A lire aussi sur DPO PARTAGE

« Born Private » : Proton Mail permet de réserver l’adresse e-mail de votre enfant dès la naissance

Nouveaux maires : la conformité RGPD n’attend pas, trouver un DPO non plus

DPO mutualise pour les collectivites territoriales : partager un delegue a la protection des donnees

Sommaire

Risques psychosociaux et RGPD en SPST : proteger les donnees les plus sensibles

L’evaluation et la prevention des risques psychosociaux (RPS) font partie des missions essentielles des Services de Prevention et de Sante au Travail. Mais ces interventions touchent a des donnees d’une sensibilite extreme : souffrance au travail, harcelement, burn-out, addictions, tentatives de suicide. Comment les SPST peuvent-ils remplir cette mission tout en garantissant la protection absolue de ces donnees ? Ce guide apporte des reponses concretes.

Les donnees RPS : une sensibilite renforcee

Les donnees relatives aux risques psychosociaux cumulent plusieurs facteurs de sensibilite. Elles relevent des donnees de sante au sens du RGPD (article 9), mais elles touchent egalement a la vie privee, aux relations professionnelles et parfois a des situations de conflit ou de harcelement. Leur divulgation peut avoir des consequences graves pour le salarie : stigmatisation, discrimination, represailles.

Les SPST collectent ces donnees dans differents contextes : visites medicales, consultations de souffrance au travail, enquetes collectives, signalements, cellules d’ecoute. Chaque contexte de collecte necessite des garanties specifiques en matiere de confidentialite et de protection des donnees.

Base legale et cadre du traitement

Le traitement des donnees RPS par les SPST repose sur l’obligation legale (article 6.1.c du RGPD). Le code du travail confie aux SPST la mission de prevenir les risques professionnels, y compris les risques psychosociaux. L’article 9.2.h du RGPD autorise le traitement des donnees de sante dans le cadre de la medecine du travail.

Toutefois, cette base legale ne dispense pas de respecter le principe de minimisation. Le SPST ne doit collecter que les donnees strictement necessaires a sa mission de prevention, sans chercher a constituer des dossiers exhaustifs sur la vie personnelle des salaries. La frontiere entre ce qui releve de la sante au travail et ce qui releve de la vie privee doit etre respectee avec la plus grande rigueur.

Consultation de souffrance au travail : regles specifiques

La consultation de souffrance au travail constitue un moment particulierement sensible. Le salarie confie au medecin du travail des informations sur sa situation professionnelle, ses relations avec sa hierarchie, ses collegues, et parfois des elements de sa vie personnelle. Le secret medical s’applique de maniere absolue a ces echanges.

Les notes prises durant la consultation sont integrees au DMST et protegees par le secret medical. Elles ne peuvent en aucun cas etre transmises a l’employeur, meme sur demande du salarie. Si le salarie souhaite que certaines informations soient communiquees, le medecin du travail redige un document distinct, adapte au destinataire, qui ne reprend que les elements strictement necessaires.

Les courriers adresses a l’employeur suite a une consultation de souffrance ne doivent contenir que des preconisations (amenagement de poste, changement d’affectation) sans mentionner la nature des difficultes signalees par le salarie. Le medecin du travail doit resister a toute pression visant a obtenir davantage de details.

Enquetes collectives RPS et anonymisation

Les enquetes collectives sur les RPS (questionnaires Karasek, Siegrist, GHQ) generent des volumes importants de donnees. Le RGPD impose que ces enquetes soient concues pour garantir l’anonymat des repondants. Les questionnaires ne doivent pas comporter de champs permettant l’identification directe ou indirecte des salaries.

L’anonymisation effective suppose de veiller a ce que le croisement des variables sociodemographiques (age, sexe, anciennete, service) ne permette pas de reidentifier un individu. Dans les petits services ou les equipes restreintes, il peut etre necessaire de regrouper les reponses par categories plus larges pour garantir l’anonymat. Un seuil minimal de 10 repondants par categorie est generalement recommande.

Les donnees brutes des enquetes doivent etre detruites une fois l’analyse statistique realisee. Seuls les resultats agreges sont conserves. Si un prestataire externe realise l’enquete, un contrat de sous-traitance conforme a l’article 28 du RGPD doit etre conclu, avec des clauses specifiques sur la destruction des donnees brutes.

Signalements et alertes RPS

Les signalements de situations de souffrance au travail, qu’ils emanent du salarie lui-meme, de collegues ou de representants du personnel, constituent des donnees particulierement sensibles. Le SPST doit mettre en place une procedure de traitement des signalements qui garantit la confidentialite de l’auteur du signalement et de la personne concernee.

