Audit RGPD SPST : Depuis 2018, j’accompagne des Services de Prévention et de Santé au Travail en tant que DPO externe. Après plus de 30 audits RGPD réalisés dans des SPSTI de toutes tailles, un constat s’impose : les mêmes manquements reviennent systématiquement. Pas des erreurs anecdotiques. Des non-conformités structurelles, parfois graves, qui exposent le service à un risque réel en cas de contrôle CNIL ou d’audit de certification AFNOR.
Le plus frustrant ? Aucune de ces non-conformités n’est techniquement difficile à résoudre. Elles persistent parce que personne ne les a formalisées, pas parce qu’elles sont complexes.
Voici ces 5 failles récurrentes, pourquoi elles posent problème, et comment les neutraliser concrètement, y compris avec l’outil DPO Suite.
L’AIPD sur le DMST : la grande absente
Ce que je constate sur le terrain. Dans plus de 80 % des SPST audités, il n’existe aucune Analyse d’Impact relative à la Protection des Données (AIPD) portant sur le traitement du Dossier Médical en Santé au Travail. Parfois, la direction n’a jamais entendu parler de cette obligation. Parfois, elle pense que c’est « l’éditeur du logiciel métier qui s’en charge ». Ce n’est jamais le cas.
Pourquoi c’est grave. Le guide CNIL dédié aux SPST est sans ambiguïté : la réalisation d’une AIPD est nécessaire pour le traitement relatif à la gestion des DMST, dans la mesure où celui-ci fait courir un risque élevé pour les droits et libertés des travailleurs. Le DMST coche en effet trois critères de la liste de la CNIL simultanément : traitement à grande échelle de données sensibles (données de santé), personnes vulnérables (contexte de subordination employeur/salarié), et croisement de données (identité, expositions professionnelles, pathologies, avis d’aptitude). L’article 35 du RGPD rend donc l’AIPD obligatoire, sans marge d’interprétation. Le référentiel AFNOR SPEC 2217, qui encadre la certification des SPSTI depuis avril 2023, inclut explicitement la conformité RGPD comme axe d’évaluation, ce qui signifie que l’absence d’AIPD constitue un point bloquant pour la certification de niveau 3.
On ne pense jamais a faire un AIPD sur l’externalisation de l’archivage des DMST, et la raison est simple, celle-ci revient toujours avec des problèmes, mais c’est un autre sujet.
Comment neutraliser cette non-conformité.
L’AIPD sur le DMST suit une structure en trois volets telle que décrite par la CNIL : une description détaillée du traitement (aspects techniques et opérationnels), une évaluation juridique de la nécessité et de la proportionnalité (finalités, base légale, minimisation, durées de conservation, droits des personnes), et une étude des risques sur la sécurité des données (confidentialité, intégrité, disponibilité) avec les mesures techniques et organisationnelles pour y répondre.
Concrètement, il faut cartographier les flux de données du DMST depuis la convocation du salarié jusqu’à l’archivage du dossier 40 ans, ou plus, plus tard. Identifier qui saisit quoi, sur quel logiciel, avec quels accès. Documenter les mesures de sécurité existantes (chiffrement, authentification, hébergement HDS). Puis évaluer les risques résiduels : que se passe-t-il si un personnel administratif accède au contenu médical ? Si le logiciel métier est compromis ? Si un DMST est transmis au mauvais SPST lors d’un changement d’employeur ?
Le livrable final doit être un document vivant, réexaminé à chaque évolution du traitement (nouveau logiciel, télésanté, interconnexion DMP, etc.).
