Pourquoi les SPST sont concernes par le RGPD
Les services de prevention et de sante au travail (SPST) figurent parmi les structures les plus exposees aux obligations du RGPD. Ils collectent et traitent quotidiennement des donnees de sante, categorie particuliere de donnees personnelles beneficiant d’une protection renforcee par le reglement europeen.
Les dossiers medicaux des salaries suivis, les resultats d’examens complementaires, les fiches d’aptitude, les donnees relatives aux expositions professionnelles : le volume d’informations sensibles manipulees par un SPST est considerable. Un service interentreprises peut gerer les dossiers medicaux de plusieurs dizaines de milliers de salaries.
La reforme de la sante au travail issue de la loi du 2 aout 2021 a elargi les missions des SPST et renforce leurs obligations en matiere de prevention. Cette evolution implique une collecte encore plus importante de donnees personnelles, rendant la conformite RGPD d’autant plus essentielle.
Les sanctions prevues par le RGPD peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel. Pour un SPST, une violation de donnees de sante entrainerait egalement une perte de confiance des entreprises adherentes et des salaries suivis, mettant en peril l’ensemble de l’activite.
Les donnees personnelles traitees par les SPST
Le dossier medical en sante au travail (DMST) constitue le traitement principal du SPST. Il contient l’historique medical du salarie dans le cadre professionnel : antecedents, vaccinations, resultats d’examens, avis d’aptitude ou d’inaptitude, amenagements de poste recommandes. Ces donnees sont conservees pendant toute la duree du suivi et au-dela, conformement aux obligations legales.
Les donnees de metrologie et d’exposition professionnelle permettent d’evaluer les risques auxquels les salaries sont soumis. Mesures de bruit, d’exposition chimique, evaluations ergonomiques : ces informations sont rattachees aux postes de travail et indirectement aux personnes qui les occupent.
Les actions en milieu de travail generent des donnees sur l’organisation des entreprises adherentes, les conditions de travail et parfois des temoignages individuels. Les enquetes menees apres un accident du travail ou une maladie professionnelle produisent des informations particulierement sensibles.
Les donnees administratives des entreprises adherentes et de leurs salaries (identite, coordonnees, postes occupes, dates d’embauche) completent ce panorama. Le SPST gere egalement les plannings de visites, les convocations et les relances, autant de traitements soumis au RGPD.
L’obligation de designer un DPO pour les SPST
La designation d’un delegue a la protection des donnees est obligatoire pour les SPST. L’article 37 du RGPD impose cette obligation lorsque les activites de base du responsable de traitement consistent en un traitement a grande echelle de categories particulieres de donnees. Les donnees de sante entrent dans cette categorie.
Un SPST interentreprises qui suit plusieurs milliers de salaries traite indiscutablement des donnees de sante a grande echelle. La CNIL a confirme cette interpretation dans ses recommandations aux professionnels de sante.
Meme pour un SPST autonome au sein d’une grande entreprise, le volume de donnees de sante traitees justifie generalement la designation d’un DPO. Cette obligation ne souffre pratiquement aucune exception dans le secteur de la sante au travail.
Les missions du DPO dans un SPST
Le DPO du SPST realise un audit exhaustif des traitements de donnees personnelles. Il cartographie l’ensemble des flux : collecte des donnees medicales lors des visites, transmission des avis d’aptitude aux employeurs, echanges avec les medecins traitants, partage d’informations au sein de l’equipe pluridisciplinaire. Cette cartographie alimente le registre des traitements obligatoire.
Il veille au respect du secret medical dans le cadre numerique. Les logiciels metiers utilises par les medecins du travail, les infirmiers et les intervenants en prevention doivent garantir la confidentialite des donnees. Le DPO s’assure que les habilitations d’acces sont correctement configurees et que chaque professionnel n’accede qu’aux informations necessaires a l’exercice de ses fonctions.
Le DPO elabore les analyses d’impact relatives a la protection des donnees (AIPD) pour les traitements a risque. Le suivi medical des salaries exposes a des risques particuliers, la teletransmission des donnees de sante et l’utilisation d’outils de telemedecine exigent une evaluation approfondie des risques pour les droits et libertes des personnes.
Il redige les politiques de confidentialite a destination des salaries suivis et des entreprises adherentes. Ces documents expliquent de maniere claire les traitements realises, les bases legales invoquees, les durees de conservation et les droits des personnes concernees.
Le DPO met en place les procedures de gestion des droits des personnes : droit d’acces au dossier medical, droit de rectification, droit a la limitation du traitement. Il forme le personnel du SPST a identifier et traiter les demandes dans les delais legaux.
