DPO Service santé au Travail : Données de santé, données sensibles

Si le tout connecté a ses avantages, il a également ses travers. Les données personnelles sont de plus en plus collectées et il est difficile de percevoir toutes les ramifications existantes. Même le domaine de la santé est concerné, encore plus ce dernier ! On peut aujourd’hui consulter son dossier médical ou ses résultats d’analyses en ligne, prendre rendez-vous via le site internet de son médecin, le tout depuis son portable, sa tablette ou son ordinateur, la liste des possibles est longue.

Or, les données de santé sont sans aucun doute les plus sensibles que l’on puisse traiter. C’est pourquoi le RGPD les classe parmi les « données sensibles » et régit de la plus stricte manière leur traitement et stockage.

Donnée de santé, définition 

La définition donnée par le G29 d’une donnée de santé semble évidente à tous : « une donnée en relation étroite avec l’état de santé de la personne telle qu’une information sur la consommation d’alcool, de drogues ou de médicaments doit être considérée comme une donnée de santé… » (G29). Il en est de même pour celle, plus large, d’un projet de loi sur la protection des données personnelles et qui expose qu’une donnée de santé est « toute information relative à la santé physique ou mentale d’une personne… ».

Pour autant, ce n’est pas si binaire que ça en a l’air. D’autres données pourraient paraître échapper à cette qualification alors qu’il n’en est rien.

Prenons l’exemple de renseignements sur nous que nous donnons aisément comme notre date de naissance, nos performances sportives, nos habitudes alimentaires, nos consommations d’excitants, nos mensurations, nos excès en tous genres ou encore notre sexe. Si l’on regroupe toutes ces informations qui, isolées, semblent anodines et que l’on « s’amuse » à les croiser, on obtient finalement un profil de santé assez précis. C’est pourquoi ces données sont également considérées comme des données de santé par le RGPD.

Nous contacter

Interdiction stricte d’utiliser les données de santé

Le RGPD interdit de façon ferme (sauf à avoir le consentement éclairé des personnes concernées ou en cas de rares exceptions définies par la loi), le traitement des données de santé.

On considère comme traitement de données toute opération effectuée sur des données.

Lorsque l’on parle de consentement éclairé de la personne concernée par le traitement d’une donnée de santé, il faut comprendre que ce consentement a été donné expressément, librement et de manière univoque. C’est seulement sous ces conditions que le traitement de la donnée devient légal et, comme vu plus haut, en cas de 5 exceptions  prévues par la loi :

• Prévention de la santé publique (en cas de pandémie, par exemple)
• Préservation des intérêts vitaux de la personne concernée ;
• Appréciation médicale : médecine préventive, soins, diagnostics ;
• Médecine du travail ou encore pourcentage légal d’emploi de personnes avec handicap
• Gestion des systèmes et services de santé ou de la protection sociale.

En France, les règles sont encore plus strictes quant à ces possibles traitements de données de santé. C’est par la loi Informatique et Libertés (modifiée en juin 2018) que ces règles ont été mises en place et ce’, indépendamment du RGPD puisque ce dernier laisse libre chaque État membre de durcir le règlement de base.

Les entreprises ou organismes stockant et traitant des données de santé ont donc des obligations définies par le RGPD. Elles doivent désigner un DPO, tenir un registre des traitements et analyser les risques encourus par ces données.

Nous contacter

Le DPO SPST

Un DPO peut être désigné en interne si toutefois l’entreprise juge qu’un de ses employés en a les capacités et qu’il n’y a aucun possible conflit d’intérêt ou pression qui l’empêcherait de mener objectivement sa mission.

Le DPO service santé au travail peut également être désigné en externe, vous pouvez tout à fait désigner DPO Partage comme DPO : nous contacter

Dans les deux cas, le DPO est là pour s’assurer que les règles du RGPD sont bien respectées et pour accompagner la mise en conformité. Pour ce faire, il conseille à tous les niveaux hiérarchiques, réalise des audits et recueille toutes les informations (là encore, à tous les niveaux) concernant l’utilisation, la collecte, le stockage des données de santé. En France, les règles sont encore plus strictes quant à ces possibles traitements de données de santé.

Le registre avec le DPO Service santé au Travail

Le registre, quant à lui, doit comporter les points suivants :

• Les informations sur le responsable du traitement et DPO ;
• Les finalités du traitement ;
• Les informations sur les personnes concernées ;
• Les délais de conservation des données ;
• La description des mesures mises en place pour optimiser la protection des données.

Analyse des risques et conséquences avec le DPO  Service santé au Travail

Enfin, le service de santé au travail traitant des données de santé est tenue de procéder à une analyse d’impact sur le traitement des données dans laquelle on doit impérativement trouver les mesures de protection que l’entreprise ou l’organisme aura enclenchées pour la sécurisation des données, les bénéfices/risques du traitement de ces données (ce qui permettra notamment de réfléchir à l’utilité de ce traitement), la finalité du traitement des données et le processus complet et détaillé du traitement. Vous trouverez beaucoup d’information sur le site de la CNIL.