Comment neutraliser cette non-conformité avec DPO Suite. Le module AIPD de DPO Suite intègre un modèle pré-paramétré spécifiquement pour le traitement DMST des SPST. Les critères de risque liés aux données de santé, au contexte de subordination et au volume de dossiers sont déjà identifiés. L’outil guide l’utilisateur étape par étape : description du traitement, évaluation de la nécessité, cartographie des risques avec échelle de gravité et de vraisemblance, puis génération automatique du plan d’action. Chaque mesure de sécurité existante peut être documentée et rattachée aux risques qu’elle couvre. Le document final est exportable en PDF et horodaté, ce qui constitue une preuve d’accountability exploitable en cas de contrôle.
La politique d’habilitations au DMST : le flou généralisé
Ce que je constate sur le terrain. La question « qui accède à quoi dans votre logiciel métier ? » provoque quasi systématiquement un silence gêné. Dans la majorité des SPST audités, il n’existe aucune matrice d’habilitations formalisée pour le DMST. Les profils d’accès dans le logiciel métier (Padoa, Préventiel, GESuivi, etc.) ont été configurés à l’installation initiale, souvent par l’éditeur lui-même, et n’ont jamais été revus depuis. Résultat : des assistantes médicales qui disposent d’un accès lecture à l’intégralité du DMST alors qu’elles n’en ont pas besoin pour la planification des visites, des ergonomes ou toxicologues qui accèdent aux antécédents médicaux complets alors que seules les données d’exposition les concernent, et parfois même des personnels de direction qui peuvent techniquement consulter des dossiers médicaux.
Pourquoi c’est grave. Le code du travail (article R.4624-45-5) encadre strictement les modalités d’alimentation et de consultation du DMST. Seuls les professionnels de santé (médecins du travail, collaborateurs médecins, internes, infirmiers en santé au travail) peuvent consulter et alimenter l’ensemble du DMST. Les autres membres de l’équipe pluridisciplinaire (ergonomes, toxicologues, psychologues du travail, ASST) n’accèdent qu’à certaines catégories de données, sous la supervision du médecin du travail. Le personnel de direction et le personnel administratif sont formellement exclus de tout accès au contenu du DMST.
La Haute Autorité de Santé (HAS) recommande par ailleurs que la gestion des accès soit assurée par le médecin du travail lui-même, en tant qu’administrateur du logiciel. Ce point est essentiel : ce n’est pas au service informatique ni à la direction de décider qui voit quoi dans le DMST. Un accès non autorisé constitue juridiquement une violation de données au sens de l’article 4.12 du RGPD, notifiable à la CNIL sous 72 heures.
Comment neutraliser cette non-conformité.
La première étape consiste à établir une matrice d’habilitations qui croise les profils métier (médecin du travail, infirmier, IDEST, collaborateur médecin, interne, ASST, ergonome, toxicologue, secrétaire médicale, personnel administratif, direction) avec les catégories de données du DMST (données d’identification, données médico-administratives, données d’exposition, données de santé recueillies lors des visites, correspondances entre professionnels de santé, avis et propositions du médecin du travail).
Pour chaque croisement, il faut indiquer le niveau d’accès : lecture seule, lecture et écriture, ou aucun accès. Cette matrice doit être validée conjointement par la direction du SPST (responsable de traitement) et le médecin du travail (garant opérationnel du secret médical), puis traduite techniquement dans le logiciel métier sous forme de profils utilisateurs distincts.
Ensuite, il faut mettre en place une revue périodique des habilitations, au minimum annuelle : vérifier que les comptes des personnes ayant quitté le service sont désactivés, que les profils correspondent toujours aux fonctions exercées, et que les accès temporaires (internes, stagiaires) ont bien été clôturés.
Comment neutraliser cette non-conformité avec DPO Suite. DPO Suite permet de documenter la matrice d’habilitations dans le registre des traitements, directement rattachée à la fiche « DMST ». Chaque profil métier est associé aux catégories de données accessibles, avec le niveau d’accès correspondant. L’outil intègre un système de revue périodique avec alertes automatiques : à l’échéance définie, le DPO reçoit une notification pour relancer la revue des habilitations auprès du médecin du travail référent. Le résultat de chaque revue est tracé et horodaté, ce qui alimente directement le dossier d’accountability.
