Tant attendu, puisque la SPEC 2217 y fait référence depuis sa sortie en septembre 2023, La CNIL publie sont guide SPST / RGPD. (Voir aussi Notre livre Blanc SPEC 2217). Les services de prévention et de santé au travail (SPST) jouent un rôle essentiel dans la préservation de la santé des travailleurs, tout en naviguant dans le cadre légal du Règlement Général sur la Protection des Données (RGPD).
Rien de surprenant dans ce guide, mais quelques éclairages, ou des prises de positions de la part de la CNIL. Vous l’aurez compris, cet article s’adresse principalement aux DPO et responsables de traitements de SPST, mais justement qui est, qui sont les responsables de traitements dans un SPST ?
Nous en reparlerons à la fin de notre article, mais profitez aussi de notre audit GRATUIT RGPD pour les SPST.
DPO PARTAGE – Conformité RGPD Clé en main pour les SPSTI
Accéder à notre Application RGPD
QUI EST RESPONSABLE DE TRAITEMENT DES DONNÉES PERSONNELLES UTILISÉES PAR LE SPST ?
Dans le contexte du RGPD, la CNIL apporte des clarifications importantes concernant les rôles et responsabilités des acteurs dans le traitement des données personnelles, avec une attention particulière aux Services de Prévention et de Santé au Travail (SPST). Selon les lignes directrices du Comité européen de la protection des données du 7 juillet 2021, c’est l’organisation elle-même, et non un individu au sein de celle-ci, qui est considérée comme le responsable de traitement. Même si une personne est désignée pour veiller au respect des règles de protection des données, elle agit au nom de l’entité juridique, qui reste ultimement responsable.
Pour les SPST, cette distinction entre responsabilité professionnelle et responsabilité de traitement est cruciale. Par exemple, bien que le médecin du travail jouisse d’une indépendance professionnelle et soit responsable de la constitution du Dossier Médical en Santé au Travail (DMST), il opère dans un cadre défini par le code du travail et pour le compte d’un collectif organisé par une direction. C’est à la direction du SPST de veiller à la conformité des fichiers et bases de données au RGPD et à la loi Informatique et Libertés.
En ce qui concerne la gestion du DMST, la direction du SPST doit s’assurer de la réalisation d’une analyse d’impact relative à la protection des données, de l’établissement d’un registre des activités de traitement, de la mise en place d’un contrat avec un éventuel sous-traitant, de l’adoption de mesures de sécurité adéquates, et de la conformité de la durée de conservation du DMST aux dispositions du code du travail. Ainsi, le SPST est responsable de traitement, à l’instar des établissements de santé pour les dossiers des patients.
Cependant, certaines garanties sont prévues pour les professionnels de santé au sein des SPST. Par exemple, le choix de la solution logicielle pour le DMST doit être décidé en accord avec le médecin utilisateur, et l’accès aux données du DMST est strictement réglementé, conformément au secret médical. Le médecin du travail administre opérationnellement le DMST et maintient son indépendance professionnelle, notamment dans la sélection des informations pertinentes pour chaque travailleur.
Bien que le SPST soit responsable de la collecte et de l’utilisation des données pour les recherches, études et enquêtes internes, la méthodologie et la décision de lancer une telle initiative relèvent du médecin du travail. Cela souligne une distinction entre la responsabilité opérationnelle et la responsabilité juridique dans la création du traitement des données personnelles.
Enfin, même lorsque le SPST agit comme sous-traitant, le médecin du travail et le personnel du SPST doivent respecter strictement le secret professionnel. Ils doivent être vigilants, par exemple, en ne permettant pas un accès non autorisé aux dossiers médicaux. Si les données sont stockées à distance, le sous-traitant doit être un hébergeur certifié pour assurer la conservation des données de santé.