Il supervise la securite des systemes d’information. Le chiffrement des bases de donnees medicales, la securisation des echanges electroniques, la gestion des sauvegardes et le plan de continuite d’activite font partie de ses responsabilites.
Les obligations specifiques liees aux donnees de sante
Le cadre legal renforce
Les donnees de sante beneficient d’une protection renforcee par l’article 9 du RGPD. Leur traitement est interdit par principe, sauf exceptions limitativement enumerees. Pour les SPST, la base legale repose principalement sur l’obligation legale du responsable de traitement et sur la medecine preventive ou la medecine du travail.
Le code de la sante publique et le code du travail encadrent strictement les conditions de collecte et de conservation des donnees medicales en sante au travail. Le DPO doit maitriser cette reglementation sectorielle en complement du RGPD.
L’hebergement des donnees de sante
Les donnees de sante a caractere personnel doivent etre hebergees aupres d’un hebergeur certifie HDS (hebergement de donnees de sante). Le DPO verifie que les prestataires informatiques du SPST disposent de cette certification obligatoire et que les contrats de sous-traitance sont conformes.
L’interoperabilite et les echanges de donnees
Le dossier medical partage (DMP), le volet de synthese medicale et les echanges avec les autres professionnels de sante exigent des protocoles securises. Le DPO s’assure que les systemes d’information du SPST respectent les referentiels d’interoperabilite et les normes de securite en vigueur.
Comment choisir un DPO externe pour un SPST
Le choix d’un DPO externe pour un SPST exige des competences specifiques au secteur de la sante. La certification DPO delivree par un organisme accredite par la CNIL constitue le prerequis minimal. L’experience dans le domaine de la sante au travail ou plus largement des donnees de sante est un critere determinant.
Le DPO doit connaitre le cadre reglementaire propre aux SPST : code du travail, code de la sante publique, referentiels de la Haute Autorite de Sante, recommandations de la CNIL pour le secteur de la sante. Cette double competence RGPD et sante au travail permet d’adapter les recommandations au contexte operationnel du service.
Evaluez la capacite du prestataire a interagir avec l’equipe pluridisciplinaire : medecins du travail, infirmiers, ergonomes, psychologues du travail. Le DPO doit comprendre les pratiques professionnelles pour proposer des solutions compatibles avec la realite du terrain.
Verifiez les references dans le secteur de la sante. Un DPO ayant deja accompagne des SPST, des etablissements de sante ou des professionnels de sante liberaux connaitra les problematiques specifiques et pourra proposer des solutions eprouvees.
Le cout d’un DPO externe pour un SPST
Les tarifs d’un DPO externe pour un SPST varient selon la taille du service et le nombre de salaries suivis. Pour un SPST de taille moderee suivant moins de 10 000 salaries, les tarifs se situent entre 400 et 800 euros par mois. Ce montant couvre l’audit initial, la mise en conformite et le suivi regulier.
Les SPST interentreprises de taille importante, suivant entre 10 000 et 50 000 salaries, doivent prevoir un budget mensuel de 800 a 1 500 euros. L’accompagnement inclut les AIPD, la gestion des sous-traitants HDS et la formation du personnel.
Les grands SPST nationaux ou regionaux investissent entre 1 500 et 3 000 euros mensuels pour un accompagnement complet incluant la coordination multi-sites, la gestion des incidents de securite et le support aux equipes pluridisciplinaires.
Ces montants restent bien inferieurs au cout d’un DPO interne a temps plein, dont le salaire annuel se situe entre 45 000 et 70 000 euros. Le DPO externe offre de plus l’avantage d’une expertise actualisee et d’une independance garantie.
Les erreurs a eviter pour un SPST
La premiere erreur consiste a confondre secret medical et conformite RGPD. Le respect du secret medical ne dispense pas de respecter les obligations du RGPD. Les deux cadres se completent mais ne se substituent pas l’un a l’autre.
Heberger les donnees de sante chez un prestataire non certifie HDS constitue une infraction grave. Certains SPST utilisent encore des solutions informatiques qui ne respectent pas cette obligation, exposant la structure a des sanctions penales en complement des sanctions administratives de la CNIL.
Ne pas realiser d’analyse d’impact pour les traitements de donnees de sante a grande echelle est une lacune frequente. L’AIPD est obligatoire pour ce type de traitement et doit etre actualisee regulierement.
Conserver les dossiers medicaux sans politique de purge definie contrevient au principe de limitation de la conservation. Le DPO aide le SPST a definir des durees de conservation conformes aux obligations legales et a mettre en place des procedures d’archivage et de destruction securisees.
Article redige par Laurent de Cavel, DPO certifie. Contactez DPO France pour un accompagnement specialise de votre service de prevention et de sante au travail.
