Dans le cadre du travail à l’échelle nationale pour la santé et la prévention, la certification des Services de Prévention et de Santé au Travail Interentreprises (SPSTI) est devenue une priorité. Conformément à la loi, les services professionnels sont appelés à suivre des modalités spécifiques pour garantir une offre de service de qualité, conformément à la norme AFNOR SPEC 2217. Cette norme constitue le socle de référence en matière de services de santé au travail, en particulier pour la certification SPSTI.
En vertu du décret récent, le code du travail national impose aux entreprises une activité conforme aux principes édictés par le CNPST (Conseil National de la Prévention et de la Santé au Travail). Il s’agit notamment du respect des données personnelles des salariés, conformément au RGPD, qui modifie le cadre légal en matière de traitement des données.
Les entreprises et leurs partenaires sont tenus de fournir un rapport médical détaillé, y compris un cahier professionnel contenant le contenu exact de leurs activités en matière de prévention des risques. L’état joue un rôle clé en assurant la mise en conformité de ces entreprises avec les normes nationales et en garantissant la qualité des services de santé au travail.
La Commission Médicale d’Établissement, avec l’appui du comité de médecins conseil, joue un rôle clé dans la surveillance de la mise en œuvre des référentiels de certification. Par ailleurs, l’organisme chargé de la certification est tenu de publier une liste des adhérents certifiés, tout en veillant à ce que les entreprises respectent les principes sociaux et les normes de sécurité.
C’est dans cette optique que la certification SPSTI, basée sur la norme AFNOR SPEC 2217, s’intègre. Elle assure que les entreprises adhérentes respectent une série de principes et de normes, garantissant ainsi une protection efficace et conforme des travailleurs. La présence d’un cadre légal et réglementaire solide assure que les employeurs et les organismes sont tenus responsables de la santé et de la sécurité de leurs salariés.
Introduction
Dans le paysage changeant de la prévention et de la santé au travail, la conformité réglementaire et l’assurance de la qualité des services proposés par les Services de Prévention et de Santé au Travail Interentreprises (SPSTI) sont au cœur des préoccupations. En réponse à ces défis, le Décret n° 2022-653 du 25 avril 2022 et la résolution CNPST du 29 avril 2022 ont conduit à l’élaboration d’un nouveau référentiel, la norme AFNOR SPEC 2217. Cette norme offre un cadre exigeant et complet pour la certification des SPSTI.
Le calendrier
L’AFNOR SPEC 2217 aborde un large éventail de thèmes liés à l’activité des SPSTI, allant de la qualité des prestations à la gouvernance de la structure, en passant par les relations avec les partenaires et les entreprises adhérentes. Cependant, l’un des aspects saillants de cette norme concerne la gestion des données personnelles, et par extension, la conformité au Règlement Général sur la Protection des Données (RGPD).
Ce livre se propose d’approfondir ce volet précis de la certification AFNOR SPEC 2217. Il a pour ambition d’être une ressource clé pour les SPSTI en les guidant pas à pas vers une meilleure compréhension et une mise en œuvre effective des exigences relatives au RGPD dans le cadre de cette certification.
À travers les différentes sections, nous détaillerons les recommandations de la norme AFNOR SPEC 2217 en matière de protection des données, en proposant des conseils pratiques et en présentant des exemples concrets de leur application au sein des SPSTI.
L’équipe de DPO Partagé est composée de professionnels chevronnés qui connaissent parfaitement les spécificités des SPSTI. Grâce à leur expertise et leur compréhension approfondie des défis auxquels les SPSTI sont confrontés, ils ont réussi à aider de nombreux services à atteindre et maintenir leur conformité RGPD.
DPO Partagé ne se contente pas de proposer des solutions clés en main. Ils travaillent en étroite collaboration avec chaque SPSTI pour comprendre ses besoins spécifiques, puis élaborer et mettre en œuvre une stratégie de protection des données sur-mesure qui répond non seulement aux exigences réglementaires, mais qui soutient également les objectifs stratégiques de chaque SPSTI.
Avec la nouvelle norme AFNOR SPEC 2217 à l’horizon, le rôle de DPO Partagé en tant que partenaire de confiance pour les SPSTI n’a jamais été aussi crucial. Leur connaissance approfondie de la nouvelle certification et leur expertise en matière de RGPD font d’eux un choix évident pour tout SPSTI cherchant à se conformer à cette nouvelle norme.
Cet article, rédigé avec l’expertise de DPO Partagé, se propose de vous guider à travers chaque aspect du RGPD lié à la certification AFNOR SPEC 2217. En vous appuyant sur leur expertise et leur expérience, vous serez mieux équipé pour faire face aux défis que présente la conformité à cette nouvelle norme.
