samedi, décembre 2, 2023
Votre DPO Contacter DPO PARTAGE
AccueilSPSTCertification SPSTiSPSTi : à qui le Service de Prévention en Santé au Travail...
Secteurs d'activitéSPSTCertification SPSTi

SPSTi : à qui le Service de Prévention en Santé au Travail peut-il transmettre des informations collectées relatives aux travailleurs ?

DPO Partagé
By DPO Partagé
0
8
SPSTi peut-il transmettre des informations collectées relatives aux travailleurs
SPSTi peut-il transmettre des informations collectées relatives aux travailleurs

Le Service de Prévention en Santé au Travail (SPSTi) est responsable de la confidentialité et de la sécurité des informations personnelles des travailleurs. La communication de ces informations est strictement encadrée pour prévenir tout accès non autorisé. Les informations ne peuvent être partagées qu’avec des destinataires spécifiques tels que le médecin du travail, certains collaborateurs médicaux, et certains sous-traitants comme l’hébergeur des données de santé.

Deux scénarios se présentent :

DPO PARTAGE
Votre conformité Clés en main.

 

Audit RGPD, Conformité RGPD : Faites-vous accompagner et assurer la conformité RGPD de votre structure par des experts.

  1. Si les informations concernent des données collectées lors de visites médicales ou inscrites dans le dossier médical en santé au travail, leur communication est limitée. Le SPSTi ne peut transmettre ces informations qu’à des entités spécifiques comme l’employeur, notamment pour des aménagements de poste, ou le Groupe d’alerte en santé travail (GAST) dans des situations exceptionnelles. Toute communication doit respecter le droit à la vie privée des travailleurs et ne doit transmettre que les informations nécessaires.
  2. Si la demande d’accès concerne des informations non relatives aux travailleurs suivis par le SPSTi, comme les salariés du SPSTi ou des contacts d’entreprises adhérentes, la légitimité de la demande doit être vérifiée. Certains organismes, comme ceux en charge de l’audit ou du contrôle financier de l’employeur, peuvent y accéder. De même, certains prestataires externes peuvent être destinataires de ces informations.

Enfin, il est essentiel de rappeler que la liste de tous les destinataires doit être consignée dans un registre dédié.

Règles de droit 

Le Service de Prévention en Santé au Travail (SPSTi) est tenu de prendre toutes précautions utiles pour préserver la confidentialité et la sécurité des informations personnelles, notamment en empêchant des personnes non autorisées d’y accéder. Pour plus d’informations, nous vous invitons à consulter le guide pratique consacré aux tiers autorisés (https://www.cnil.fr/sites/default/files/atoms/files/guide_tiers_autorises.pdf).

Exclusivité DPO PARTAGE

Trouver le DPO d'une société

Nouveau service pour trouver le DPO d'une société et lui ecrire pour rectifier vos données.

Annuaiare des DPO

Le respect de ce principe suppose une définition précise des personnes pouvant accéder ou obtenir la communication des informations concernant les travailleurs, également appelées destinataires.

Ce principe s’articule donc avec les règles de déontologie s’imposant aux professionnels de santé, en particulier celles relatives au secret professionnel

ATTENTION !

Un destinataire est une personne ou un organisme qui reçoit les informations personnelles du travailleur, au titre de l’exercice de ses missions. 

Par exemple, le médecin du travail, les collaborateurs médecins, les internes en médecine du travail, les intervenants en prévention des risques professionnels, les sous-traitants tel que l’hébergeur de données de santé assurant la conservation du dossier médical en santé au travail, sont destinataires des informations personnelles des travailleurs présentes dans les dossiers médicaux en santé au travail tenus par les SPSTi. 

En pratique

En fonction du type d’informations personnelles relatives aux travailleurs demandées, deux situations doivent être distinguées. 

  1. La demande de communication porte sur des informations des travailleurs collectées lors des visites médicales obligatoires ou inscrites dans le dossier médical en santé au travail  

Soumis à une obligation de secret professionnel, les membres de l’équipe du SPSTi (médecins, infirmiers, etc.) ne peuvent communiquer d’informations relatives aux travailleurs obtenues dans le cadre de leur activité professionnelle, sauf si la loi prévoit expressément une dérogation

Par exemple, dans le cadre du suivi individuel renforcé du travailleur, le code du travail autorise le SPSTi à transmettre à l’employeur, à l’occasion du renouvellement de l’examen médical d’aptitude, l’avis d’aptitude ou d’inaptitude versé au dossier médical en santé au travail et également remis au travailleur. 

Par ailleurs, avant toute communication d’informations relatives à la santé du travailleur, le SPSTi doit être vigilant afin que la transmission ne porte pas une atteinte disproportionnée au droit au respect de la vie privée des travailleurs. Pour cela, l’équipe du SPSTi veille :

  • à ce que les informations personnelles soient adéquates et pertinentes au regard de l’objectif poursuivi par l’utilisation des informations : dans certaines circonstances, des informations anonymes ou pseudonymisées pourront par exemple être suffisantes pour le destinataire (par exemple : la transmission de la fiche d’entreprise à l’employeur conformément au modèle indiqué dans l’arrêté du 29 mai 1989 nécessite uniquement la transmission d’informations pseudonymisées).
  • à alerter l’organisme destinataire des informations sur la nécessité de ne pas mettre en œuvre une utilisation nouvelle et ultérieure des informations qui serait incompatible avec l’objectif ayant conduit à la transmission.