L’information des travailleurs : la fiche fantôme
Ce que je constate sur le terrain. Lorsque je demande à voir la mention d’information RGPD remise aux travailleurs lors de leur première visite, la réponse la plus fréquente est un regard perplexe. Dans le meilleur des cas, on me présente un vague paragraphe glissé en bas d’un formulaire de convocation, qui mentionne « vos données sont traitées conformément au RGPD » sans aucune des mentions obligatoires. Parfois, il existe une page sur le site web du SPST, mais personne ne sait qu’elle existe, et aucun travailleur n’en a jamais été informé. La situation est encore plus problématique pour les personnels du SPST eux-mêmes (traitement RH), les adhérents (fichier de gestion des adhésions) et les personnes contacts dans les entreprises.
Pourquoi c’est grave. Les articles 13 et 14 du RGPD imposent une liste précise d’informations à communiquer aux personnes concernées. Le guide CNIL SPST le rappelle explicitement : les professionnels du SPST doivent fournir une information à la fois complète, concise, transparente, compréhensible et aisément accessible. Cette information doit intervenir au plus tard au moment de la première visite. Elle doit mentionner, au minimum : l’identité du responsable de traitement (le SPST représenté par sa direction), les coordonnées du DPO, les finalités et la base juridique du traitement, les catégories de données collectées, les destinataires, les durées de conservation (40 ans pour le DMST avec la limite de 10 ans après le décès, telle que prévue par le code du travail), les droits des personnes (accès, rectification, effacement, limitation, opposition le cas échéant), et le droit d’introduire une réclamation auprès de la CNIL.
Le SPST doit également informer le travailleur de sa possibilité de s’opposer à la transmission de son DMST à un autre SPST, et, à compter du dispositif DMP-santé au travail, recueillir son consentement exprès pour le versement d’informations dans le volet santé au travail du DMP.
L’absence de cette information constitue un manquement direct et facilement constatable par la CNIL. C’est aussi un critère évalué dans la certification AFNOR, qui exige que le SPSTI assure « l’information complète des employeurs et des salariés sur les actions menées utilisant ou générant des données personnelles, y compris pour la pratique de la télésanté ».
Comment neutraliser cette non-conformité.
Il faut créer deux niveaux d’information, conformément à l’approche recommandée par la CNIL.
Le premier niveau est une fiche synthétique d’une page, remise en main propre ou affichée en salle d’attente, qui contient les informations essentielles : identité du responsable de traitement, coordonnées du DPO, finalité du traitement (suivi individuel de l’état de santé, prévention des risques professionnels), et rappel des droits avec les modalités pour les exercer. Cette fiche doit être remise au travailleur au plus tard lors de sa première visite d’information et de prévention (VIP) ou de son examen médical d’aptitude.
Le second niveau est un document complet, accessible en ligne ou sur demande, qui détaille l’ensemble des informations requises par les articles 13 et 14 du RGPD pour chaque traitement mis en œuvre par le SPST : DMST, recherches et études, gestion des adhérents, gestion RH des personnels du SPST, etc.
Pour les études et enquêtes internes, une note d’information spécifique doit être remise aux travailleurs concernés, leur permettant d’exercer leur droit d’opposition à la réutilisation de leurs données. Pour les études multicentriques (relevant de la MR-004), l’information individuelle doit être encore plus détaillée.
Le DMST lui-même doit contenir la mention que le travailleur a été informé de ses droits en matière d’accès aux données le concernant et sur les conditions d’accès à son dossier, conformément à l’article R.4624-45-3 du code du travail.
