Chaque année, les Services de Prévention et de Santé au Travail (SPST) enregistrent plus de 50 millions de visites médicales. 50 millions de dossiers médicaux consultés, mis à jour, transmis, archivés. Des données parmi les plus sensibles qui existent. Et pourtant, personne ne sait vraiment comment le RGPD est appliqué concrètement par ceux qui les manipulent au quotidien. DPO FRANCE change cela.
Un volume de données de santé colossal, une réalité RGPD encore peu documentée
La France compte aujourd’hui environ 230 SPST agréés, employant des dizaines de milliers de professionnels : médecins du travail, infirmiers en santé au travail, assistants médicaux, psychologues, ergonomes, intervenants en prévention des risques professionnels (IPRP), secrétaires médicales, administratifs.
Chacun de ces professionnels manipule, à des degrés divers, des données à caractère personnel et, pour beaucoup, des données de santé au sens de l’article 9 du RGPD. Ces données figurent parmi les catégories dites « sensibles », soumises à un régime de protection renforcé. Leur traitement est strictement encadré : base légale spécifique, désignation d’un DPO obligatoire, registre des activités de traitement, analyses d’impact obligatoires dans certains cas, droits des personnes concernées à garantir.
En théorie, le cadre est clair. En pratique ? C’est une autre histoire. Et c’est précisément ce que nous allons mesurer.
Ce que l’on ignore encore sur le RGPD dans les SPST
Depuis l’entrée en application du RGPD en mai 2018, les SPST ont engagé des efforts de mise en conformité. Certains ont recruté un DPO interne, d’autres ont opté pour un DPO externalisé. Des politiques de confidentialité ont été rédigées, des registres constitués, des formations déployées.
Mais ce que l’on ne sait pas, c’est ce qui se passe réellement sur le terrain. Ce que vivent concrètement les professionnels au quotidien, loin des documents officiels et des tableaux de bord de conformité.
Est-ce que le médecin du travail qui reçoit X salariés par jour a le temps de penser au RGPD entre deux consultations ? Est-ce que l’infirmière en santé au travail sait à qui s’adresser quand elle doute de la légalité d’une pratique ? Est-ce que les données de santé circulent encore par des canaux non sécurisés parce que c’est plus rapide ? Est-ce que l’arrivée des outils d’intelligence artificielle dans les cabinets médicaux crée de nouveaux risques silencieux ?
Personne ne le sait avec certitude. Aucune enquête nationale n’a jamais mesuré ces pratiques de façon systématique et anonyme.
DPO FRANCE lance la première enquête nationale RGPD dans les SPST
C’est dans ce contexte que DPO FRANCE lance la première Enquête Nationale sur les pratiques RGPD dans les Services de Prévention et de Santé au Travail.
Cette initiative est inédite. Elle ne part pas d’une hypothèse à confirmer ni d’un résultat à défendre. Elle part d’une conviction simple : avant de former, avant de conseiller, avant d’agir, il faut savoir. Fotografier la réalité. La comprendre. La partager.
L’enquête comporte 60 questions réparties en 9 thématiques. Elle a été construite pour couvrir l’ensemble du spectre des pratiques RGPD dans un SPST, depuis la gouvernance jusqu’aux usages numériques émergents.
Les 9 thématiques de l’enquête
1. Gouvernance et connaissance du DPO Le DPO est-il connu des équipes ? A-t-il déjà été contacté ? Les professionnels savent-ils ce qu’il peut (et doit) faire pour eux ?
2. Le Dossier Médical en Santé au Travail (DMST) Que se passe-t-il concrètement quand un salarié exerce son droit d’accès à son DMST ? Le processus est-il formalisé, connu, appliqué ? Les délais réglementaires sont-ils respectés ?
3. Confidentialité et secret médical Comment les professionnels perçoivent-ils la frontière entre le secret médical et les obligations de traçabilité liées au RGPD ? Existe-t-il des tensions dans les pratiques quotidiennes ?
4. Sécurité des données et canaux de communication Les données de santé transitent-elles encore par email non sécurisé, SMS ou messageries grand public comme WhatsApp ? Quelles sont les pratiques réelles, au-delà des politiques officielles ?