Pour naviguer dans ces complexités, le SPST peut bénéficier de l’accompagnement de son délégué à la protection des données (désignation obligatoire), notamment pour l’élaboration de contrats et la mise en place de procédures de conformité. DPO PARTAGE accompagne plus de 20 services de santé au travail dans leur conformité RGPD, ce qui nous confère une capacité de traitement quasi instantanée, comme lors de la publication du GUIDE PRATIQUE SPST, audit gratuit RGPD ? contactez-nous
QUELLES DONNÉES PEUVENT ÊTRE COLLECTÉES PAR LE SPST ?
Dans le cadre des activités des Services de Prévention et de Santé au Travail (SPST), la collecte et le traitement des données personnelles doivent être effectués avec une grande prudence, en conformité avec le RGPD et les lois en vigueur. Une recommandation clé du guide concerne la sélection des informations à intégrer dans le Dossier Médical en Santé au Travail (DMST) du travailleur. Il est essentiel de comprendre que toutes les informations révélées par le travailleur lors des consultations ou échanges ne doivent pas automatiquement figurer dans son DMST. Seules les données pertinentes et nécessaires au suivi médical du travailleur et à la réalisation des missions du SPST devraient être enregistrées et conservées.
Cette approche est alignée avec les principes fondamentaux du RGPD, notamment la minimisation des données et la limitation de leur finalité. Cela signifie que les informations collectées doivent être strictement limitées à ce qui est nécessaire pour les objectifs de santé au travail. En outre, toutes les données recueillies, qu’elles soient intégrées au DMST ou non, demeurent strictement confidentielles. Cette confidentialité est un pilier du fonctionnement des SPST, garantissant le respect de la vie privée des travailleurs et la protection de leurs données personnelles.
Cette pratique souligne également l’importance de la responsabilité et de la diligence du médecin du travail et des autres professionnels du SPST dans la gestion des informations sensibles. Ils doivent non seulement choisir judicieusement les données à conserver, mais aussi assurer leur sécurité et leur traitement conforme au secret professionnel, aux réglementations nationales et aux exigences du RGPD. Cette responsabilité s’étend à la direction du SPST, qui doit veiller à ce que les systèmes et les processus en place soient conformes aux standards de protection des données et respectent les principes de confidentialité et de minimisation des données.
DPO PARTAGE – Conformité RGPD Clé en main pour les SPSTI
Accéder à notre Application RGPD
À QUELS ORGANISMES EXTÉRIEURS LE SPST PEUT-IL TRANSMETTRE LES DONNÉES PERSONNELLES COLLECTÉES DANS SES FICHIERS ?
Dans le contexte des Services de Prévention et de Santé au Travail (SPST), la transmission de données personnelles collectées dans leurs fichiers à des organismes extérieurs est encadrée par des règles strictes, conformément à la loi et au RGPD. Un “destinataire” désigne toute personne ou organisme extérieur qui reçoit des données personnelles dans le cadre de l’exécution de ses missions. Parmi les exemples courants figurent les sous-traitants, comme l’hébergeur de données de santé, qui sont chargés de la conservation des Dossiers Médicaux en Santé au Travail (DMST).
Conformément à l’article R. 4127-72 du code de la santé publique, il incombe au médecin du travail de s’assurer que toutes les personnes l’assistant dans son exercice soient pleinement informées et respectent leurs obligations en matière de secret professionnel. Cela inclut la formation et la sensibilisation constantes du personnel aux principes de confidentialité et de sécurité des données. Cela inclut aussi les sociétés d’archivage externes, qui ne sont pas citées dans ce guide.
Lorsqu’il est question de partager des informations avec l’employeur, autorisé par la législation en vigueur, l’équipe du SPST doit exercer une vigilance accrue. Elle doit s’assurer que seules les informations nécessaires et pertinentes sont communiquées. Par exemple, dans le cas d’un besoin d’aménagement de poste pour un travailleur, l’employeur ne devrait recevoir que les préconisations formulées par le médecin du travail. Il est crucial de noter que les détails concernant un éventuel diagnostic médical sont strictement confidentiels et ne doivent en aucun cas être transmis à l’employeur ou à toute autre partie non autorisée.