Comment neutraliser cette non-conformité avec DPO Suite.DPO Suite intègre un générateur de mentions d’information paramétrable par traitement. Pour le SPST, les modèles couvrent les trois populations principales : travailleurs suivis (DMST), salariés du SPST (RH), adhérents et contacts entreprises. Chaque mention est automatiquement alimentée par les informations du registre des traitements (finalités, base légale, durées de conservation, destinataires), ce qui garantit la cohérence entre le registre et les mentions. Les documents générés sont versionnés, ce qui permet de prouver quelle version était en vigueur à quelle date, un élément déterminant en cas de réclamation.
Le registre des traitements : la fiche unique qui ne couvre rien
Ce que je constate sur le terrain. La quasi-totalité des SPST audités possèdent un registre des traitements. Le problème, c’est son contenu. Dans la majorité des cas, je trouve une à trois fiches sommaires : « gestion du DMST », « gestion des adhérents », et parfois « gestion RH ». Chaque fiche tient sur un demi-page, avec des informations vagues du type « données nécessaires au suivi médical » dans la colonne « catégories de données » et « durée légale » dans la colonne « conservation ». Aucune mention des sous-traitants, aucun détail sur les destinataires, aucune justification des durées retenues.
Surtout, des traitements entiers sont absents du registre : la gestion de l’espace adhérent en ligne (portail web avec prise de rendez-vous), la vidéosurveillance des locaux, la gestion du parc automobile, la télésanté au travail, les enquêtes et études épidémiologiques, la gestion des alertes sanitaires (GAST), le traitement des signalements de risque professionnel, ou encore la gestion des membres bénévoles siégeant au conseil d’administration et à la commission de contrôle pour les SPSTI constitués en association.
Pourquoi c’est grave. Le registre des traitements n’est pas un document cosmétique. La CNIL le rappelle dans son guide : c’est le document qui permet à la fois de piloter la conformité au RGPD et de la démontrer. Pour chaque traitement, le registre doit recenser : les parties prenantes (responsable de traitement, co-responsables, sous-traitants) et leurs rôles, les catégories de données traitées, la finalité précise, les bases légales invoquées, les destinataires internes et externes, les éventuels transferts hors UE, les durées de conservation en base active et en archivage intermédiaire avec leur justification, et les mesures de sécurité. Des documents doivent y être annexés : contrats de sous-traitance, audits de sécurité, AIPD le cas échéant.
Un registre incomplet signifie en pratique que le SPST ne maîtrise pas ses propres traitements de données. C’est le premier document demandé par la CNIL en cas de contrôle, et c’est le premier signal d’alerte d’une conformité défaillante.
Comment neutraliser cette non-conformité.
Il faut reprendre le registre à zéro en commençant par un inventaire exhaustif des traitements. Pour un SPST interentreprises typique, voici les traitements que l’on retrouve systématiquement :
Traitements liés aux missions du SPST : gestion du DMST (avec les sous-traitements : suivi individuel, visites périodiques, visites de pré-reprise et reprise, examens complémentaires), fiche d’entreprise, actions en milieu de travail, études et enquêtes internes, études multicentriques, cellule de prévention de la désinsertion professionnelle (PDP), gestion des alertes sanitaires.
Traitements administratifs : gestion des adhésions et cotisations, espace adhérent en ligne, convocations et planification des visites, facturation, gestion du conseil d’administration et de la commission de contrôle, gestion de la commission médico-technique.
Traitements RH internes : gestion des salariés du SPST, recrutement, formation, gestion des temps et absences, paie.
Traitements support : messagerie sécurisée de santé, vidéosurveillance, contrôle d’accès aux locaux, gestion du parc informatique, site web et cookies, télésanté au travail.
Chaque fiche doit être renseignée avec un niveau de détail suffisant pour qu’un tiers puisse comprendre exactement ce qui est fait des données. Les durées de conservation doivent être précises et justifiées : 40 ans pour le DMST (article R.4624-45-9 du code du travail), avec des durées dérogatoires pour les travailleurs exposés à des agents chimiques dangereux (50 ans, article R.4412-55), à des agents biologiques pathogènes (40 ans, article R.4426-9), ou aux rayonnements ionisants (50 ans, article R.4451-83). Pour les fichiers non couverts par un texte spécifique, la durée doit être justifiée au regard de la finalité.
