SPSTI : Comment le Service de Prévention en Santé au Travail informe-t-il les personnes concernées de l’utilisation de leurs informations personnelles ?

SPSTi informer les salariés suivis

• Le SPSTi doit fournir une information complète, concise, transparente, compréhensible et aisément accessible aux personnes concernées (travailleurs, salariés, etc.).
• L’objectif est de permettre à la personne de maîtriser ses informations personnelles et de faciliter l’exercice de ses droits.
• Les travailleurs doivent être informés lors d’une collecte directe ou indirecte d’informations. Dans le cas d’une collecte indirecte, l’information doit être fournie dans un délai d’un mois.
• Les travailleurs doivent également être informés en cas de modification substantielle des modalités d’utilisation ou en cas d’événement particulier (divulgation d’informations, par exemple).

En pratique

• Le SPSTi doit adapter les modalités d’information à la personne concernée. Par exemple, si la personne a une altération cognitive, l’information doit être fournie dans un langage compréhensible.
• Le SPSTi peut fournir un document précisant toutes les informations relatives à la gestion du dossier médical en santé au travail.

Exemple de notice d’information

• La notice doit indiquer pourquoi et comment les informations sont utilisées, qui peut y accéder, et comment exercer ses droits en matière de protection des données.

Règles de droit 

Le Service de Prévention en Santé au Travail (SPSTi) doit fournir une information à la fois complète, concise, transparente, compréhensible et aisément accessible aux personnes concernées (par exemple : travailleurs, salariés et adhérents des SPSTi interentreprises, etc.) afin que ces dernières comprennent l’objectif poursuivi et les modalités pratiques de l’utilisation des informations personnelles. 

Cette obligation de transparence doit permettre à la personne concernée de garder la maîtrise de ses informations personnelles et de faciliter l’exercice de ses droits.

Pour ce qui concerne les travailleurs, ceux-ci doivent être informés, qu’il s’agisse :

• d’une collecte directe des informations : lorsque le SPSTi recueille directement auprès du travailleur des informations (ex. : données collectées lors d’une consultation de suivi du travailleur). Le SPSTi fournit alors les diverses informations au travailleur concerné au moment de leur recueil ;

• ou d’une collecte indirecte d’informations : lorsque les informations ne sont pas recueillies directement auprès du travailleur. Par exemple, des informations sont récupérées auprès de l’employeur lorsque celui-ci, ayant connaissance de la date de la fin de l’arrêt de travail, saisit le SPSTi pour qu’il organise la visite de reprise après un congé maternité, une absence pour cause de maladie professionnelle ou une absence d’au moins trente jours pour cause d’accident du travail, de maladie ou d’accident non professionnel. Dans cette situation, le SPSTi informe les travailleurs concernés dès que possible et au plus tard dans un délai d’un mois. 

Les travailleurs doivent également être informés dans le cas où :

• les modalités pratiques d’utilisation des informations personnelles sont  modifiés de manière substantielle (par exemple : nouvel objectif, nouveau destinataire) ;
• un événement particulier a eu lieu (par exemple : divulgation d’informations personnelles).

En pratique

Le SPSTi doit fournir diverses informations aux personnes dont les informations personnelles sont traitées : 

L’information fournie aux personnes concernées doit par ailleurs remplir trois conditions. Elle doit ainsi être :

Exemple :

Le SPSTi peut fournir un document précisant l’ensemble des informations relatives à la gestion du dossier médical en santé au travail en même temps que la fiche de renseignement à compléter préalablement au rendez-vous avec le médecin du travail lors de la première visite, puis lors des visites suivantes si les modalités d’utilisation ont fait l’objet de modifications substantielles. 

ATTENTION !

Cette obligation de transparence doit se traduire par une adaptation des modalités d’information à la personne concernée. 

Cela signifie par exemple que si le SPSTi est amené à prendre en charge des travailleurs ayant une altération cognitive, il doit procéder à leur information dans un langage compréhensible et selon des modalités appropriées à leur situation personnelle. 

Lors de la rédaction de cette mention d’information, il peut s’inspirer du modèle suivant :

Exemple de notice d’information à utiliser pour la tenue et la gestion du dossier médical de santé au travail

NB : cet exemple doit être adapté aux spécificités du fichier envisagé. 

Les informations recueillies via la fiche de renseignement remplie préalablement au rendez-vous médical puis lors des échanges avec les membres du Service de Prévention en Santé au Travail sont utilisées par [nom et coordonnées du responsable du fichier]. 

Pour quelles raisons vos informations personnelles sont-elles utilisées ? 