5. Sous-traitance et logiciels métiers Les contrats avec les éditeurs de logiciels (dossier médical électronique, planification, messagerie sécurisée) respectent-ils les exigences du RGPD en matière de sous-traitance ? Les professionnels savent-ils qui traite leurs données et dans quelles conditions ?
6. Formation et sensibilisation Les équipes ont-elles été formées au RGPD ? Ces formations ont-elles réellement changé les comportements ou sont-elles restées des cases à cocher ?
7. La certification SPEC 2217 Cette certification, spécifique aux SPST, inclut des exigences en matière de protection des données. A-t-elle réellement fait évoluer les pratiques ou est-elle restée un exercice administratif déconnecté du terrain ?
8. Intelligence artificielle et données personnelles Les professionnels utilisent-ils déjà des outils d’IA dans leur pratique ? Y saisissent-ils des données personnelles, voire des données de santé ? Ont-ils conscience des risques associés ?
9. Perception globale et besoins identifiés Comment les professionnels évaluent-ils leur propre niveau de conformité RGPD ? Quels sont les freins qu’ils identifient ? De quoi auraient-ils besoin pour progresser ?
Ce que cette enquête n’est pas
Il est important de le dire clairement : cette enquête n’est pas un audit. Elle ne vise pas à sanctionner, à classer, à désigner des bons et des mauvais élèves. Il n’y a pas de bonne ou de mauvaise réponse.
Son objectif est de construire, pour la première fois, une photographie fidèle et représentative des pratiques RGPD dans les SPST français. Une base de données partagée, accessible, utile à tous : professionnels, DPO, directions, fédérations, organismes de formation, éditeurs de logiciels.
Les résultats permettront d’identifier les zones de fragilité communes, les besoins de formation prioritaires, les sujets émergents comme l’IA, et les pratiques positives qui méritent d’être valorisées et diffusées.
Une enquête construite par et pour les professionnels de terrain
L’enquête est anonyme. Aucune donnée permettant d’identifier un répondant, un SPST ou une région ne sera publiée. Les résultats seront uniquement présentés sous forme agrégée.
Elle est accessible à tous les métiers du SPST : médecins du travail, infirmiers, assistants médicaux, psychologues, IPRP, ergonomes, responsables administratifs, directeurs. Chaque métier a un rapport différent aux données personnelles, et cette diversité de perspectives est précisément ce qui donnera de la valeur aux résultats.
Elle prend 15 à 20 minutes selon le profil du répondant.
Les résultats complets seront publiés sur la page DPO FRANCE, en accès libre, accompagnés d’une analyse approfondie et de recommandations pratiques.
Pourquoi votre participation compte
Une enquête n’a de valeur que si elle est représentative. Plus le nombre de répondants est élevé, plus les résultats seront fiables, nuancés et utiles à l’ensemble de la profession.
En participant, vous contribuez à quelque chose qui n’existe pas encore : une connaissance collective et partagée de la réalité RGPD dans les SPST. Vous permettez à votre secteur de se regarder en face, sans complaisance et sans catastrophisme, pour avancer sur des bases solides.
En partageant l’enquête autour de vous, vous amplifiez cette démarche et lui donnez la portée nationale qu’elle mérite.
Participez à l’enquête
L’enquête est ouverte à tous les professionnels exerçant au sein d’un SPST, quelle que soit leur fonction ou leur ancienneté.
Accéder à l’enquête → https://www.dpo-partage.fr/wp-content/uploads/2026/02/rgpd-spec-2026.html
Les résultats seront publiés sur DPO FRANCE. Pour être informé de leur publication, vous pouvez vous inscrire à la newsletter DPO FRANCE ou suivre nos publications sur LinkedIn.
Vous êtes professionnel(le) d’un SPST ? Participez. Partagez. Ces données nous appartiennent à tous.
- DPO FRANCE lance la première offre nationale de conformité RGPD mutualisée dédiée aux services de prévention et de santé au travail
- RGPD : DPO Partage lance la première solution d’AIPD guidée par intelligence artificielle
- DPO pour SPST : tout savoir sur la conformite RGPD des services de sante au travail
