DPO en SPST : une obligation legale incontournable
Les Services de Prevention et de Sante au Travail (SPST) figurent parmi les organismes pour lesquels la designation d’un Delegue a la Protection des Donnees (DPO) est obligatoire. Le volume de donnees de sante traitees, le suivi systematique de milliers de salaries et la sensibilite des informations collectees ne laissent aucune marge d’interpretation.
Pourtant, de nombreux SPST n’ont pas encore designe de DPO ou ont confie cette mission a un collaborateur sans formation adequate. Cette situation expose le service a des risques de sanctions de la CNIL, mais aussi a des failles de securite et a une perte de confiance des entreprises adherentes.
Pourquoi le DPO est obligatoire en SPST
Criteres du RGPD
L’article 37 du RGPD rend la designation d’un DPO obligatoire dans trois cas. Les SPST remplissent au moins deux de ces criteres. Le premier est le traitement a grande echelle de donnees sensibles : les SPST traitent des donnees de sante de dizaines de milliers de salaries. Le second est le suivi regulier et systematique des personnes : les visites medicales periodiques constituent un suivi structure et recurrent.
La CNIL a confirme a plusieurs reprises que les services de sante au travail entrent dans le champ de l’obligation de designation. Il n’existe aucune exception ni derogation pour les SPST, quelle que soit leur taille.
Obligations renforcees par la loi sante au travail
La loi du 2 aout 2021 a elargi les missions des SPST et impose la numerisation du Dossier Medical en Sante au Travail (DMST). Cette evolution renforce mecaniquement le volume de donnees numeriques traitees et les risques associes, rendant la presence d’un DPO encore plus necessaire pour piloter la conformite.
Les missions du DPO en SPST
Conseil et accompagnement
Le DPO conseille la direction et les equipes du SPST sur l’ensemble des questions de protection des donnees. Il intervient sur la conformite des nouveaux traitements (nouveau logiciel metier, telesante, portail adherent), la redaction des mentions d’information, la gestion des demandes de droits des salaries et la politique de conservation des donnees.
Controle de la conformite
Le DPO verifie le respect du RGPD au sein du SPST. Il audite les traitements existants, controle la tenue du registre, verifie la realisation des AIPD, s’assure de la conformite des contrats de sous-traitance et surveille la mise en oeuvre des mesures de securite. Il rend compte regulierement a la direction.
Point de contact
Le DPO est le point de contact avec la CNIL et avec les personnes concernees (salaries, entreprises adherentes). Il coordonne les reponses aux demandes de droits, gere les notifications de violations de donnees et assure la liaison avec l’autorite de controle en cas d’inspection.
Sensibilisation
Le DPO organise la sensibilisation de l’ensemble du personnel : medecins du travail, infirmiers, secretaires medicaux, equipe administrative et direction. Cette formation continue est essentielle dans un contexte ou le secret medical et la protection des donnees se conjuguent au quotidien.
DPO interne ou DPO externe : quel choix pour un SPST ?
Le DPO interne
Certains SPST de grande taille choisissent de designer un DPO interne. Cette option presente l’avantage d’une connaissance approfondie du fonctionnement du service. Cependant, elle souleve des questions d’independance et de conflit d’interets : le DPO ne peut pas etre le directeur, le responsable informatique ou le medecin coordonnateur, car ces fonctions impliquent de determiner les finalites et moyens des traitements.
Le DPO interne doit disposer du temps et des ressources necessaires pour exercer sa mission. Il doit beneficier de formations continues en protection des donnees et en specificites du secteur de la sante au travail.
Le DPO externe
Le recours a un DPO externe est une solution privilegiee par de nombreux SPST. Cette option offre plusieurs avantages : independance garantie, expertise specialisee, veille reglementaire permanente et disponibilite d’une equipe pluridisciplinaire. Le DPO externe mutualise son experience entre plusieurs structures, ce qui enrichit sa connaissance des bonnes pratiques du secteur.
Le contrat de DPO externe doit preciser le perimetre de la mission, les moyens mis a disposition, les conditions d’accessibilite et les modalites de reporting. Le DPO externe doit pouvoir intervenir rapidement en cas d’incident de securite ou de controle de la CNIL.
Criteres de choix
Le choix entre DPO interne et externe depend de plusieurs facteurs : la taille du SPST, le budget disponible, la maturite en matiere de protection des donnees et la complexite du systeme d’information. Dans tous les cas, le DPO doit disposer de competences en protection des donnees, d’une connaissance du secteur de la sante au travail et d’une capacite a communiquer avec l’ensemble des parties prenantes.
Risques en l’absence de DPO
Sanctions de la CNIL
L’absence de DPO dans un SPST constitue un manquement direct au RGPD. La CNIL peut prononcer une mise en demeure publique, suivie d’une amende administrative pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel. Au-dela de la sanction financiere, la publicite de la mise en demeure porte atteinte a la reputation du service aupres de ses adherents.
Risques operationnels
Sans DPO, le SPST se prive d’un pilote de la conformite. Les risques operationnels se multiplient : registre des traitements inexistant ou incomplet, AIPD non realisees, contrats de sous-traitance non conformes, gestion defaillante des demandes de droits, absence de procedure en cas de violation de donnees. Ces manquements s’accumulent et creent une dette de conformite difficile a resorber.
Perte de confiance des adherents
Les entreprises adherentes sont de plus en plus sensibles a la protection des donnees de leurs salaries. L’absence de DPO ou une conformite defaillante peut amener des adherents a changer de SPST au profit d’un service plus rigoureux. La designation d’un DPO competent est aussi un argument commercial et un gage de serieux.
Comment proceder a la designation
La designation du DPO doit etre formalisee par un acte officiel (deliberation du conseil d’administration ou decision de la direction). Le DPO designe doit etre declare aupres de la CNIL via le formulaire en ligne disponible sur le site de l’autorite. Les coordonnees du DPO doivent etre communiquees aux salaries suivis et aux entreprises adherentes.
Le DPO doit disposer des moyens necessaires a l’exercice de sa mission : acces aux informations, temps dedie, budget de formation et outils de gestion de la conformite.
Conclusion
La designation d’un DPO n’est pas une simple formalite administrative pour les SPST. C’est un levier essentiel de gouvernance des donnees qui protege le service, ses adherents et les salaries suivis. Le choix d’un DPO competent et specialise en sante au travail est un investissement qui securise l’activite et renforce la confiance des parties prenantes.
Article redige par Laurent de Cavel, DPO certifie.