Les informations personnelles sont utilisées pour :

• compléter, constituer et gérer le dossier médical de santé au travail ;
• permettre au Service de Prévention en Santé au Travail de rédiger la fiche d’entreprise qui est un document informant l’employeur des risques professionnels et des effectifs des travailleurs qui y sont exposés, ainsi que des moyens de prévention mis en œuvre ou préconisés.

La tenue du dossier médical en santé au travail ainsi que la rédaction de la fiche d’entreprise sont obligatoires. 

Quelle est la durée de conservation des informations ? 

information à prendre auprès de votre DPO.

Qui peut recevoir communication des informations ? 

Seuls ont accès aux informations figurant dans votre dossier médical l’équipe du Service de Prévention en Santé au Travail et les Groupes d’alerte en santé travail, en charge d’organiser la réponse aux signalements d’événements sanitaires inhabituels survenant en milieu professionnel. 

L’employeur peut également recevoir communication de certaines d’informations dans le respect du secret médical. Ainsi, il peut obtenir communication des avis et propositions de mesures individuelles d’aménagement des conditions de travail que le SPSTi émet consécutivement à l’évaluation de l’état de santé du travailleur telles que les avis d’aptitude ou d’inaptitude, les mesures individuelles d’aménagement d’un poste. En revanche, il ne peut pas accéder aux éléments médicaux présents dans votre dossier médical justifiant les avis et propositions formulés par le SPSTi.

Quels sont vos droits et comment les exercer ?

Vous pouvez accéder aux informations personnelles vous concernant, les rectifier ou exercer votre droit à la limitation de l’utilisation de vos informations personnelles. 

Pour toute question relative à la protection de vos informations personnelles ou pour exercer vos droits, vous pouvez contacter le délégué à la protection des données (DPO) de [identité du responsable du fichier à mentionner] à l’adresse suivante : [courriel du DPO ou adresse postale à renseigner].

Pour plus d’informations sur l’utilisation de vos informations personnelles, nous vous invitons à consulter notre politique de confidentialité disponible à l’adresse suivante : [adresse de la politique de confidentialité du site web du SPSTi ou de l’employeur]

Si vous estimez, après avoir contacté [nom du responsable du fichier], que vos droits « informatique et libertés » ne sont pas respectés, vous pouvez adresser une réclamation en ligne à la CNIL . 

En parallèle, si l’employeur dispose d’un intranet dans lequel sont répertoriés l’ensemble des documents relatifs à la gestion des ressources humaines, un item relatif à la santé au travail pourrait utilement intégrer les éléments d’information relatifs à l’utilisation des informations personnelles dans ce cadre. 

Afin de fournir une information concise et accessible, elle peut être fournie à en deux étapes, c’est-à-dire en priorisant les informations essentielles (identité du responsable du fichier, objectif poursuivi par cette utilisation et droits des personnes) et en offrant un accès simple aux autres caractéristiques pratiques comme par exemple un renvoi à un document consultable en ligne ou la possibilité de disposer d’une information complète mise à disposition dans les services du SPSTi.  

A NOTER !

Quelle que soit la catégorie de personnes concernées (travailleurs, salariés du SPSTi, contacts des SPSTiI au sein des entreprises adhérentes, prestataires externes, etc.), le SPSTi doit faire preuve de transparence et fournir une notice d’information dès lors que des informations personnelles font l’objet d’une utilisation. 

Par exemple, les salariés du SPSTiI doivent connaître les caractéristiques pratiques de l’utilisation de leurs informations personnelles dans le cadre de la gestion des ressources humaines : gestion de la paie, gestion de l’action sociale ou encore restauration collective. 

Pour aller plus loin

Selon le texte, le Service de Prévention en Santé au Travail (SPSTi) a l’obligation de fournir une information complète, concise, transparente, compréhensible et aisément accessible aux personnes concernées. Cela inclut les travailleurs, les salariés et les adhérents des SPSTi interentreprises, entre autres. Le texte indique que les travailleurs doivent être informés lors d’une collecte directe ou indirecte d’informations, et que cette information doit être fournie dans un délai d’un mois en cas de collecte indirecte.

Le texte précise également que le SPSTi doit adapter les modalités d’information à la personne concernée. Par exemple, si la personne a une altération cognitive, l’information doit être fournie dans un langage compréhensible. De plus, un exemple de notice d’information est fourni, qui détaille les raisons de l’utilisation des informations, la durée de conservation, et les droits des personnes concernées.

Références

• Articles 12, 13 et 14 du RGPD
• Lignes directrices du CEPD sur la transparence, adoptées le 29 novembre 2017 (version révisée et adoptée le 11 avril 2018).