SPST interentreprises : mutualisation et protection des donnees
Les Services de Prevention et de Sante au Travail Interentreprises (SPSTI) assurent le suivi de millions de salaries en France. Cette mutualisation entre de nombreux employeurs adherents genere des enjeux RGPD specifiques : comment garantir la separation des donnees entre adherents ? Quelles responsabilites pour le SPSTI en tant que responsable de traitement ? Comment gerer les flux de donnees dans un ecosysteme multi-acteurs ? Ce guide apporte les reponses essentielles.
Le SPSTI comme responsable de traitement
Le SPSTI est responsable de traitement au sens du RGPD pour l’ensemble des donnees de sante qu’il collecte et traite dans le cadre de ses missions. Cette qualification implique qu’il determine les finalites et les moyens du traitement, independamment des souhaits de ses employeurs adherents. L’employeur adherent n’est pas responsable conjoint du traitement des donnees medicales de ses salaries par le SPSTI.
Cette independance du SPSTI dans le traitement des donnees est essentielle. Elle garantit que les decisions relatives a la collecte, au stockage et a l’utilisation des donnees de sante sont prises par des professionnels de sante, dans l’interet exclusif de la sante des salaries. L’employeur ne peut imposer au SPSTI des modalites de traitement des donnees contraires au RGPD ou au secret medical.
Le SPSTI doit designer un Delegue a la Protection des Donnees (DPO), obligatoire en raison du traitement a grande echelle de donnees de sante (article 37.1.c du RGPD). Ce DPO doit disposer des moyens necessaires pour exercer ses missions au regard de la complexite de l’organisation et du volume de donnees traitees.
Separation des donnees entre adherents
La mutualisation ne signifie pas le partage des donnees. Le SPSTI doit garantir une etancheite totale entre les donnees des salaries des differents employeurs adherents. Un employeur ne doit jamais pouvoir acceder aux donnees des salaries d’un autre employeur, meme de maniere indirecte (statistiques trop detaillees, listes de salaries, rapports d’activite nominatifs).
Le systeme d’information du SPSTI doit etre configure pour assurer ce cloisonnement. Les portails employeurs mis a disposition des adherents doivent etre strictement limites aux salaries de l’entreprise concernee. Les extractions de donnees et les rapports statistiques doivent etre filtres par adherent, avec des controles automatiques empechant tout debordement.
Les equipes du SPSTI intervenant sur plusieurs adherents doivent etre sensibilisees au risque de croisement d’informations. Un medecin du travail suivant des salaries de plusieurs entreprises doit veiller a ne pas communiquer, meme involontairement, des informations relatives a un adherent dans le cadre d’une intervention pour un autre.
Portail adherent et donnees accessibles a l’employeur
De nombreux SPSTI proposent des portails en ligne permettant aux employeurs de gerer les convocations, consulter les avis d’aptitude et suivre les indicateurs de sante au travail. Ces portails doivent etre concus dans le respect du principe de minimisation : l’employeur n’accede qu’aux donnees administratives strictement necessaires.
Les informations accessibles via le portail se limitent generalement a la liste des salaries et leur calendrier de suivi, les convocations aux visites medicales, les avis d’aptitude ou d’inaptitude (sans mention du diagnostic), les fiches d’entreprise et les attestations de suivi. Toute donnee medicale est exclue du portail.
L’authentification au portail doit etre robuste (mot de passe complexe, double authentification si possible) et les acces traces. Les habilitations doivent etre geres de maniere rigoureuse : un referent RH qui quitte l’entreprise doit voir ses acces revoques immediatement. Le SPSTI doit prevoir des procedures de revue periodique des acces.
Sous-traitance et prestataires du SPSTI
Les SPSTI font appel a de nombreux sous-traitants : editeurs de logiciels metier, hebergeurs HDS, prestataires de maintenance informatique, laboratoires d’analyses, organismes de formation. Chaque sous-traitant ayant acces a des donnees personnelles doit etre encadre par un contrat conforme a l’article 28 du RGPD.
Le contrat de sous-traitance doit preciser la nature et la finalite du traitement, les categories de donnees traitees, les mesures de securite a mettre en oeuvre, les conditions de sous-traitance ulterieure, les modalites d’exercice des droits des personnes et les conditions de restitution ou de suppression des donnees a la fin du contrat.
Le SPSTI doit auditer regulierement ses sous-traitants pour verifier le respect effectif de leurs engagements. La certification HDS des hebergeurs doit etre valide et couvrir les activites concernees. Les prestataires de maintenance doivent disposer de procedures garantissant qu’ils n’accedent pas aux donnees de sante lors de leurs interventions techniques.
Transfert de donnees en cas de changement d’adherent
Lorsqu’un employeur change de SPSTI, la question du transfert des donnees se pose. Les DMST des salaries peuvent etre transferes au nouveau SPSTI avec l’accord des salaries concernes. Ce transfert doit se faire de maniere securisee (chiffrement, canal de transmission securise) et tracee.
Le SPSTI d’origine ne doit conserver qu’une copie d’archive des DMST, necessaire pour repondre aux eventuelles demandes ulterieures (contentieux, maladies professionnelles a revelation tardive). Cette copie doit etre archivee avec des droits d’acces restreints et dans le respect des durees de conservation reglementaires.
Les donnees administratives (historique des visites, facturation) suivent des regles de conservation differentes. Le SPSTI d’origine conserve les donnees de facturation selon les obligations comptables (10 ans) et les donnees de suivi selon les durees reglementaires applicables.
Rapport annuel d’activite et anonymisation
Les SPSTI doivent produire un rapport annuel d’activite comprenant des statistiques sur la sante des salaries suivis. Ce rapport, communique aux adherents, aux autorites de tutelle et aux partenaires sociaux, doit etre elabore a partir de donnees anonymisees. L’anonymisation doit etre suffisamment robuste pour empecher toute reidentification, y compris par croisement de variables.
Pour les rapports destines a un adherent specifique, le risque de reidentification est plus eleve lorsque l’effectif est faible. Un SPSTI qui produit un rapport statistique pour une PME de 20 salaries doit veiller a ce que les categories utilisees (tranche d’age, service, type de pathologie) ne permettent pas d’identifier un individu. Il peut etre necessaire de regrouper certaines categories ou de ne pas detailler certains indicateurs.
Gouvernance des donnees au sein du SPSTI
La gouvernance des donnees au sein d’un SPSTI doit etre formalisee dans une politique de protection des donnees. Cette politique definit les roles et responsabilites, les procedures de traitement, les mesures de securite, les regles d’acces et les modalites de controle. Elle doit etre validee par la direction du SPSTI et communiquee a l’ensemble du personnel.
Un comite de gouvernance des donnees, associant la direction, le DPO, le RSSI et des representants des equipes medicales, doit se reunir regulierement pour examiner les incidents, les evolutions reglementaires et les projets impactant les donnees personnelles. Ce comite constitue l’instance de decision pour les questions de protection des donnees au sein du SPSTI.
Conclusion
Les SPSTI font face a des enjeux RGPD complexes lies a la mutualisation des services entre de nombreux employeurs. La separation stricte des donnees entre adherents, la gestion rigoureuse des sous-traitants, la securisation des portails et l’anonymisation des statistiques sont des imperatives de conformite. En investissant dans une gouvernance des donnees structuree et des outils adaptes, les SPSTI peuvent remplir leur mission de prevention tout en garantissant le plus haut niveau de protection des donnees de sante des salaries qu’ils suivent.
Laurent de Cavel, DPO certifie