Décompte avant la date butoir pour votre certification
Gouvernance des données personnelles
1.1 Désignation d’un Délégué à la Protection des Données (DPO)
La première étape essentielle pour assurer la conformité au RGPD, pour un SPSTi est la désignation d'un DPO, sans DPO vous ne pourrez pas prétendre à la moindre conformité RGPD.
Le rôle du DPO est de surveiller la conformité à la loi, de conseiller l'organisation sur les meilleures pratiques en matière de protection des données et d'agir comme point de contact entre les autorités de protection des données et les personnes dont les données sont traitées. Le DPO doit disposer de connaissances suffisantes du RGPD et de la capacité à mettre en œuvre les processus nécessaires au sein de l’organisation, prochainement la fonction de DPO devra être enrichie par des connaissances en cybersécurité, point qui fera sans doute la différence lors de votre certification.
La désignation d'un DPO est non seulement une exigence légale pour les SPSTi, mais aussi une bonne pratique pour toutes les entreprises traitant des données personnelles.
L’absence de désignation d’un DPO est une non-conformité majeure. Il faut y remédier pour la certification, vérifier que le DPO désigné est sensibilisé à la norme NS2 et qu’il pourra répondre aux questions de la Norme AFNOR SPEC 2217.
1.2 Mise en place de politiques internes de gestion des données
La mise en place de politiques internes solides et cohérentes de gestion des données est une étape capitale pour garantir la conformité au RGPD. Ces politiques doivent couvrir tous les aspects du traitement des données personnelles, notamment la collecte, le stockage, l'accès, le partage, la conservation et la suppression des données. Elles doivent également inclure des procédures pour répondre aux demandes d'accès aux données, pour signaler les violations de données aux autorités compétentes, et pour effectuer régulièrement des audits de conformité au RGPD.
Politique de collecte des données : Ce document définit quand, comment et quelles données personnelles peuvent être collectées. Nous vous proposons un modèle en annexe, pour les données personnelles des salariés suivis.
Politique de stockage des données : Ce document spécifie où les données sont stockées, qui y a accès et comment elles sont sécurisées.
Politique d'accès aux données : Ce document établit qui peut accéder aux données personnelles et dans quelles conditions.
Politique de partage des données : Cette politique définit les conditions et les circonstances dans lesquelles les données peuvent être partagées avec des tiers.
Politique de conservation des données : Ce document spécifie combien de temps les données sont conservées et comment elles sont détruites une fois ce délai passé.
Politique de suppression des données : Ce document établit les procédures à suivre pour supprimer les données personnelles lorsqu'elles ne sont plus nécessaires ou lorsque l'individu concerné a demandé leur suppression.
Procédures pour répondre aux demandes d'accès aux données : Ces procédures fournissent un guide détaillé sur la manière de répondre aux demandes d'accès aux données de la part des individus concernés.
Procédures pour signaler les violations de données : Ces procédures établissent les étapes à suivre en cas de violation de la sécurité des données, y compris la manière de signaler de tels incidents aux autorités de contrôle.
Politique d'audit de conformité RGPD : Ce document spécifie comment, quand et par qui les audits de conformité au RGPD seront effectués au sein de l’organisation.
Chacun de ces documents est un élément essentiel de la politique globale de gestion des données personnelles d'une organisation et aide à garantir que l'organisation respecte les exigences du RGPD.
Dans le cadre du RGPD, ces informations sont généralement consignées dans un document appelé le "Registre des activités de traitement". Ce registre est un document central requis par l'article 30 du RGPD, qui doit être maintenu par le responsable du traitement et le sous-traitant.
Le Registre des activités de traitement doit inclure :
Le nom et les coordonnées du responsable du traitement et, le cas échéant, du sous-traitant, du représentant du responsable du traitement et du délégué à la protection des données.
Les finalités du traitement.
Une description des catégories de personnes concernées et des catégories de données à caractère personnel.
Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront divulguées, y compris les destinataires dans des pays tiers ou des organisations internationales.
Les transferts de données à caractère personnel à un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts mentionnés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées.
Lorsque cela est possible, les délais prévus pour l'effacement des différentes catégories de données.
Lorsque cela est possible, une description générale des mesures de sécurité techniques et organisationnelles mentionnées à l'article 32, paragraphe 1.
Il est à noter que le registre des activités de traitement n'est pas une exigence pour toutes les entreprises. En général, elle s'applique aux entreprises de plus de 250 employés, mais aussi aux petites entreprises qui traitent des données sensibles, qui effectuent des traitements de données à grande échelle ou qui traitent régulièrement des données à caractère personnel. Cependant, il est généralement considéré comme une bonne pratique pour toutes les entreprises de maintenir un tel registre pour aider à démontrer leur conformité au RGPD.
