lundi, septembre 25, 2023
Votre DPO Contacter DPO PARTAGE
AccueilSecteurs d'activitéSPSTi pour quelles finalités peut il utiliser des données personnelles ?
Secteurs d'activitéSPST

SPSTi pour quelles finalités peut il utiliser des données personnelles ?

DPO Partagé
By DPO Partagé
0
10
SPSTi pour quelles finalités peut il utiliser des données personnelles
SPSTi pour quelles finalités peut il utiliser des données personnelles

Le Service de Prévention en Santé au Travail (SPSTi), lorsqu’il est responsable d’un fichier ou d’une base de données (responsable de traitement), doit identifier la raison pour laquelle il souhaite les utiliser. SPSTi pour quelles finalités peut-il utiliser des données personnelles ? Il s’agit d’identifier l’objectif poursuivi par l’utilisation des informations c’est-à-dire l’objet du fichier en définissant précisément ce à quoi elle doit servir, et ce avant de commencer à utiliser des informations relatives à un travailleur.

Le SPSTi ne doit recueillir d’informations personnelles, notamment sur les travailleurs (ex : informations de santé, conditions d’exercice de l’activité professionnelle telles que les horaires, le statut du travailleur, l’organisation de l’équipe, l’exposition à certains risques, etc.) que pour des finalités déterminées, explicites et légitimes.  

DPO, notre Intelligence Artificielle, vous accompagne

 

Spécial DPO - Notre iA vous aide à mettre en place votre conformité RGPD, elle répond à toutes vos questions et problèmatiques RGPD, Sécurité informatique... Un iA spécialement programmée.

  • L’objectif poursuivi par l’utilisation des informations personnelles doit être défini en amont

La détermination de l’objectif poursuivi par le SPSTi doit toujours être réalisée avant l’utilisation des informations relatives aux travailleurs. Cet objectif permet de :

  • déterminer la nature et l’étendue des informations relatives aux travailleurs qui peuvent être utilisées, ainsi que le moment de la collecte : seules les informations adéquates et strictement nécessaires pour atteindre l’objectif invoqué pourront être collectées ;
  • fixer les durées de conservation des informations collectées : en fonction de la finalité du fichier, les informations collectées pourront être conservées plus ou moins longtemps. Par exemple, une durée de conservation distincte sera utilisée pour le dossier médical en santé au travail (DMST) et pour le fichier utilisé dans le cadre d’une recherche menée sur les troubles musculo-squelettiques. 

L’objectif fixé par le SPSTi pour l’utilisation des informations personnelles des travailleurs doit être respecté tout au long de leur utilisation.

  • L’objectif poursuivi doit être déterminé 

L’objectif de la collecte des informations personnelles doit être défini avec suffisamment de précision. Il ne doit pas y avoir de buts cachés, ni de collecte d’informations « au cas où » qui pourraient être utiles à des objectifs non encore définis. 

Exclusivité DPO PARTAGE

Vos questions sur le RGPD

Gratuitement, poser vos questions sur la conformité RGPD.
Une réponse dans la journée à votre problématique.

Poser ma question

Exemple :

Concernant l’utilisation des informations personnelles ayant pour objectif la gestion du DMST, si le SPSTi se contente d’informer les travailleurs que ce « traitement est mis en œuvre à des fins d’intérêt légitime », il ne s’agit pas d’un objectif déterminé puisqu’il ne définit pas précisément l’objectif poursuivi (en l’occurrence la gestion du dossier médical). 

  • L’objectif poursuivi doit être explicite

Dès lors que le SPSTi utilise des informations personnelles, l’objectif poursuivi doit être énoncé en des termes clairs, simples et compréhensibles.

Ainsi, le SPSTi doit expressément indiquer ce pourquoi il collecte les informations des travailleurs quand bien même cet objectif pourrait être considéré comme évident. 

L’objet de la collecte des informations personnelles doit en effet être portée à la connaissance des travailleurs pour leur permettre de comprendre ses caractéristiques. Le travailleur doit ainsi être en mesure de savoir quelles sont les utilisations possibles de ses informations personnelles par le SPSTi dans le cadre des fichiers et base de données déployés.