DPO partage est disponible afin de vous guider, nous répondons à toutes vos questions sur le sujet de la désignation et du rôle du DPO. Nous vous proposons de accompagner ou de vous former en interne, n’hésitez pas à nous contacter.

Pourquoi désigner DPO Partagé dans un Services de prévention et de santé au travail (SPST) ?

Chez DPO Partage, nous croyons que la protection des données personnelles est cruciale dans les services de santé au travail. En tant que Délégué à la Protection des Données (DPO) agréé, nous avons l’expertise et les compétences nécessaires pour aider les services de santé au travail à se conformer aux règles en matière de protection des données personnelles.

Notre équipe de DPO expérimentés travaille avec un grand nombre de services de santé au travail pour les aider à gérer leur collecte, leur utilisation et leur stockage de données personnelles de manière sécurisée et conforme aux lois en vigueur. Nous pouvons vous aider à établir des politiques et des procédures de protection des données, à former vos employés sur les bonnes pratiques en matière de protection des données et à mettre en place des mesures de sécurité adéquates pour protéger les données personnelles de vos patients.

En tant que DPO partagé, nous pouvons également vous offrir des services de DPO à un coût avantageux, en partageant nos ressources et notre expertise avec d’autres services de santé au travail. Cela vous permet de bénéficier de l’expertise d’un DPO sans avoir à engager un DPO à temps plein.

N’hésitez pas à nous contacter pour en savoir plus sur nos services de DPO pour les services de santé au travail. Nous sommes impatients de travailler avec vous pour protéger les données personnelles de vos patients et respecter les lois en matière de protection des données personnelles.

Mise en place du registre des activités de traitements

Voici un exemple de registre de traitements pour un  SPST :

1. Identité et coordonnées du responsable de traitement: Service de santé au travail de [nom de l’entreprise]
2. Finalité du traitement: Le traitement des données est nécessaire pour la gestion des visites médicales et des suivis médicaux des salariés de l’entreprise, ainsi que pour l’élaboration de bilans de santé et de préconisations de prévention.
3. Catégories de données personnelles traitées: Les données traitées comprennent les nom, prénom, date de naissance, adresse, numéro de sécurité sociale, données médicales (antécédents médicaux, résultats d’examens médicaux, etc.), données de présence et d’absence, données de salaire et de retraite, etc.
4. Catégories de personnes concernées: Les personnes concernées sont les salariés de l’entreprise et leurs représentants (médecin du travail, membres du CHSCT, etc.).
5. Destinataires des données: Les destinataires des données peuvent être les médecins du travail, les médecins conseils, les assureurs, les organismes de sécurité sociale, etc.
6. Durée de conservation des données: Les données sont conservées pendant la durée de l’emploi du salarié et pendant une période supplémentaire de [nombre] ans après la fin de l’emploi, conformément aux obligations légales en matière de conservation des données médicales.
7. Mesures de sécurité mises en place: Les données sont protégées par un mot de passe et un accès restreint aux personnes autorisées. Un système de sauvegarde est en place pour prévenir toute perte de données.

Il est important de noter que ce registre de traitements est un exemple indicatif et que le contenu de votre registre dépendra de votre service de santé au travail et des données que vous traitez. Vous devrez également veiller à mettre à jour régulièrement votre registre pour refléter tout changement dans les traitements de données que vous effectuez.

Voici quelques exemples d‘activités de traitements qui pourraient figurer dans un registre des activités de traitement pour un Services de prévention et de santé au travail (SPST)

1. Collecte de données personnelles: cela peut inclure la collecte de données auprès des personnes concernées (par exemple lors de leur embauche ou de leur visite médicale), la collecte de données auprès de tiers (par exemple les assureurs ou les organismes de sécurité sociale), etc.
2. Stockage de données personnelles: cela peut inclure le stockage de données sur des serveurs internes ou externes, le stockage de données sur des supports physiques (par exemple des dossiers papier), etc.
3. Traitement de données personnelles: cela peut inclure l’analyse des données pour établir des bilans de santé ou des préconisations de prévention, la mise à disposition de données aux médecins du travail ou aux médecins conseils, etc.
4. Transmission de données personnelles: cela peut inclure la transmission de données aux assureurs, aux organismes de sécurité sociale, aux médecins du travail, etc.
5. Suppression de données personnelles: cela peut inclure la suppression de données lorsqu’elles ne sont plus nécessaires ou lorsque la personne concernée en a fait la demande.

Il est important de noter que cette liste n’est pas exhaustive et que le contenu de votre registre dépendra des activités de traitement que vous effectuez dans votre entreprise. Vous devrez également veiller à mettre à jour régulièrement votre registre pour refléter tout changement dans les traitements de données que vous effectuez.