Le registre des activités de traitements est obligatoire pour un SPSTi. Ne pas en avoir est une non-conformité.
Les différentes politiques pourraient être considérées comme facultatives - En fonction de l’organisme certification afnor, il sera possible de s’en passer. Votre DPO pourra le justifier.
1.3 Formation et sensibilisation du personnel sur le RGPD et la protection des données
La formation et la sensibilisation du personnel est une composante essentielle de la conformité au RGPD. Tous les employés qui traitent des données personnelles doivent comprendre les exigences du RGPD et leur rôle dans la protection des données. Les sessions de formation doivent couvrir les principes de base du RGPD, y compris la minimisation des données, la limitation de la finalité, l'exactitude, le consentement, les droits des personnes concernées, et la sécurité des données. La formation doit également souligner l'importance de signaler immédiatement toute violation de données et de respecter les politiques internes de gestion des données. Chez DPO Partagé cette sensibilisation est prévue pour l’ensembles des salariés des SPSTi, nous proposons des sessions de sensibilisation pour les SPSTi, sur demande.
La sensibilisation a souvent été passée au second plan, la Norme AFNOR SPEC 2217 va plus loin en demandant une sensibilisation annuelle et des mises à jour régulières.
L’absence de sensibilisation sera perçue comme une absence de conformité. Rapprochez-vous de votre DPO.
1.4 Établissement et maintien de l'inventaire des traitements de données
La tenue d'un inventaire précis de tous les traitements de données en cours au sein de l'organisation est une exigence fondamentale du RGPD. Cet inventaire doit inclure des détails tels que le but du traitement, la description des catégories de personnes concernées et des catégories de données personnelles, les destinataires des données, les transferts internationaux de données, les délais prévus pour l'effacement des différentes catégories de données, et une description générale des mesures de sécurité techniques et organisationnelles en place. Une nouvelle fois nous parlons du registre des traitements. Dans la partie précédente, les procédures pouvaient être facultatives et remplacées par ce registre.
1.5 Mise en œuvre de mesures de sécurité adaptées
La sécurité des données est au cœur du RGPD. Les organisations doivent mettre en œuvre des mesures de sécurité adaptées à la nature, à la portée, au contexte et aux finalités du traitement, ainsi qu'au risque pour les droits et libertés des personnes. Cela peut inclure l'encryptage des données, la garantie de la confidentialité, de l'intégrité, de la disponibilité et de la résilience des systèmes et des services de traitement, ainsi que la capacité à rétablir rapidement la disponibilité et l'accès aux données en cas d'incident physique ou technique.
Pour les SPSTI, la mise en place de telles mesures est particulièrement cruciale étant donné la sensibilité des données traitées. Les mesures de sécurité peuvent comprendre (sans s'y limiter, car il existe bien d’autres mesures que votre DPO doit auditer) :
Contrôle d'accès : Seul le personnel autorisé doit avoir accès aux données personnelles et uniquement pour les finalités spécifiques pour lesquelles ils sont autorisés. Des procédures d'authentification forte devraient être mises en place pour confirmer l'identité des personnes ayant accès aux données.
Archivage dossiers médicaux / radios : L’archivage des dossiers médicaux doit être encadré. En interne, les locaux consacrés aux archives des données médicales doivent être sécurisés, l’accès au local archive ne peut être fait que par une personne du corps médical. En externe, chez un archiviste, les contraintes ne peuvent être inférieures à celles en interne. Très peu d’archivistes respectent effectivement ces contraintes. Vous avez donc potentiellement une violation de données à chaque demande d’accès à un dossier. L’agrément du ministère de la culture n’est donc pas suffisant.
Gestion des incidents de sécurité : Des procédures devraient être en place pour répondre rapidement et efficacement aux incidents de sécurité et pour minimiser l'impact de tels incidents sur les droits et libertés des personnes concernées. Cela comprend la notification rapide de toute violation de données à la CNIL et, si nécessaire, aux personnes concernées.
Mises à jour et maintenances régulières : Les systèmes et logiciels utilisés pour le traitement des données personnelles devraient être régulièrement mis à jour pour protéger contre les nouvelles vulnérabilités. Des audits de sécurité réguliers devraient être effectués pour identifier et corriger les éventuelles failles de sécurité.
Toutes ces mesures doivent être documentées et reprises dans la politique de sécurité de l'information de l'organisation, conformément à la norme AFNOR SPEC 2217 et aux exigences du RGPD. Les SPSTI devraient également envisager de faire appel à des experts externes, tels que les DPO, pour assurer le respect continu des obligations de sécurité des données.
Il faut a minima que les quatre procédures soient en place, ce qui ne garantira pas une conformité. N’hésitez pas à faire réaliser un audit de vos mesures de sécurité.