Ce cadre de transmission des données souligne l’importance de la prudence et du discernement dans la gestion des informations sensibles. Les SPST doivent systématiquement évaluer la pertinence et la nécessité des données à partager, tout en respectant les principes de minimisation des données et de protection de la confidentialité, conformément aux exigences du RGPD et aux réglementations nationales. Cette approche garantit non seulement le respect des droits des travailleurs, mais renforce également la confiance dans le système de santé au travail.
QUELLE EST LA DURÉE DE CONSERVATION DES FICHIERS CONSTITUÉS PAR LE SPST (HORS DOSSIER MÉDICAL EN SANTÉ AU TRAVAIL) ?
La durée de conservation des fichiers par les SPST est cruciale, suivant des règles spécifiques. Selon la CNIL, les données personnelles dans les traitements des SPST doivent être conservées limitativement, selon l’objectif de la collecte. Les objectifs incluent la gestion du DMST, la recherche, la gestion RH des SPST, etc. Pour des détails sur la conservation spécifique du DMST, voir la fiche n° 10 de la CNIL.
La conservation des données se fait en trois phases. Initialement, les données nécessaires à la gestion des SPST sont en “base active”, permettant un accès immédiat pour des besoins comme les évaluations des risques ou la rédaction de fiches d’entreprise.
Lorsque les données ne servent plus en gestion courante mais restent utiles, par exemple administrativement, elles entrent en “archivage intermédiaire”. Les données peuvent être consultées occasionnellement par des personnes habilitées. Par exemple, les bulletins de paie des professionnels des SPST, une fois émis, ne restent plus en base active mais sont archivés pour des obligations légales.
Certaines informations peuvent être conservées indéfiniment en “archivage définitif” pour un intérêt public, archivistique, scientifique, historique ou statistique.
La CNIL précise que la durée de conservation doit être proportionnelle à l’objectif de collecte. Les professionnels des SPST peuvent ajuster ces durées, à condition de justifier et documenter leur choix. Ils doivent considérer les textes réglementaires sur la durée de conservation, la pertinence de cette durée, et les mesures de sécurité. La durée de conservation doit être claire dans le registre des traitements et dans les informations aux personnes concernées. La destruction ou l’anonymisation des données doit intervenir à la fin de la durée de conservation ou d’archivage intermédiaire.
COMMENT LE SPST INFORME-T-IL LES PERSONNES CONCERNÉES DE L’UTILISATIONDE LEURS DONNÉES PERSONNELLES ?
Dans la gestion des données personnelles par les SPST, la CNIL souligne l’importance d’une information claire, complète et accessible aux personnes concernées. Les SPST doivent informer les travailleurs, salariés et adhérents sur l’utilisation de leurs données personnelles, qu’elles soient collectées directement ou indirectement. Cette information doit être transparente pour permettre la compréhension des objectifs et modalités du traitement des données, ainsi que faciliter l’exercice des droits des individus.
Les informations fournies doivent inclure l’identité et les coordonnées du responsable de traitement, les catégories d’informations recueillies, la base légale du traitement, les destinataires des données, les durées de conservation, et les droits des personnes. Il est crucial de spécifier le caractère obligatoire ou facultatif de la collecte des informations et les conséquences d’une non-fourniture de données.
Pour garantir la conformité, les SPST doivent s’assurer que l’information soit complète, offrant un aperçu détaillé de l’utilisation des données personnelles. L’information doit être compréhensible, en langage simple et clair, et accessible, aisément trouvable et compréhensible pour tous. Par exemple, les informations peuvent être données lors de la première visite au SPST ou via une fiche de renseignement, avec des mises à jour si nécessaire.
Afficher ces informations dans la salle d’attente des SPST est une bonne pratique, assurant l’accessibilité et la visibilité de l’information. Toutefois, pour une conformité complète, il est recommandé d’ajouter d’autres méthodes de communication telles que des informations en ligne. En outre, il est important de veiller à ce que l’information soit adaptée à tous les publics, y compris ceux ayant des besoins spécifiques comme des altérations cognitives.
