction écrite de notre part.

8. De quelles façons SSTi03 assure-t-il la sécurité de vos données ?

SSTi03 met en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin de garantir une sécurité maximale de vos données personnelles :

  • Accès contrôlés et limités aux données du DMST. En effet, les droits d’accès aux fonctionnalités du logiciel métiers sont différents selon les profils des utilisateurs. Des logins et mots de passe individuels sont mis en place
  • Toutes les actions sur le DMST sont tracées

Par ailleurs, notre éditeur de logiciel métier met également tout en œuvre afin d’assurer la sécurité des données de santé qui lui sont confiées : contrôle des accès logiques avec des tests en continu, sécurisation de l’exploitation, journalisation, cloisonnement, lutte contre les logiciels malveillants, sauvegarde des données, sécurité physique, chiffrement des données de santé (protocoles HTTPS), audits externes de sécurité réguliers avec des experts de la sécurité, hébergement des données chez un hébergeur certifié de données de santé (HDS) sur plusieurs sites en France, etc.

 9. Quels sont vos droits au regard de l’utilisation de vos données à caractère personnel ?

Conformément au RGPD et à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, vous disposez de différents droits, à savoir :

  • Droit d’accès à vos données personnelles traitées,
  • Droit de rectification de vos données personnelles éventuellement erronées,
  • Droit de limitation de traitement, ce qui vous permet de refuser certaines utilisations de vos données,
  • Droit de portabilité des données personnelles dans un format standard accessible à vous ou à un tiers désigné par vous-même,
  • Droit d’opposition au traitement de vos données personnelles pour des motifs légitimes.
  • Les personnes concernées disposent également du droit de retirer à tout moment leur consentement au traitement de leurs données à caractère personnel pour tout traitement fondé sur leur consentement.
  • Toutefois, compte tenu de ses obligations légales, notamment en ce qui concerne les données à traiter et leurs conservations, SSTi03, ne pourra répondre favorablement à toute demande d’effacement des données personnelles conservées vous concernant.

Pour exercer ces droits ou pour toute question sur le traitement de vos données à caractère personnel, vous pouvez contacter notre Délégué à la protection des données (DPO)

  • Par courrier électronique à l’adresse mail suivante : rgpd@ssti03.fr.

Toute demande par rapport à l’exercice des droits sera traitée dans les meilleurs délais à compter de la date de réception de la demande écrite :

  • Délai d’un mois maximum pour une demande simple,
  • Délai de 8 jours maximum pour des données de santé,
  • Délai de 3 mois maximum pour une demande complexe (par exemple : beaucoup de données)

Dans le cas où vous ne seriez pas satisfait de la réponse ou en cas de réponse incomplète, vous pouvez contacter la Commission Nationale de l’Informatique et des Libertés (CNIL) en charge du respect des obligations en matière de données personnelles

  • Par le service de plainte en ligne,
  • Par courrier postal à l’adresse suivante : CNIL- Service des Plaintes – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.