Gestion des données personnelles
2.1 Identification précise des finalités de chaque traitement de données
Comme souligné dans le Décret n° 2022-653, et bien entendu le RGPD, l’identification précise des finalités de chaque traitement de données est essentielle pour assurer la conformité au RGPD. Cela implique de déterminer pourquoi l'organisation collecte, utilise et stocke des données personnelles. Il est important de documenter ces finalités et de les communiquer aux personnes concernées. Cette transparence est un pilier du RGPD, comme souligné par l'AFNOR SPEC 2217.
Les principales personnes concernées seraient : les salariés du SPSTi, les salariés suivis, les représentants des entreprises adhérentes et pourquoi pas les administrateurs dans certains cas.
Si vous avez répondu non, cela constitue une non-conformité majeure.
2.2 Collecte de données proportionnée et pertinente par rapport aux finalités identifiées
En accord avec le RGPD, les données collectées doivent être proportionnées et pertinentes par rapport aux finalités identifiées. Cela signifie que l'organisation doit s'assurer de ne collecter que les données strictement nécessaires pour atteindre l'objectif spécifié, évitant ainsi une collecte excessive ou inutile de données personnelles. Ce principe, connu sous le nom de "minimisation des données", est une exigence clé du RGPD, le plupart des logiciels du marché ont été conçus en ce sens.
Il convient de faire attention à toutes les informations collectées en dehors du logiciel.
La sensibilisation des salariés, l’utilisation d’un logiciel du marché vont permettre de parfaitement répondre aux contraintes du RGPD. Par expérience nous vous conseillons de bien étudier la cellule PDP qui est moins encadrée que la partie dite médicale, comptable ou sociale.
2.3 Mise en place de mesures techniques et organisationnelles pour garantir la sécurité des données
La mise en place de mesures techniques et organisationnelles pour garantir la sécurité des données est un élément du décret n° 2022-653 et de l'AFNOR SPEC 2217. Ces mesures doivent assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement. Des mécanismes tels que le cryptage, l'anonymisation, et le pseudonymat peuvent être utilisés pour protéger les données. De plus, le SPSTi doit mettre en place des procédures pour tester et évaluer régulièrement l'efficacité de ces mesures de sécurité. Par expérience, le SPSTi utilise un hébergeur données de santé pour le logiciel. Il est aujourd’hui quasi impératif d’en faire de même pour toutes les suites bureautique et les mails. L’actualité 2023 nous a monté que les Services de Prévention ne en sont pas à l’abri de cyberattaques et héberger des données de santé en dehors du logiciel, sur son PC ou sur le réseau local expose le Service à un véritable risque en matière de sécurité.
Les SPSTi font souvent confiance à leur hébergeur données de santé et ils ont certainement raison. Il convient de tester les sauvegardes des serveurs internes - Ne serait-ce que pour les données comptables, Ressources Humaines ou autres.
2.4 Gestion des droits des personnes concernées
En accord avec les orientations du CNPST, il est important de mettre en place des procédures claires pour la gestion des droits des personnes concernées, tels que le droit d'accès, de rectification, de suppression et d'opposition au traitement des données. Cela comprend la mise en place de systèmes permettant de répondre rapidement et efficacement aux demandes d'exercice de ces droits.
Souvent la partie la plus délaissée sur le RGPD dans le secteur de la santé qui vit sur le fait que, depuis toujours, on peut avoir accès à son dossier médical. Une demande, correctement formulée, pourrait vous obliger à donner bien plus que le dossier médical, et vous n’avez que huit jours pour répondre à la demande. Un personnel non sensibilisé à ce type de demande pourrait mettre le SPSTi hors délais.
L’absence de ces procédures doit être comblée. Les anciennes procédures de demande d’accès, avant le RGPD, ne sont pas suffisantes.
2.5 Gestion des violations de données
Conformément au RGPD, il est crucial d'avoir une politique claire pour la gestion des violations de données. Cela comprend la mise en place de procédures pour la détection, la notification et l'investigation des violations de données, ainsi que pour la mitigation des conséquences potentielles de telles violations.
Ces mesures pour la gestion des données personnelles, en alignement avec le RGPD, sont essentielles pour assurer la confiance des personnes concernées et pour prévenir d'éventuelles sanctions réglementaires. Chaque SPSTI doit donc les prendre en compte et les intégrer dans sa stratégie de conformité au RGPD. Les hébergeurs données de santé vous alerteront en cas de problèmes, seuls les serveurs externes hors HDS et serveurs internes devront faire l’objet d’une attention de votre part.
L’absence de procédure pour violation de données est une non-conformité majeure.
Vous souhaitez en savoir plus, demander notre livre blanc
[wpforms id="6566"]