Notre article sur les affichages obligatoires
QUELLES MESURES LE SPST DOIT-IL PRENDRE POUR GARANTIR LES DROITS DES PERSONNES CONCERNÉES ?
Dans la gestion des données personnelles, les SPST doivent garantir et faciliter l’exercice des droits des personnes concernées, conformément aux directives de la CNIL. Cette garantie des droits est cruciale pour assurer le contrôle individuel sur les données personnelles. La CNIL recommande d’informer les travailleurs et autres personnes impliquées de ces droits, idéalement dès leur première visite, souvent via une fiche d’information détaillée.
Les droits fondamentaux incluent l’accès aux données personnelles, la rectification des données inexactes ou incomplètes, l’effacement des données, et la limitation de leur traitement. Ces droits permettent aux personnes de gérer activement leurs informations personnelles, comme vérifier le contenu des données détenues par le SPST ou demander une correction en cas d’erreur.
Il est important de noter que ces droits ne sont pas absolus. Selon l’article 17.3.b) et c) du RGPD, le droit à l’effacement peut être limité dans certains cas, par exemple pour des raisons de santé publique ou pour respecter une obligation légale, comme avec le DMST. Un SPST peut refuser de supprimer certaines données du DMST si nécessaires pour des raisons d’intérêt public ou légales.
De plus, si le traitement des données est basé sur l’intérêt légitime du SPST (comme pour la gestion des salariés ou adhérents), les personnes concernées ont le droit de s’opposer à l’utilisation de leurs données. Le SPST doit arrêter d’utiliser ces informations, sauf justification de motifs légitimes et impérieux prévalant sur les droits et intérêts de la personne.
Pour répondre efficacement aux demandes d’exercice des droits, les SPST devraient établir une procédure claire, en collaboration avec leur DPO. Cette procédure devrait définir les rôles pour les demandes, le cadre temporel pour leur gestion, et les mesures de sécurité pour protéger les informations.
La CNIL indique aussi que la vérification de l’identité du demandeur ne doit pas être systématique. Par exemple, si un travailleur envoie une demande via sa messagerie professionnelle sécurisée, il n’est pas nécessaire de demander une pièce d’identité supplémentaire.
DPO PARTAGE – Conformité RGPD Clé en main pour les SPSTI
Accéder à notre Application RGPD
COMMENT LE SPST PEUT-IL GARANTIR LA SÉCURITÉ DES INFORMATIONS TRAITÉES ?
Dans leur rôle de responsables du traitement des données, les SPST doivent suivre des normes strictes de sécurité et confidentialité, comme souligné par la CNIL. Cette obligation vise à protéger les données personnelles, surtout celles relatives à la santé des travailleurs, contre tout accès, modification ou perte non autorisés.
Les SPST doivent mettre en place des mesures de sécurité adaptées aux risques liés à chaque type de fichier ou base de données gérés. Ces mesures incluent l’authentification des utilisateurs, la gestion des habilitations, la journalisation des opérations, la sécurisation des postes de travail et des réseaux, ainsi que l’implémentation de procédures de sauvegarde et de continuité d’activité.
Une attention spéciale est requise pour les DMST, contenant des données sensibles protégées par le secret professionnel et le RGPD. Le médecin du travail est crucial dans la gestion des habilitations et accès à ces dossiers, assurant l’accès uniquement aux personnes autorisées. La CNIL recommande l’utilisation de référentiels de sécurité et, si nécessaire, le recours à un hébergeur de données de santé certifié pour le stockage et la gestion du DMST.
L’Analyse d’Impact relative à la Protection des Données (AIPD) est conseillée par la CNIL pour évaluer les risques et déterminer les mesures de sécurité adéquates. Elle doit être réalisée avant toute mise en œuvre de traitement des données, particulièrement pour les DMST. Confiez vos AIPD à DPO PARTAGE pour une gestion efficace.
