Le Cahier des charges de certification et Proposition des partenaires sociaux détail les exigences concernant la compétence et la gestion des SPSTi. C’est dans cette partie du texte que l’on aborde, pour l’unique fois, le RGPD.
Exigences générales : Les SPSTI doivent opérer de manière impartiale et confidentielle. Ils doivent gérer toutes les informations obtenues ou générées au cours de leurs activités de manière sécurisée et conforme aux réglementations en vigueur.
Exigences structurelles : Les SPSTI sont soumis à un contrôle réglementaire par l’État. Le Conseil d’administration et la commission de contrôle jouent un rôle clé dans la gestion et la surveillance des SPSTI.
Gestion financière et tarification : Les SPSTI doivent mettre en place des processus pour fixer la cotisation associative et la grille tarifaire de cotisation de l’offre spécifique pour les travailleurs indépendants. Ils doivent également contrôler les flux financiers et déterminer la tarification des services complémentaires.
Organisation générale du service et projet de service : Les SPSTI doivent définir et documenter le champ de leurs activités, l’organisation et la structure de direction du service, et les relations entre la direction, les services opérationnels et les services de soutien.
Présentation du SPSTI : Les SPSTI doivent rendre certaines informations accessibles au public et aux entreprises adhérentes. Ils doivent également mettre en place un processus pour traiter les demandes et les réclamations.
Réalisation des actions de prévention : Les SPSTI doivent organiser leur mission de prévention des risques professionnels en prévoyant un mode de conduite proactif des actions en milieu de travail, la capacité à travailler avec d’autres acteurs de la prévention, et la définition des priorités du service et des actions pluridisciplinaires.
Suivi de l’état de santé : Les SPSTI doivent organiser le suivi individuel de l’état de santé des travailleurs, y compris l’élaboration et la mise en œuvre des protocoles de délégation de tâches du médecin du travail et l’organisation des visites et examens.
Prévention de la désinsertion professionnelle : Les SPSTI doivent mettre en place une cellule de prévention de la désinsertion professionnelle (PDP) et formaliser son organisation et ses processus.
Systèmes d’information : Les SPSTI doivent garantir la conformité de leurs systèmes d’information avec les réglementations en vigueur, y compris le Règlement général sur la protection des données (RGPD) et les normes d’interopérabilité.
Évaluation des performances et améliorations : Les SPSTI doivent s’engager dans un processus d’amélioration continue, y compris l’élaboration d’un plan d’actions correctives et la communication des éléments démontrant la réalisation de l’ensemble socle de services.
L’impact pour les Services de Prévention et de Santé au Travail Interentreprises (SPSTI) est significatif et se manifeste de plusieurs façons :
Amélioration de la qualité des services : Les exigences détaillées visent à améliorer la qualité des services fournis par les SPSTI. Cela comprend l’amélioration de la prévention des risques professionnels, le suivi de l’état de santé des travailleurs, et la prévention de la désinsertion professionnelle.
Renforcement de la transparence et de la responsabilité : Les SPSTI sont tenus de rendre publics certains documents et informations, ce qui renforce la transparence et la responsabilité. Ils sont également tenus de mettre en place des processus pour traiter les demandes et les réclamations de manière équitable et efficace.
Respect de la confidentialité et de la sécurité des données : Les SPSTI sont tenus de respecter la confidentialité des informations obtenues ou générées au cours de leurs activités, et de garantir la sécurité des données personnelles. Cela comprend la mise en place de processus pour garantir la conformité avec le Règlement général sur la protection des données (RGPD).
Amélioration continue : Les SPSTI sont encouragés à s’engager dans un processus d’amélioration continue, y compris l’élaboration d’un plan d’actions correctives et la communication des éléments démontrant la réalisation de l’ensemble socle de services.
Augmentation des coûts opérationnels : La mise en œuvre de ces exigences peut entraîner une augmentation des coûts opérationnels pour les SPSTI. Cela peut inclure les coûts liés à la mise en place de nouveaux processus, à la formation du personnel, à la mise à jour des systèmes d’information, et à la conformité avec les réglementations en matière de confidentialité et de sécurité des données.
Renforcement de la confiance des adhérents : En fin de compte, ces mesures visent à renforcer la confiance des adhérents dans les SPSTI, en garantissant que ces services sont fournis de manière équitable, transparente, sécurisée et de haute qualité.
Le RGPD aura un impact sur la certification des SPSTI
Conformité au RGPD : Le SPSTI doit définir les aspects du RGPD qui sont concernés par ses processus. Il doit également informer les employeurs et les salariés des actions qui utilisent ou génèrent des données personnelles, y compris dans le cadre de la télésanté. Le SPSTI doit également recueillir les consentements individuels de manière formalisée et traiter les réclamations éventuelles relatives à l’utilisation des données personnelles.
Interopérabilité, sécurisation, conservation et transferts des données : Le SPSTI doit garantir que ses systèmes d’information sont conformes aux référentiels du groupement d’intérêt public, aux règles relatives au dossier médical en santé au travail intégré au dossier médical partagé, et au référentiel d’interopérabilité (lorsqu’il existera). Cela permettra la transmission dématérialisée et réutilisable des documents à un nouveau SPSTI, dans tout le périmètre géographique national.
Télésanté : Si le SPSTI dispose d’outils permettant la pratique de la télésanté et décide d’y recourir, il doit mettre en place un processus garantissant la conformité de la pratique de la téléconsultation avec les dispositions légales en vigueur relatives à la télémédecine. Il doit également informer les employeurs et les salariés des conditions de recours à la téléconsultation et des modalités de traçabilité des visites réalisées en téléconsultation. Le SPSTI doit recueillir le consentement de l’employeur et des salariés, garantir la confidentialité de l’échange en téléconsultation, et mettre en œuvre des alternatives à la téléconsultation.
En somme, ces mesures impliquent une augmentation des responsabilités du SPSTI en matière de gestion des données et de conformité réglementaire. Elles nécessitent également une communication claire et transparente avec les employeurs et les salariés sur l’utilisation des données et les pratiques de télésanté.
Pour aller plus loin :
Télécharger notre livre blanc : Certification SPSTi et l’impact du RGPD
Notre ouvrage : Conformité RGPD des SPSTI, avec mise à jour certification AFNOR SPEC 2217