Peuvent par exemple obtenir communication de certaines informations personnelles :

  • l’employeur du travailleur, notamment pour les propositions d’aménagement de poste formulées par le médecin du travail ;
  • le Groupe d’alerte en santé travail (GAST) en cas d’événements en santé inhabituels c’est-à-dire descas groupés d’une même maladie ou de mêmes symptômes (cancers, malaises, prurit, etc.) ou d’une exposition pouvant avoir un impact sur la santé des travailleurs (relargage de fibres d’amiante suite à l’incendie d’un magasin, émission d’hydrogène sulfuré par des algues en décomposition, etc.).

ATTENTION !

Si l’employeur, autorisé par les textes, est légitime à obtenir la communication de certaines informations, le SPSTi doit veiller à ne communiquer que les informations nécessaires. Aussi, il doit être vigilant quant à la nature et au niveau de détail des informations susceptibles d’être communiquées. 

Par exemple, en cas de nécessité d’aménagement de poste pour un travailleur, seules les préconisations formulées par le SPSTi sont nécessaires à l’employeur et sont, par conséquent, communicables. Les informations relatives à un éventuel diagnostic médical ne peuvent en aucun cas faire l’objet d’une transmission. 

  1. La demande ne porte pas sur des informations relatives aux travailleurs suivis par le SPSTi 

Si la demande d’accès ou de communication porte sur des informations personnelles qui ne sont pas relatives à des travailleurs suivis par le SPSTi (salariés du SPSTi, personnes « contacts » dans les entreprises adhérentes, etc.), il est nécessaire de s’assurer de la légitimité de la demande.

Exemples :

S’agissant des services de santé au travail interentreprises, les entités chargées de l’audit et du contrôle financier de l’organisme employeur peuvent obtenir la communication de certaines informations. De la même manière, les différents prestataires auxquels l’organisme employeur est susceptible de sous-traiter la gestion de certaines activités (hébergeur de données de santé, restauration collective, vote électronique, archivage des documents, tenue des comptes d’épargne, etc.) peuvent être destinataires d’informations personnelles. 

Le tableau ci-dessous rappelle le raisonnement à tenir dans une telle situation. 

pastedGraphic.png

Pour rappel, la liste de l’ensemble des destinataires doit figurer dans la fiche de registre des traitements dédiée.

Pour aller plus loin

  1. La demande de communication vise-t-elle des informations relatives à la santé du travailleur ?
    Oui, si la demande porte sur des données collectées lors de visites médicales ou inscrites dans le dossier médical en santé au travail.
  2. Si oui, une disposition législative permet-elle de déroger au secret professionnel en fournissant les informations à l’interlocuteur ?
    Oui, dans certains cas, la loi prévoit des dérogations. Par exemple, dans le cadre du suivi individuel renforcé du travailleur, le code du travail autorise le SPSTi à transmettre à l’employeur l’avis d’aptitude ou d’inaptitude.
  3. La demande de communication d’informations est-elle légitime si elle n’est pas prévue par un texte ?
    Non, toute communication d’informations relatives à la santé des travailleurs doit être strictement encadrée par la loi. Si la demande n’est pas expressément prévue par un texte législatif, elle n’est généralement pas légitime.
  4. Quelles informations apparaissent pertinentes ? Est-il possible de transmettre des informations anonymisées ou d’un niveau de détail moindre ?
    Les informations transmises doivent être adéquates et pertinentes par rapport à l’objectif poursuivi. Dans certains cas, des informations anonymes ou pseudonymisées peuvent être suffisantes pour le destinataire. Par exemple, la transmission de la fiche d’entreprise à l’employeur peut se faire avec des informations pseudonymisées.
  5. Les destinataires sont-ils mentionnés dans la fiche de registre des activités de traitements dédiée ?
    Oui, la liste complète des destinataires des informations doit être consignée dans la fiche de registre des traitements dédiée.

Références

Article précédent
SPSTI : Comment le Service de Prévention en Santé au Travail informe-t-il les personnes concernées de l’utilisation de leurs informations personnelles ?
Article suivant
SPSTi : Quelle est la durée de conservation des fichiers constitués par le Service de Prévention en Santé au Travail ?
DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90
Vous pouvez aimer

Derniers articles

Derniers commentaires

Protégez-vous contre les Arnaques code QR malveillants on Safeonweb, l’outil belge de lutte contre les arnaques en ligne: plus de 650 000 liens suspects bloqués en 2022
Charte informatique et RGPD : Protéger l... on La mise en place d’une charte informatique : pourquoi ?
Captation d'un match de football RGPD | DPO PAR... on Captation d’un match de football de Nationale 2 ou Nationale 3
Le RGPD et la GED (Gestion électronique ... on Le RGPD et la GED (Gestion électronique des documents)
DPO et SPST: garantir la sécurité des données on Désignation d’un DPO en SPST – Services de prévention et de santé au travail

Actualités DPO PARTAGE

Articles populaires

Catégories populaire

A propos de DPO PARTAGE

DPO PARTAGE est une société de DPO externalisé spécialisé dans la donnée sensible. Confiez nous votre conformité appeler nous au 01 83 64 42 98 7J/7 service dédié violation de données.

Nous contacter : contact@dpo-partage.fr

Nous suivre

© DPO Partage 2023, reproduction interdite

DPO PARTAGE L'actualité RGPD en temps réel, ne manquez rien. Inscrivez-vous maintenant. Non Oui