De plus, la sensibilisation des personnels des SPST aux règles de sécurité et vie privée est primordiale. Cela implique des formations régulières, l’élaboration d’une charte informatique et des politiques strictes de mots de passe et gestion des accès. DPO PARTAGE organise des webinaires bi-mensuels pour sensibiliser le personnel des SPST.
COMMENT LE SPST PEUT-IL ATTESTER DE SA CONFORMITÉ AU RGPD ?
Pour assurer sa conformité au RGPD, un Service de Prévention et de Santé au Travail (SPST) doit adopter une démarche proactive et documentée. La CNIL souligne l’importance pour les SPST, en tant que responsables de traitement, de justifier leurs choix en matière de traitement des données personnelles. Cela implique de démontrer l’adéquation des modalités pratiques d’utilisation des données avec les situations spécifiques auxquelles elles se rapportent.
Un aspect essentiel de cette conformité est la prise en compte des dispositions légales, notamment celles stipulées dans le code du travail. Par exemple, pour le Dossier Médical en Santé au Travail (DMST), le code du travail fournit des indications précises sur la durée de conservation des données, particulièrement pour les travailleurs exposés à des risques spécifiques. Ces règles doivent être scrupuleusement respectées pour garantir la conformité.
L’Analyse d’Impact relative à la Protection des Données (AIPD) joue un rôle crucial dans ce processus. Elle aide à minimiser les risques pour les droits et libertés des personnes concernées en évaluant et en adaptant les mesures de sécurité et de confidentialité des informations. La CNIL recommande de mettre à jour régulièrement l’AIPD, non seulement en cas de modification des modalités d’utilisation des données personnelles, mais aussi pour intégrer les évolutions techniques susceptibles d’affecter la sécurité et la confidentialité des données.
La conformité au RGPD pour un SPST repose donc sur une approche rigoureuse et documentée, impliquant une attention constante aux évolutions législatives et techniques, ainsi qu’une analyse régulière et approfondie des risques associés au traitement des données personnelles. Cette démarche doit être intégrée dans les pratiques quotidiennes du SPST pour garantir non seulement le respect des normes, mais aussi la protection efficace des données des travailleurs et du personnel impliqué.
C’est ce que DPO PARTAGE fait au quotidien et vous accompagne afin de prouver votre conformité au RGPD. Nous contacter
QUELLES SONT LES RÈGLES APPLICABLES AU DOSSIER MÉDICAL EN SANTÉ AU TRAVAIL ?
Dans le cadre de la gestion du Dossier Médical en Santé au Travail (DMST) par les Services de Prévention et de Santé au Travail (SPST), la CNIL établit des directives précises pour assurer la conformité au RGPD et au Code du travail. Ces directives concernent l’accès, la gestion et la conservation des données personnelles sensibles contenues dans le DMST.
Accès au DMST : Seuls les professionnels de santé chargés du suivi individuel du travailleur, ainsi que les autres membres de l’équipe pluridisciplinaire sous la supervision du médecin du travail, sont autorisés à consulter et à alimenter le DMST. Les personnels non professionnels de santé ou n’appartenant pas à l’équipe pluridisciplinaire ne sont pas autorisés à accéder au DMST.
Identifiant du DMST : Pour chaque travailleur, le DMST est identifié par l’Identifiant National de Santé (INS), qui inclut le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) et des informations personnelles. L’utilisation de l’INS est strictement réglementée par le Code de la santé publique et un référentiel dédié.
Minimisation des données : Les professionnels de santé doivent appliquer le principe de minimisation des données en ne retranscrivant dans le DMST que les informations pertinentes pour la santé du travailleur et les missions du SPST. Les informations relatives à l’intimité de la vie privée du travailleur ne doivent pas être conservées, sauf si elles sont pertinentes dans des circonstances particulières.
Communication des données : En cas de communication des données du DMST, comme au Groupe d’alerte en santé travail (GAST), seules les informations essentielles et pertinentes doivent être transmises. Le SPST doit effectuer un tri pour ne transmettre que les informations adaptées à l’objectif de la transmission.