Les signalements doivent etre enregistres dans un registre securise, distinct du DMST, avec un acces restreint au medecin du travail et aux personnes habilitees. La traçabilite des actions entreprises suite au signalement doit etre assuree sans compromettre la confidentialite des personnes impliquees.

En cas de danger grave et imminent (risque suicidaire notamment), le medecin du travail peut etre amene a lever partiellement le secret medical pour alerter les secours. Cette levee doit etre strictement proportionnee et documentee. Le RGPD ne fait pas obstacle a la protection de la vie humaine, conformement a l’article 9.2.c.

La gestion des donnees RPS en SPST necessite un cadre rigoureux. DPO France vous aide a structurer vos procedures de signalement et vos enquetes collectives dans le respect du RGPD.

Decouvrir DPO France

Cellules d’ecoute et plateformes d’assistance

De nombreux SPST proposent des cellules d’ecoute ou orientent vers des plateformes d’assistance psychologique. Ces dispositifs generent des donnees de sante mentale qui necessitent un encadrement strict. Si le dispositif est gere en interne, les donnees restent couvertes par le secret medical et integrees au DMST.

Si le dispositif est externalise aupres d’un prestataire, les relations entre le SPST et le prestataire doivent etre formalisees dans un contrat de sous-traitance. Les retours statistiques fournis par le prestataire au SPST doivent etre anonymises. En aucun cas le prestataire ne doit communiquer des informations individuelles au SPST sans l’accord explicite du salarie.

Addictions et donnees de sante au travail

La prise en charge des problematiques d’addiction en milieu professionnel genere des donnees d’une sensibilite particuliere. Le medecin du travail peut etre amene a connaitre des situations de dependance (alcool, substances psychoactives, medicaments) dans le cadre de son suivi. Ces informations sont couvertes par le secret medical le plus strict.

L’avis d’aptitude delivre a l’employeur ne doit jamais mentionner une addiction. Les restrictions eventuelles (interdiction de certains postes a risque) doivent etre formulees en termes de capacites fonctionnelles sans reveler leur cause. Le DMST doit etre organise pour que les informations relatives aux addictions beneficient d’un niveau de protection supplementaire.

Teletravail et RPS : enjeux RGPD specifiques

Le developpement du teletravail a fait emerger de nouvelles formes de RPS : isolement, hyperconnexion, difficulte a separer vie professionnelle et vie privee. Le suivi de ces risques par le SPST souleve des questions RGPD specifiques. Les outils de surveillance du teletravail (logiciels de suivi d’activite, captures d’ecran) ne relevent pas de la competence du SPST mais peuvent etre portes a sa connaissance lors des visites.

Le SPST doit veiller a ne pas devenir un relais de surveillance de l’employeur. Les informations recueillies lors des consultations sur les conditions de teletravail sont couvertes par le secret medical. Les preconisations adressees a l’employeur doivent se limiter a des recommandations generales (droit a la deconnexion, amenagement des horaires) sans reveler les situations individuelles.

Formation et sensibilisation des equipes SPST

La protection des donnees RPS repose en grande partie sur la formation des professionnels du SPST. Chaque intervenant doit comprendre les limites de son droit d’acces aux donnees et les consequences d’une violation de la confidentialite. Les psychologues du travail, les ergonomes et les assistants sociaux intervenant en SPST doivent etre formes aux specificites du RGPD applique aux donnees de sante mentale.

Des scenarios pratiques doivent etre travailles en formation : que repondre a un employeur qui demande les raisons d’un avis d’inaptitude lie a des RPS ? Comment rediger un courrier d’alerte sans compromettre la confidentialite ? Comment gerer une demande d’acces au dossier par un salarie en situation de conflit ? Ces mises en situation preparent les equipes a reagir de maniere conforme dans des situations complexes.

Focus RGPD propose des modules de formation specifiques pour les equipes SPST sur la protection des donnees RPS et le secret medical.

Decouvrir Focus RGPD

Conclusion

La prevention des risques psychosociaux en SPST exige un niveau de protection des donnees maximal. Les informations relatives a la souffrance au travail, aux addictions ou au harcelement comptent parmi les plus sensibles que les SPST sont amenes a traiter. Le respect du secret medical, le cloisonnement des donnees, l’anonymisation des enquetes collectives et la formation des equipes sont les piliers d’une demarche RPS conforme au RGPD. Investir dans cette conformite, c’est aussi renforcer la confiance des salaries envers le SPST et garantir l’efficacite de la prevention.

Laurent de Cavel, DPO certifie

A lire aussi sur le meme sujet :