Comment neutraliser cette non-conformité avec DPO Suite. DPO Suite propose une bibliothèque de fiches de traitement pré-remplies pour le secteur SPST, couvrant l’ensemble des traitements types listés ci-dessus. Chaque fiche intègre les durées de conservation réglementaires avec les références textuelles (articles du code du travail), les bases légales adaptées, et les catégories de données standard. Le DPO n’a plus qu’à adapter chaque fiche au contexte spécifique du service : nom de l’éditeur du logiciel métier, liste des sous-traitants effectifs, mesures de sécurité réellement déployées. L’outil génère automatiquement des alertes lorsqu’une fiche n’a pas été mise à jour depuis plus de 12 mois, et permet de tracer chaque modification avec un historique complet des versions.
DPO Suite propose aussi de materialiser les audits des sous-traitants, tout devient traçable comme l’exige le RGPD.
Les contrats de sous-traitance avec l’éditeur du logiciel métier : le maillon faible
Ce que je constate sur le terrain. Le logiciel métier est le cœur névralgique du SPST. C’est lui qui héberge les DMST, gère les convocations, produit les avis d’aptitude, stocke les fiches d’entreprise. Le SPST confie donc à son éditeur (et à l’hébergeur) la totalité ou quasi-totalité des données de santé de dizaines de milliers de travailleurs. Et pourtant, dans la majorité des cas, la relation contractuelle ne comporte aucun contrat de sous-traitance conforme à l’article 28 du RGPD. On trouve au mieux des conditions générales d’utilisation mentionnant vaguement le RGPD, ou une « annexe données personnelles » générique qui ne traite pas des spécificités du secteur santé au travail.
Les clauses manquantes sont presque toujours les mêmes : absence de description précise des opérations de traitement confiées au sous-traitant, absence d’obligation d’assistance du responsable de traitement pour les demandes d’exercice de droits des travailleurs, absence de procédure de notification des violations de données, absence d’engagement sur le recours à la sous-traitance ultérieure (l’éditeur fait souvent appel à des hébergeurs cloud ou des prestataires de maintenance sans en informer le SPST), et absence de clause de restitution ou suppression des données en fin de contrat.
Par ailleurs, le SPST ne vérifie quasiment jamais que l’hébergeur des données de santé dispose bien de la certification HDS (Hébergeur de Données de Santé), devenue obligatoire pour tout hébergement externalisé de données de santé à caractère personnel.
Pourquoi c’est grave. Le guide CNIL le rappelle avec insistance : il appartient au SPST, en tant que responsable de traitement, d’encadrer la relation de sous-traitance afin que les données personnelles ne soient ni divulguées, ni modifiées ou supprimées par inadvertance ou malveillance. L’article 28 du RGPD dresse une liste précise de mentions obligatoires dans le contrat : objet et durée du traitement, nature et finalité, type de données et catégories de personnes concernées, obligations et droits du responsable de traitement, et surtout les obligations spécifiques du sous-traitant (confidentialité, sécurité, notification des violations, audit, sort des données en fin de contrat, information en cas de sous-traitance ultérieure).
Pour le DMST en particulier, la CNIL souligne que la direction du SPST doit être « particulièrement vigilante dans le choix de la solution logicielle utilisée pour gérer le DMST ». Le Conseil National de l’Ordre des Médecins ajoute que ce choix doit être décidé en accord avec le médecin utilisateur et ne peut relever du seul choix de l’employeur.
Le référentiel AFNOR SPEC 2217 renforce cette exigence en imposant que le SPSTI veille à ce que les prestataires informatiques en charge de stocker les données répondent à un cahier des charges en matière de confidentialité et de cybersécurité.
Comment neutraliser cette non-conformité.