Hébergement du DMST : Si le DMST est conservé par un prestataire extérieur, celui-ci doit être un hébergeur de données de santé certifié, conformément au Code de la santé publique. Les recommandations de la CNIL en matière de mot de passe doivent également être respectées.
Pouruoi on ne pourra pas utiliser le NIR, s’il est communiqué par l’employeur ? Voir notre article
Comment collecter le NIR ? Voir notre article
QUI PEUT ALIMENTER ET ACCÉDER AUX DONNÉES PERSONNELLES CONTENUES DANS LE DOSSIER MÉDICAL EN SANTÉ AU TRAVAIL ?
La gestion du Dossier Médical en Santé au Travail (DMST) par les Services de Prévention et de Santé au Travail (SPST) est soumise à des règles strictes établies par la CNIL, visant à protéger la confidentialité et l’intégrité des données personnelles des travailleurs.
Rôle du Médecin du Travail : La Haute Autorité de santé (HAS) recommande que le médecin du travail assume le rôle d’administrateur du logiciel de gestion du DMST. Cela implique qu’il est responsable de la gestion des accès au DMST, veillant à ce que seuls les professionnels autorisés puissent consulter et alimenter le dossier. Le médecin du travail doit également s’assurer que toutes les personnes l’assistant dans son exercice respectent strictement le secret professionnel.
Accès au DMST : L’accès intégral au DMST est réservé exclusivement aux professionnels de santé (médecins du travail, infirmiers, etc.). D’autres membres de l’équipe pluridisciplinaire, tels que les ergonomes ou les toxicologues, ne peuvent accéder qu’à certaines informations spécifiques et limitées, telles que l’identité du travailleur et les données médico-administratives nécessaires. Les travailleurs sociaux qui ne font pas partie de l’équipe pluridisciplinaire ne peuvent ni consulter ni alimenter le DMST.
Consentement du Travailleur : Les modifications importantes comme le versement d’éléments du DMST dans le Dossier Médical Partagé (DMP) du travailleur, prévu à partir du 1er janvier 2024, nécessitent le consentement éclairé et explicite du travailleur. Le médecin du travail peut accéder au DMP et alimenter le volet relatif à la santé au travail, sous réserve du consentement du travailleur.
Confidentialité et Indépendance : Le médecin du travail, tout en étant intégré au SPST, doit maintenir une indépendance professionnelle vis-à-vis de l’employeur et garantir la confidentialité des informations contenues dans le DMST. L’accès à ces informations par l’employeur est strictement interdit.
ÉTUDES ET ENQUÊTES RÉALISÉES AU SEIN DU SPST : QUEL CADRE JURIDIQUE FAUT-IL APPLIQUER ?
Dans le contexte des Services de Prévention et de Santé au Travail (SPST), la réalisation d’études et d’enquêtes implique une compréhension rigoureuse du cadre juridique relatif à la protection des données personnelles, tel que précisé par la CNIL.
Lorsque les données utilisées pour les études ou enquêtes sont anonymes, elles ne sont pas soumises à la réglementation sur la protection des données personnelles. Il est crucial de distinguer entre l’anonymisation et la pseudonymisation. L’anonymisation implique un traitement des données rendant toute identification de la personne impossible et irréversible. En revanche, la pseudonymisation permet de ne pas attribuer directement les données à une personne sans informations supplémentaires. La détermination du statut des données peut nécessiter la consultation du délégué à la protection des données du SPST.
La responsabilité de traitement est une autre considération importante. Selon le contexte, le responsable de traitement peut être le SPST lui-même, un établissement ou professionnel de santé, ou le comité social et économique. Ce responsable doit s’assurer de respecter les obligations légales en matière de traitement des données.
Pour les études classées comme « recherches n’impliquant pas la personne humaine » (RNIPH), typiques dans le cadre des SPST, plusieurs exigences doivent être respectées pour assurer la conformité. Cela inclut la mise en place d’une information individuelle destinée aux personnes concernées, l’utilisation exclusive de données pseudonymisées ou codées dans les études, et la justification de la pertinence scientifique des informations utilisées.
