RGPD et SPST : un cadre reglementaire exigeant
Les Services de Prevention et de Sante au Travail (SPST), anciennement Services de Sante au Travail (SST), occupent une position particuliere dans le paysage de la protection des donnees. Ils traitent a la fois des donnees de sante des salaries suivis et des donnees relatives aux entreprises adherentes, dans un contexte reglementaire qui a ete profondement renouvele par la loi du 2 aout 2021.
La reforme de la sante au travail a elargi les missions des SPST (prevention, suivi individuel, maintien dans l’emploi, prevention de la desinsertion professionnelle) tout en renforçant les obligations en matiere de traitement des donnees. Les SPST sont desormais confrontes a des enjeux de conformite RGPD complexes, accentues par la digitalisation des dossiers medicaux et l’interoperabilite avec les systemes de sante.
Ce guide complet detaille les obligations RGPD specifiques aux SPST et propose une methode structuree pour atteindre et maintenir la conformite.
Les donnees traitees par un SPST
Dossier medical en sante au travail (DMST)
Le DMST constitue le traitement central du SPST. Il regroupe l’ensemble des informations medicales relatives au suivi du salarie : resultats des visites medicales (embauche, periodiques, reprise), examens complementaires, vaccinations, expositions professionnelles, avis d’aptitude et restrictions. Ces donnees sont classees sensibles au sens de l’article 9 du RGPD.
Depuis la reforme de 2021, le DMST doit etre tenu sous format numerique et respecter les referentiels d’interoperabilite definis par l’ANS (Agence du Numerique en Sante). Cette numerisation renforce les exigences de securite et de traçabilite.
Donnees des entreprises adherentes
Les SPST traitent egalement les donnees des entreprises adherentes : raison sociale, effectifs, secteur d’activite, risques professionnels identifies, fiches d’entreprise, plans de prevention. Ces donnees, bien que non sensibles au sens strict, sont soumises aux obligations generales du RGPD.
Donnees de prevention collective
Les missions de prevention collective generent des traitements specifiques : etudes de poste, mesures d’exposition (bruit, produits chimiques, rayonnements), enquetes epidemiologiques, statistiques de sante au travail. Ces donnees sont souvent agregees et anonymisees mais peuvent, dans certains cas, permettre l’identification indirecte de salaries.
Obligations reglementaires du SPST
Designation d’un DPO
La designation d’un DPO est obligatoire pour les SPST. Le traitement de donnees de sante a grande echelle (article 37 du RGPD) et le suivi regulier et systematique de personnes (salaries) rendent cette obligation incontournable. Le DPO doit disposer de competences en protection des donnees et connaitre les specificites du secteur de la sante au travail.
Registre des traitements
Le registre doit recenser l’ensemble des traitements realises par le SPST. Les traitements typiques incluent : gestion du DMST, suivi des visites medicales, gestion des avis d’aptitude, prevention de la desinsertion professionnelle, fiches d’entreprise, etudes de poste, metrologie, gestion des adherents, facturation, gestion des ressources humaines internes et formation.
Chaque traitement doit etre documente avec precision : finalite, base legale, categories de donnees, destinataires, durees de conservation et mesures de securite.
Bases legales des traitements
Les traitements du SPST reposent sur plusieurs bases legales selon leur finalite. Le suivi medical des salaries releve de l’obligation legale (Code du travail) et de la medecine preventive (article 9.2.h du RGPD). La gestion des adherents repose sur l’execution du contrat d’adhesion. Les etudes epidemiologiques peuvent relever de l’interet public dans le domaine de la sante publique.
Information des personnes concernees
Le SPST doit informer les salaries suivis du traitement de leurs donnees. Cette information doit etre delivree lors de la premiere visite et mise a jour regulierement. Elle couvre l’identite du responsable de traitement, les coordonnees du DPO, les finalites et bases legales, les destinataires, les durees de conservation et les droits des salaries.
Les entreprises adherentes doivent egalement etre informees des traitements les concernant, generalement via les conditions generales d’adhesion et une politique de confidentialite dediee.
Analyse d’impact (AIPD)
Plusieurs traitements du SPST necessitent une AIPD : le DMST (donnees de sante a grande echelle), les systemes de suivi des expositions professionnelles, les dispositifs de telesante au travail et tout traitement croisant des donnees de sante avec des donnees professionnelles. L’AIPD doit etre realisee avant la mise en oeuvre du traitement et mise a jour regulierement.
