DPO Service santé au Travail : Données de santé, données sensibles

Alors que la connectivité omniprésente offre de nombreux bénéfices, elle présente également des inconvénients notables. L’accumulation des données personnelles est en constante augmentation, rendant complexe la compréhension de toutes les implications associées. Le secteur de la santé n’est pas en reste et est même particulièrement touché. Aujourd’hui, il est possible d’accéder à son dossier médical en ligne, de planifier des consultations via le portail web de son praticien et ce, à partir de divers dispositifs tels que smartphones, tablettes ou ordinateurs. Les options disponibles sont multiples.

Or, les données de santé sont sans aucun doute les plus sensibles que l’on puisse traiter. C’est pourquoi le RGPD les classe parmi les « données sensibles » et régit de la plus stricte manière leur traitement et stockage.

Donnée de santé, définition 

La description du G29 concernant une donnée de santé semble claire pour tout le monde : « Une information étroitement liée à la santé d’un individu, comme des détails sur la consommation d’alcool, de drogues ou de médicaments, est considérée comme une donnée de santé… » (G29). Il en va de même pour la définition plus vaste d’un projet de loi sur la protection des données personnelles, qui stipule qu’une donnée de santé est « toute information concernant la santé physique ou mentale d’un individu… ».

Cependant, la réalité n’est pas aussi simple qu’elle le paraît. Certaines informations pourraient sembler ne pas entrer dans cette catégorie, mais ce n’est pas le cas.

Prenons des informations personnelles que nous partageons facilement, comme notre date de naissance, nos exploits sportifs, notre régime alimentaire, notre consommation de stimulants, nos dimensions corporelles, nos excès divers ou même notre genre. Si nous combinons toutes ces données qui, prises séparément, semblent inoffensives, nous obtenons un profil de santé très détaillé. C’est pour cette raison que le RGPD les considère aussi comme des données de santé.

Nous contacter

Interdiction stricte d’utiliser les données de santé

Le RGPD interdit de façon ferme (sauf à avoir le consentement éclairé des personnes concernées ou en cas de rares exceptions définies par la loi), le traitement des données de santé.

On considère comme traitement de données toute opération effectuée sur des données.

Lorsque l’on parle de consentement éclairé de la personne concernée par le traitement d’une donnée de santé, il faut comprendre que ce consentement a été donné expressément, librement et de manière univoque. C’est seulement sous ces conditions que le traitement de la donnée devient légal et, comme vu plus haut, en cas de 5 exceptions  prévues par la loi :

• Prévention de la santé publique (en cas de pandémie, par exemple)
• Préservation des intérêts vitaux de la personne concernée ;
• Appréciation médicale : médecine préventive, soins, diagnostics ;
• Médecine du travail ou encore pourcentage légal d’emploi de personnes avec handicap
• Gestion des systèmes et services de santé ou de la protection sociale.

En France, les règles sont encore plus strictes quant à ces possibles traitements de données de santé. C’est par la loi Informatique et Libertés (modifiée en juin 2018) que ces règles ont été mises en place et ce’, indépendamment du RGPD puisque ce dernier laisse libre chaque État membre de durcir le règlement de base.

Les entreprises ou organismes stockant et traitant des données de santé ont donc des obligations définies par le RGPD. Elles doivent désigner un DPO, tenir un registre des traitements et analyser les risques encourus par ces données.

Nous contacter

Le DPO SPST

Un DPO peut être désigné en interne si toutefois l’entreprise juge qu’un de ses employés en a les capacités et qu’il n’y a aucun possible conflit d’intérêt ou pression qui l’empêcherait de mener objectivement sa mission.

Le DPO service santé au travail peut également être désigné en externe, vous pouvez tout à fait désigner DPO Partage comme DPO : nous contacter

Dans les deux cas, le DPO est là pour s’assurer que les règles du RGPD sont bien respectées et pour accompagner la mise en conformité. Pour ce faire, il conseille à tous les niveaux hiérarchiques, réalise des audits et recueille toutes les informations (là encore, à tous les niveaux) concernant l’utilisation, la collecte, le stockage des données de santé. En France, les règles sont encore plus strictes quant à ces possibles traitements de données de santé.

Le registre avec le DPO Service santé au Travail

Le registre, quant à lui, doit comporter les points suivants :

• Les informations sur le responsable du traitement et DPO ;
• Les finalités du traitement ;
• Les informations sur les personnes concernées ;
• Les délais de conservation des données ;
• La description des mesures mises en place pour optimiser la protection des données.

Analyse des risques et conséquences avec le DPO  Service santé au Travail

Le service de santé au travail, en charge des données de santé, doit obligatoirement réaliser une analyse d’impact liée au traitement de ces données. Cette analyse doit inclure les mesures de sécurité mises en place par l’entreprise ou l’organisme pour protéger ces données. Elle doit également évaluer les avantages et les risques associés à ce traitement, ce qui aidera à déterminer sa pertinence. Enfin, l’analyse doit préciser l’objectif du traitement des données ainsi que le déroulement détaillé de ce processus. Vous trouverez beaucoup d’information sur le site de la CNIL.

