La mission de DPO externalisé au sein d’un Service de Prévention et de Santé au Travail (SPST) ne se limite pas à une simple désignation auprès de la CNIL. C’est un accompagnement continu, structuré et adapté aux spécificités du secteur de la santé au travail. DPO PARTAGE, fort de son expérience auprès de plus de 40 SPST en France, a développé une méthodologie éprouvée qui couvre toutes les étapes de la mise en conformité et du maintien dans le temps.
Phase 1 : Audit initial et cartographie des traitements
La mission débute par un état des lieux complet de votre SPST. Nous réalisons la cartographie de l’ensemble des traitements de données personnelles : dossiers médicaux en santé au travail (DMST), gestion des convocations et des rendez-vous, suivi des expositions professionnelles, fiche d’entreprise, gestion des adhérents et de la facturation, ressources humaines internes, vidéosurveillance des locaux, gestion du site internet et des outils de communication.
Pour chaque traitement identifié, nous analysons la base de licéité, les catégories de données collectées, les durées de conservation appliquées, les destinataires et les mesures de sécurité en place. Cet audit permet de dresser un diagnostic précis des écarts de conformité et d’établir une feuille de route priorisée. Les points de non-conformité sont répertoriés et classés par niveau de risque pour guider les actions correctives.
Phase 2 : Mise en place du registre et des procédures
Sur la base de l’audit, nous constituons le registre des traitements dans les formes prescrites par le RGPD. Chaque fiche de traitement est documentée dans DPO Suite, notre application de maintien de la conformité, qui centralise l’ensemble de la documentation dans un espace sécurisé et collaboratif. Le référent RGPD de votre SPST et le DPO y ont accès en permanence.
Nous rédigeons ensuite les procédures internes adaptées à votre organisation : procédure de gestion des violations de données (notification à la CNIL dans les 72 heures, information des personnes concernées), procédure d’exercice des droits des salariés suivis (accès au dossier médical, rectification, effacement), procédure d’encadrement des transferts de données hors UE, politique de conservation et de purge des données, charte informatique et politique de confidentialité. Chaque procédure est rédigée en tenant compte des spécificités du code du travail et du code de la santé publique.
Phase 3 : Analyses d’impact et gestion des risques
Certains traitements mis en oeuvre par les SPST nécessitent la réalisation d’une analyse d’impact relative à la protection des données (AIPD). C’est le cas du DMST, des plateformes de télésanté au travail, des outils de prise de rendez-vous en ligne traitant des données de santé, ou encore des dispositifs de suivi des expositions professionnelles à grande échelle.
Nous réalisons ces AIPD selon la méthodologie CNIL (PIA v3), en identifiant les risques pour les droits et libertés des salariés suivis, en évaluant leur gravité et leur vraisemblance, et en proposant des mesures de réduction adaptées. L’application DPO Suite intègre également les audits AI Act (pour les outils d’aide à la décision médicale) et NIS2 (pour les obligations de cybersécurité), permettant une vision globale de la conformité réglementaire de votre SPST.
Phase 4 : Sensibilisation des équipes
La formation des collaborateurs est un élément central de la mission DPO. Via notre plateforme Focus RGPD, nous déployons des modules de sensibilisation spécifiques au secteur de la santé au travail : protection du DMST, secret médical en santé au travail, gestion des demandes d’accès par les employeurs, sécurisation des échanges entre professionnels de santé, bonnes pratiques de cybersécurité au quotidien.
Avec plus de 3 000 sensibilisations réalisées chaque mois et un catalogue de 400 vidéos, Focus RGPD permet de former l’ensemble des équipes de votre SPST (médecins du travail, infirmiers, secrétaires médicaux, équipes administratives, direction) à leur rythme et sans désorganiser l’activité. Des attestations de suivi sont délivrées pour constituer les preuves de conformité attendues par la CNIL et les organismes certificateurs AFNOR SPEC 2217.
Phase 5 : Maintien de la conformité et veille réglementaire
La conformité RGPD n’est pas un projet ponctuel mais un processus continu. Nous assurons le suivi régulier de votre SPST : mise à jour du registre lors de l’ajout de nouveaux traitements, audits de conformité périodiques, revue des contrats de sous-traitance, accompagnement lors des évolutions de votre logiciel métier (Padoa, Préventiel, Stetho, etc.), gestion des incidents de sécurité et des demandes d’exercice de droits.
Nous produisons un bilan annuel DPO qui s’intègre dans le rapport d’activité de votre SPST et qui documente l’ensemble des actions menées, les indicateurs de conformité et les recommandations pour l’année suivante. Ce bilan est conçu pour répondre aux attentes des instances de gouvernance, des adhérents et des organismes certificateurs. Notre réseau DPO FRANCE permet aussi de mobiliser des compétences complémentaires si besoin (audit de sécurité informatique, expertise en droit de la santé).