Il faut commencer par lister tous les sous-traitants qui manipulent des données personnelles pour le compte du SPST : éditeur du logiciel métier, hébergeur des serveurs, prestataire de maintenance applicative, prestataire de sauvegarde, éditeur de la solution de télésanté, prestataire de messagerie sécurisée de santé, cabinet comptable, éditeur du logiciel de paie, etc.
Pour chaque sous-traitant, il faut vérifier l’existence d’un contrat ou d’un avenant comportant l’ensemble des clauses de l’article 28. Pour le logiciel métier et l’hébergement du DMST, le contrat doit être particulièrement détaillé et inclure : la localisation précise des données (obligation de territoire UE), la certification HDS de l’hébergeur, les mesures de chiffrement au repos et en transit, la procédure de notification des violations de données au SPST (avec un délai maximal, idéalement 24 heures pour permettre au SPST de respecter son propre délai de 72 heures vis-à-vis de la CNIL), les modalités d’assistance en cas de demande d’exercice de droits (un travailleur demande l’accès à son DMST : comment le sous-traitant facilite-t-il l’extraction ?), la liste des sous-traitants ultérieurs avec droit d’opposition du SPST, et les conditions de réversibilité en fin de contrat (format d’export, délai de restitution, suppression certifiée).
Si l’éditeur refuse de signer un avenant conforme, c’est un signal d’alerte majeur. Le SPST doit documenter ses demandes et, le cas échéant, envisager un changement de prestataire.
Comment neutraliser cette non-conformité avec DPO Suite. DPO Suite intègre un module de gestion des sous-traitants qui permet de centraliser tous les contrats, de suivre leur conformité article par article (avec une checklist basée sur l’article 28), et de programmer des revues contractuelles périodiques. Chaque sous-traitant est rattaché aux traitements qu’il opère dans le registre, ce qui offre une vision transversale immédiate : si l’hébergeur change, tous les traitements concernés sont identifiés. L’outil génère des modèles d’avenants « sous-traitance données de santé » adaptés au contexte SPST, incluant les clauses HDS et les spécificités liées au DMST. Un tableau de bord de conformité fournisseurs permet au DPO de visualiser en un coup d’œil quels contrats sont à jour, lesquels arrivent à échéance, et lesquels présentent des clauses manquantes.
Ce que ces 5 non-conformités ont en commun
Aucune de ces failles n’est une surprise. Elles sont toutes documentées noir sur blanc dans le guide CNIL dédié aux SPST publié en 2024 et dans les exigences du référentiel AFNOR SPEC 2217 qui régit la certification obligatoire des SPSTI. Elles ne relèvent ni d’une technicité juridique excessive, ni d’un investissement financier important. Elles relèvent de la formalisation : documenter ce qui existe déjà en partie, structurer ce qui est fait de manière informelle, et combler les angles morts.
Avec la certification AFNOR désormais obligatoire et la conformité RGPD inscrite comme axe d’évaluation explicite (aux côtés de la qualité des services, de l’organisation et de la gestion financière), les SPST n’ont plus le luxe de considérer le RGPD comme un sujet secondaire. La protection des données de santé des travailleurs n’est pas une contrainte administrative : c’est le prolongement naturel du secret médical à l’ère numérique.
Le plus simple reste de commencer par un audit flash sur ces 5 points. Si votre SPST est conforme sur les 5, vous faites partie d’une minorité. Si ce n’est pas le cas, chaque non-conformité peut être corrigée en quelques semaines avec la bonne méthode et les bons outils.
Laurent de CAVEL est DPO externe, spécialisé dans l’accompagnement des SPST depuis 2018. Auteur de quatorze ouvrages sur le RGPD, il a accompagné plus de 30 services de prévention et de santé au travail dans leur mise en conformité. Il est le fondateur de DPO France, réseau de DPO externes, et le créateur de DPO Suite, outil de pilotage de la conformité RGPD.