Securite du systeme d’information
Le logiciel metier au coeur de la securite
Le logiciel metier du SPST (type Preventiel, Padoa, Chimed) gere l’ensemble du DMST et constitue le systeme le plus critique. Sa securite doit garantir le chiffrement des donnees, la gestion fine des droits d’acces (medecin du travail, infirmier, secretaire medical), la traçabilite des acces et modifications, et la conformite aux referentiels de l’ANS.
Hebergement certifie HDS
Les donnees de sante du SPST doivent imperativement etre hebergees chez un prestataire certifie HDS. Cette obligation couvre le logiciel metier (en mode SaaS ou heberge), les sauvegardes, les documents numerises et les echanges de donnees medicales. Le non-respect est passible de 3 ans d’emprisonnement et 150 000 euros d’amende.
Secret medical et cloisonnement
Le secret medical est un principe fondamental en sante au travail. Le medecin du travail ne communique a l’employeur que l’avis d’aptitude ou d’inaptitude, jamais les donnees medicales du salarie. Le systeme d’information doit garantir un cloisonnement strict entre les donnees medicales (accessibles uniquement a l’equipe medicale) et les donnees administratives.
Ce cloisonnement doit etre technique (droits d’acces, bases de donnees separees) et organisationnel (procedures, formations, engagements de confidentialite).
Relations avec les entreprises adherentes
La relation entre le SPST et ses entreprises adherentes souleve des questions de qualification RGPD. Le SPST est generalement responsable de traitement pour le DMST et les missions de prevention. L’entreprise adherente reste responsable des traitements qu’elle realise dans son propre systeme RH.
Les echanges de donnees entre le SPST et l’entreprise (convocations, avis d’aptitude, fiches d’entreprise) doivent etre securises et limites au strict necessaire. L’avis d’aptitude ne doit contenir aucune donnee medicale, conformement au secret medical.
Droits des salaries
Les salaries suivis par le SPST disposent de l’ensemble des droits prevus par le RGPD. Le droit d’acces au DMST est encadre par le Code du travail : le salarie peut obtenir communication de son dossier medical. Le droit de rectification permet de corriger des informations erronees. Le droit d’opposition est limite pour les traitements relevant de l’obligation legale de suivi medical.
En cas de changement de SPST (mobilite du salarie), le transfert du DMST doit etre organise de maniere securisee, avec l’accord du salarie et dans le respect de la confidentialite.
Interoperabilite et Mon Espace Sante
La reforme de 2021 prevoit l’integration progressive du DMST dans l’ecosysteme Mon Espace Sante. Cette interoperabilite implique des echanges de donnees entre le SPST, le DMP et les professionnels de sante de ville. Les referentiels d’interoperabilite definis par l’ANS doivent etre respectes, tant pour les formats de donnees que pour les protocoles de communication securises.
Cette ouverture renforce les exigences de securite et de conformite : le SPST doit garantir que les donnees transmises a Mon Espace Sante respectent les droits du salarie et les regles de confidentialite.
Plan de mise en conformite
La mise en conformite d’un SPST suit un processus en plusieurs etapes. L’audit initial permet d’evaluer le niveau de conformite actuel et d’identifier les ecarts. La designation du DPO et la constitution d’un comite de pilotage structurent la gouvernance. La cartographie des traitements et la redaction du registre constituent le socle documentaire.
Les etapes suivantes comprennent la realisation des AIPD, la mise en conformite des contrats (sous-traitants, adherents), la securisation du systeme d’information, la mise en place des procedures de gestion des droits et des violations, et la sensibilisation de l’ensemble du personnel.
Sanctions et risques
Les SPST s’exposent a des sanctions significatives en cas de non-conformite : amendes administratives de la CNIL pouvant atteindre 20 millions d’euros, sanctions penales pour defaut d’hebergement HDS, mise en demeure publique portant atteinte a la reputation du service, et risques contentieux avec les salaries ou les entreprises adherentes.
Au-dela des sanctions, la non-conformite RGPD peut compromettre la certification qualite du SPST et fragiliser la relation de confiance avec les adherents et les salaries suivis.
Conclusion
La conformite RGPD d’un SPST est un projet structurant qui touche l’ensemble de l’organisation : equipe medicale, direction, informatique, administration. La reforme de la sante au travail et la numerisation du DMST rendent cette conformite plus necessaire que jamais.
L’accompagnement par un DPO specialise, l’utilisation d’outils de gestion dedies et une culture de la protection des donnees partagee par tous sont les cles d’une conformite durable et efficace.
Article redige par Laurent de Cavel, DPO certifie.