En ce qui concerne les engagements de conformité à une Méthodologie de Référence (MR), il est possible de les réaliser pour plusieurs recherches ou pour l’ensemble des fichiers du SPST entrant dans le champ de la MR. Si la recherche est conforme à la MR004, il n’est pas nécessaire de saisir la Plateforme des données de santé (PDS) ou la CNIL, mais les informations relatives à l’étude doivent être enregistrées dans le répertoire public de la PDS.
Enfin, l’employeur et ses représentants ne doivent pas être informés de la participation individuelle des travailleurs à une étude. Les résultats des études peuvent être partagés avec l’employeur à condition qu’ils ne permettent pas la réidentification directe ou indirecte des travailleurs concernés.
Numéro de la MR | Description |
---|---|
MR001 | Recherche biomédicale |
MR002 | Enquêtes et études dans le domaine de la santé |
MR003 | Études en santé hors du champ du Règlement (UE) 2016/679 |
MR004 | Traitement de données à des fins d’évaluation ou d’analyse des pratiques ou des activités de soins ou de prévention |
MR005 | Traitement de données à des fins d’observation sanitaire |
MR006 | Traitement de données à des fins d’études, d’évaluation ou de recherche dans le domaine de la santé n’impliquant pas la personne humaine |
MR007 | Traitement de données à des fins d’études, d’évaluation ou de recherche dans le domaine de la santé n’impliquant pas la personne humaine, réalisées par les entreprises et organismes de recherche et développement |
MR008 | Traitement de données à des fins de gestion des alertes sanitaires |
MR009 | Traitement de données à des fins de gestion des vigilances sanitaires |
En tant que DPO (Délégué à la Protection des Données) pour des organisations effectuant des recherches cliniques, DPO PARTAGE joue un rôle essentiel en veillant à la conformité réglementaire en matière de protection des données personnelles. La maîtrise des diverses Méthodologies de Référence (MR) établies par la CNIL est cruciale dans ce contexte, notamment pour garantir que les traitements de données réalisés dans le cadre de ces recherches respectent scrupuleusement le RGPD.
QUELLES SONT LES RÈGLES APPLICABLES À LA TÉLÉSANTÉ AU TRAVAIL ?
La télésanté au travail, une pratique qui permet de réaliser à distance des visites ou des examens de santé, est encadrée par des règles spécifiques selon la CNIL.
Tout d’abord, la décision d’effectuer une visite ou un examen à distance doit être prise par le professionnel de santé du Service de Prévention et de Santé au Travail (SPST), même si le travailleur en fait la demande. Le professionnel évalue la pertinence de réaliser cet acte à distance et peut, lors de cette consultation virtuelle, déterminer si une consultation physique est nécessaire. Si c’est le cas, un rendez-vous est alors programmé en présentiel dans les meilleurs délais, respectant les délais réglementaires pour le suivi individuel de l’état de santé du travailleur.
Le consentement du travailleur est un élément essentiel dans la mise en œuvre de la télésanté. Ce consentement doit être obtenu avant la réalisation de l’acte de télésanté et consigné dans le Dossier Médical en Santé au Travail (DMST) du travailleur. Si le travailleur ne consent pas à une consultation à distance, une visite en personne doit être organisée.
Un point important à noter est que le traitement des données personnelles dans le cadre de la télésanté, notamment via des dispositifs de vidéotransmission qui collectent des données de santé, ne requiert pas de formalités particulières auprès de la CNIL. Cela signifie que, bien que les données de santé soient par nature sensibles et nécessitent généralement une attention particulière, leur traitement dans le cadre de la télésanté ne nécessite pas de démarches supplémentaires spécifiques auprès de la CNIL.
DPO PARTAGE – Conformité RGPD Clé en main pour les SPSTI
Accéder à notre Application RGPD
SPST contactez DPO PARTAGE pour votre conformité RGPD
Contacter DPO PARTAGE au 01 83 64 42 98 pour toutes vos questions ou le Formulaire de contact