Le Règlement général sur la protection des données (RGPD) s’applique aux traitements de données à caractère personnel qui sont effectués dans le cadre de l’exercice d’une activité de l’Union ou d’une activité prévue par le droit de l’Union. En tant que service de santé au travail, vous êtes tenu de respecter les dispositions du RGPD lorsque vous traitez des données à caractère personnel des salariés, y compris lorsque vous envoyez des rappels de rendez-vous par SMS.
Dans le contexte des SPST, l’envoi de rappels de rendez-vous par SMS pourrait être considéré comme relevant de l’intérêt légitime. Cette approche nécessite cependant une évaluation minutieuse pour s’assurer que les intérêts légitimes du SPST (comme la gestion efficace des rendez-vous et la réduction des absences) ne portent pas atteinte aux droits et libertés des salariés concernés.
DPO PARTAGE – Conformité RGPD Clé en main pour les SPSTI
Accéder à notre Application RGPD
Pour utiliser l’intérêt légitime comme base du traitement des données, il est recommandé de :
- Évaluer les Besoins et les Impacts : Réaliser une analyse d’impact sur la protection des données (AIPD) pour évaluer si l’envoi de SMS peut légitimement être considéré comme nécessaire et proportionné aux objectifs poursuivis.
- Assurer la Transparence : Informer clairement les salariés de cette pratique, y compris la nature des messages envoyés, les raisons de leur envoi et la manière dont leurs données seront traitées et protégées.
- Garantir un Droit d’Opposition : Offrir aux salariés la possibilité de s’opposer facilement à l’envoi de ces SMS, en ligne avec les droits accordés par le RGPD.
- Sécuriser les Données : Prendre toutes les mesures nécessaires pour garantir la sécurité des données personnelles traitées, en évitant notamment de divulguer des informations sensibles dans les SMS.
- Réexaminer Régulièrement la Pratique : Revoir périodiquement cette pratique pour s’assurer qu’elle reste conforme aux exigences du RGPD et adaptée aux besoins des salariés.
En l’espèce, il est probable que le traitement des données à caractère personnel des salariés pour l’envoi de rappels de rendez-vous par SMS sera nécessaire à l’exécution d’un contrat auquel le titulaire de données est partie, ou à la mise en œuvre de mesures précontractuelles prises à la demande du titulaire de données.
Pour les SPST, cela implique une attention particulière à la manière dont les rappels de rendez-vous sont gérés.
Cela étant, il serait recommandé de demander le consentement des salariés pour l’envoi de rappels de rendez-vous par SMS, afin de respecter les dispositions du RGPD et de garantir la transparence et la loyauté dans les traitements de données à caractère personnel. (Attention : Comment avez vous obtenu le numéro de téléphone du salarié ? si l’employeur vous le communique, il faut s’assurer que c’est bien le numéro de téléphone su salarié).
Si vous n’avez pas la certitude que le numéro est celui du salarié (il vous l’a communiqué lui-même), vous ne pouvez communiquer que sur les rendez-vous obligatoires.
Exemple de demande de consentement : SPST envoyer rappel de rendez-vous par sms
“Bonjour, [Nom SPST] ici. Pour recevoir des SMS de rappel de RDV, merci de confirmer votre accord. Répondez OUI pour accepter, NON pour refuser. Vous pouvez retirer ce consentement à tout moment. Infos & désinscription : [email/numéro]. Merci !”
En général, l’envoi de SMS de confirmation de rendez-vous médical ne constitue pas de la prospection commerciale et ne nécessite donc pas de stop SMS. Cependant, il est important de respecter les lois et réglementations en vigueur en matière de protection de la vie privée et de confidentialité des données, il faut se rapprocher de votre DPO sur ce point qui ne peut être généralisé.
ATTENTION : Le cas DOCTOLIB en 2020
Doctolib, une plateforme de prise de rendez-vous en ligne pour les professionnels de santé, a été condamnée en 2020 par la Commission nationale de l’informatique et des libertés (CNIL) pour avoir envoyé des SMS à des patients sans leur consentement explicite.
Selon la CNIL, Doctolib avait envoyé des SMS de rappel de rendez-vous à des patients sans avoir obtenu leur consentement préalable, en se fondant sur le fait que ces patients avaient accepté de recevoir des communications par SMS lors de l’inscription sur la plateforme. Toutefois, la CNIL a considéré que cette acceptation ne constituait pas un consentement valable au sens du RGPD, car elle n’était pas suffisamment explicite et n’avait pas été donnée de manière distincte des autres clauses. La CNIL a donc condamné Doctolib à une amende de 50 000 euros pour manquement au RGPD.
Il convient de noter que le RGPD prévoit que les traitements de données à caractère personnel ne peuvent être effectués que si l’une des conditions suivantes est remplie : le titulaire de données a donné son consentement exprès à la collecte et au traitement de ses données à caractère personnel ; le traitement est nécessaire à l’exécution d’un contrat auquel le titulaire de données est partie ; ou le traitement est nécessaire aux fins de l’intérêt légitime poursuivi par le responsable du traitement ou par un tiers. Le consentement doit être librement donné, spécifique, éclairé et univoque, et le titulaire de données doit être en mesure de retirer son consentement à tout moment.
En cas de manquement à ces dispositions, les responsables de traitements de données à caractère personnel peuvent être condamnés à des sanctions financières et administratives.