Les Services de Prévention et de Santé au Travail (SPST) figurent parmi les organismes les plus exposés en matière de protection des données personnelles. Données de santé des salariés, dossiers médicaux en santé au travail (DMST), informations sur les expositions professionnelles, résultats d’examens complémentaires : le volume et la sensibilité des données traitées imposent un niveau de conformité élevé. DPO PARTAGE est le DPO désigné de plus de 40 SPST en France et les accompagne au quotidien dans leur mise en conformité au RGPD.
Pourquoi les SPST doivent désigner un DPO
La désignation d’un DPO est obligatoire pour les SPST. Ces structures traitent à grande échelle des données de santé, qui font partie des catégories particulières de données au sens de l’article 9 du RGPD. La CNIL a consacré un guide spécifique à la protection des données dans les SPST, qui détaille les obligations applicables à chaque étape du parcours de prévention : convocation, visite médicale, rédaction de la fiche d’aptitude, suivi post-exposition et traçabilité des risques professionnels.
Le DPO du SPST veille au respect de ces obligations et s’assure que les traitements de données sont conformes aux référentiels en vigueur. Il est l’interlocuteur de la CNIL, des médecins du travail, des employeurs adhérents et des salariés suivis. Sa mission est d’autant plus importante que les SPST sont soumis à des exigences croisées : RGPD, code du travail, code de la santé publique, référentiel de certification AFNOR SPEC 2217 et, pour certains, les recommandations de la Haute Autorité de Santé (HAS).
Notre expertise au service des SPST
DPO PARTAGE accompagne les SPST depuis 2018. Avec plus de 40 services désignés à travers toute la France, nous avons développé une connaissance approfondie des enjeux propres à ce secteur. Nous connaissons les logiciels métiers utilisés par les SPST (Padoa, Préventiel, Stetho, etc.), les problématiques d’interopérabilité entre systèmes d’information, les contraintes liées à l’hébergement HDS (Hébergeur de Données de Santé) et les spécificités du secret médical en santé au travail.
Notre accompagnement couvre l’ensemble des missions prévues par l’article 39 du RGPD : tenue du registre des traitements adapté aux activités du SPST, réalisation des analyses d’impact (AIPD) sur les traitements les plus sensibles (DMST, télésanté au travail, plateformes de prise de rendez-vous), rédaction des procédures internes (gestion des violations de données, réponse aux demandes d’exercice de droits des salariés), encadrement des relations avec les sous-traitants et sensibilisation de l’ensemble des équipes via notre plateforme Focus RGPD.
DPO Suite : l’application de maintien de la conformité
Pour accompagner nos SPST au quotidien, nous avons développé DPO Suite, notre application dédiée au maintien de la conformité RGPD. DPO Suite centralise l’ensemble de la documentation de conformité dans un espace sécurisé : registre des traitements, registre des violations de données, registre des demandes d’exercice de droits, registre des sous-traitants, analyses d’impact et preuves de conformité.
L’application intègre aussi les audits AI Act et NIS2, deux réglementations européennes qui s’appliquent de plus en plus aux SPST. Le règlement sur l’intelligence artificielle concerne les SPST qui utilisent des outils d’aide à la décision médicale ou des algorithmes de priorisation des visites. La directive NIS2 renforce les obligations de cybersécurité pour les structures qui traitent des données de santé à grande échelle. DPO Suite permet de piloter la conformité à ces trois réglementations (RGPD, AI Act, NIS2) depuis une interface unique, avec des tableaux de bord, des alertes d’échéance et un historique complet des actions menées.
La conformité RGPD, un enjeu de certification pour les SPST
Depuis l’entrée en vigueur de la loi du 2 août 2021, les SPST doivent obtenir une certification de la qualité de leurs services. Le référentiel AFNOR SPEC 2217 inclut des exigences en matière de protection des données personnelles. La désignation d’un DPO compétent et la mise en place d’un système de gestion de la conformité RGPD sont des prérequis pour obtenir et conserver cette certification.
DPO PARTAGE prépare ses SPST clients à répondre aux exigences du référentiel. Nous mettons en place les indicateurs de suivi, les tableaux de bord de conformité et les preuves documentaires attendues par les organismes certificateurs. Notre bilan annuel DPO est conçu pour s’intégrer dans le rapport d’activité du SPST et démontrer l’effectivité de la démarche de protection des données auprès des instances de gouvernance et des adhérents.
Pourquoi choisir DPO PARTAGE comme DPO de votre SPST
Notre positionnement de DPO externalisé spécialisé dans les SPST nous permet de mutualiser les bonnes pratiques entre nos 40 clients du secteur. Lorsqu’une nouvelle problématique émerge dans un SPST (nouvelle fonctionnalité du logiciel métier, évolution réglementaire, contrôle de la CNIL dans le secteur), nous en faisons bénéficier l’ensemble de nos structures accompagnées. Cette veille mutualisée est un avantage considérable par rapport à un DPO interne isolé.
Notre écosystème d’outils est conçu pour les SPST : Focus RGPD pour la sensibilisation de vos équipes (plus de 3 000 sensibilisations par mois, 400 vidéos dont des modules spécifiques santé au travail), DPO Suite pour le pilotage de la conformité et les audits, et DPO FRANCE notre réseau national de DPO avec un annuaire par région. Nos consultants sont disponibles pour répondre aux questions des médecins du travail, des infirmiers, des secrétaires médicaux et des équipes de direction, aussi bien en amont (conseil sur un nouveau projet de traitement) qu’en situation de crise (violation de données, contrôle de la CNIL).