DPO partage est disponible afin de vous guider, nous répondons à toutes vos questions sur le sujet de la désignation et du rôle du DPO. Nous vous proposons de accompagner ou de vous former en interne, n’hésitez pas à nous contacter.

Pourquoi désigner DPO Partagé dans un Services de prévention et de santé au travail (SPST) ?

Chez DPO Partage, nous croyons que la protection des données personnelles est cruciale dans les services de santé au travail. En tant que Délégué à la Protection des Données (DPO) agréé, nous avons l’expertise et les compétences nécessaires pour aider les services de santé au travail à se conformer aux règles en matière de protection des données personnelles.

Notre équipe de DPO expérimentés travaille avec un grand nombre de services de santé au travail pour les aider à gérer leur collecte, leur utilisation et leur stockage de données personnelles de manière sécurisée et conforme aux lois en vigueur. Nous pouvons vous aider à établir des politiques et des procédures de protection des données, à former vos employés sur les bonnes pratiques en matière de protection des données et à mettre en place des mesures de sécurité adéquates pour protéger les données personnelles de vos patients.

En tant que DPO partagé, nous pouvons également vous offrir des services de DPO à un coût avantageux, en partageant nos ressources et notre expertise avec d’autres services de santé au travail. Cela vous permet de bénéficier de l’expertise d’un DPO sans avoir à engager un DPO à temps plein.

N’hésitez pas à nous contacter pour en savoir plus sur nos services de DPO pour les services de santé au travail. Nous sommes impatients de travailler avec vous pour protéger les données personnelles de vos patients et respecter les lois en matière de protection des données personnelles.

Mise en place du registre des activités de traitements

Voici un exemple de registre de traitements pour un  SPST :

1. Identité et coordonnées du responsable de traitement: Service de santé au travail de [nom de l’entreprise]
2. Finalité du traitement: Le traitement des données est nécessaire pour la gestion des visites médicales et des suivis médicaux des salariés de l’entreprise, ainsi que pour l’élaboration de bilans de santé et de préconisations de prévention.
3. Catégories de données personnelles traitées: Les données traitées comprennent les nom, prénom, date de naissance, adresse, numéro de sécurité sociale, données médicales (antécédents médicaux, résultats d’examens médicaux, etc.), données de présence et d’absence, données de salaire et de retraite, etc.
4. Catégories de personnes concernées: Les personnes concernées sont les salariés de l’entreprise et leurs représentants (médecin du travail, membres du CHSCT, etc.).
5. Destinataires des données: Les destinataires des données peuvent être les médecins du travail, les médecins conseils, les assureurs, les organismes de sécurité sociale, etc.
6. Durée de conservation des données: Les données sont conservées pendant la durée de l’emploi du salarié et pendant une période supplémentaire de [nombre] ans après la fin de l’emploi, conformément aux obligations légales en matière de conservation des données médicales.
7. Mesures de sécurité mises en place: Les données sont protégées par un mot de passe et un accès restreint aux personnes autorisées. Un système de sauvegarde est en place pour prévenir toute perte de données.

Il est important de noter que ce registre de traitements est un exemple indicatif et que le contenu de votre registre dépendra de votre service de santé au travail et des données que vous traitez. Vous devrez également veiller à mettre à jour régulièrement votre registre pour refléter tout changement dans les traitements de données que vous effectuez.

Voici quelques exemples d‘activités de traitements qui pourraient figurer dans un registre des activités de traitement pour un Services de prévention et de santé au travail (SPST)

1. Collecte de données personnelles: cela peut inclure la collecte de données auprès des personnes concernées (par exemple lors de leur embauche ou de leur visite médicale), la collecte de données auprès de tiers (par exemple les assureurs ou les organismes de sécurité sociale), etc.
2. Stockage de données personnelles: cela peut inclure le stockage de données sur des serveurs internes ou externes, le stockage de données sur des supports physiques (par exemple des dossiers papier), etc.
3. Traitement de données personnelles: cela peut inclure l’analyse des données pour établir des bilans de santé ou des préconisations de prévention, la mise à disposition de données aux médecins du travail ou aux médecins conseils, etc.
4. Transmission de données personnelles: cela peut inclure la transmission de données aux assureurs, aux organismes de sécurité sociale, aux médecins du travail, etc.
5. Suppression de données personnelles: cela peut inclure la suppression de données lorsqu’elles ne sont plus nécessaires ou lorsque la personne concernée en a fait la demande.

Il est important de noter que cette liste n’est pas exhaustive et que le contenu de votre registre dépendra des activités de traitement que vous effectuez dans votre entreprise. Vous devrez également veiller à mettre à jour régulièrement votre registre pour refléter tout changement dans les traitements de données que vous effectuez.