Cette description de la finalité de la collecte des informations est par ailleurs nécessaire pour la tenue du registre des activités de traitement listant les fichiers et les bases de données utilisées par les SPSTi. Pour plus d’informations sur ce registre, nous vous invitons à consulter la fiche n° 6.

Exemple :

Si le SPSTi se contente d’informer les travailleurs que « des traitements sont mis en œuvre pour l’exercice des missions du Service de Prévention en Santé au Travail », il ne s’agit pas d’un objectif explicitement énoncé puisqu’il ne permet pas aux travailleurs de comprendre l’objectif poursuivi par les traitements constitués. 

A l’inverse, si les travailleurs sont informés que les informations personnelles sont utilisées par le SPSTi en vue de la rédaction de la fiche d’entreprise recensant les risques professionnels et les effectifs des salariés exposés, l’objectif poursuivi par le SPSTi est explicite et permet aux travailleurs de comprendre pour quelles raisons les informations sont utilisées.

  • SPSTi pour quelles finalités peut-il utiliser des données personnelles : L’objectif poursuivi par le SPSTi doit être légitime 

La légitimité de l’objectif poursuivi par le SPSTi en créant un fichier s’apprécie par rapport à l’ensemble de la législation applicable au fichier mis en œuvre. Cet objet du fichier ne sera ainsi pas légitime s’il porte atteinte notamment à une réglementation spécifique (loi, décret, arrêté) ou à une liberté fondamentale. 

A l’inverse, on peut présumer que l’objectif est légitime dès lors que les informations personnelles sont utilisées pour répondre à une obligation imposée par une loi ou une réglementation ou qu’elle correspond aux missions du responsable du fichier, notamment dans le secteur public.

Exemple :

Lors d’une restructuration entraînant la suppression de postes, l’élaboration d’une liste nominative des travailleurs identifiés comme « fragiles » par les SPSTi en vue de la transmettre à l’employeur ne peut pas être considérée comme un objectif légitime. Le rôle du SPSTi se borne en effet à veiller à ce que la santé des travailleurs ne se détériore pas. La communication d’une telle liste supposerait une violation du secret professionnel par le médecin du travail. 

En pratique

Un SPSTi peut utiliser des informations personnelles pour des raisons multiples. L’utilisation de ces informations pourra répondre à des objectifs très spécifiques telles que : 

  • Gérer le DMST : lors de la visite d’information et de prévention, un DMST est ouvert par le professionnel de santé du SPSTi. Il retrace, dans le respect du secret médical, les informations relatives à l’état de santé du travailleur, aux expositions auxquelles il a été soumis ainsi que les avis et propositions concernant les mesures individuelles d’aménagement, d’adaptation ou de transformation du poste de travail ou des mesures d’aménagement du temps de travail. Pour plus d’informations sur le DMST, nous vous invitons à consulter la fiche n° 5.
  • Renseigner le dossier consacré à l’entreprise constituénotamment pour rédiger la fiche d’entreprise et mener toutes les actions en lien avec les missions imparties au SPSTi (conduite des actions en santé au travail, actions menées pour diminuer les risques professionnels, etc.) : le médecin du travail ou l’équipe pluridisciplinaire établit et met à jour une fiche sur laquelle figurent notamment les risques professionnels et les effectifs des travailleurs qui y sont exposés. La fiche d’entreprise est susceptible de contenir des informations personnelles pseudonymisées des travailleurs concernés. Pour plus d’informations sur la notion de données à caractère personnel pseudonymisées, nous vous invitons à consulter le glossaire.
  • Gérer, au plan des ressources humaines, les salariés du SPSTi : les SPSTi interentreprises disposent pour fonctionner de leurs propres salariés, ce qui implique l’utilisation d’informations personnelles dans un fichier spécifique pour répondre à cet objectif.
  • Assurer l’administration du SPSTi telle que l’organisation des instances, la gestion des relations avec le comité économique et social, etc. 
  • Réaliser des recherches, études et enquêtes : le médecin du travail participe, notamment en liaison avec le médecin inspecteur du travail, à toutes recherches, études et enquêtes, en particulier à caractère épidémiologique, entrant dans le cadre de ses missions. Il peut à ce titre réutiliser les informations personnelles figurant dans le DMST. Pour plus d’informations sur les recherches, études et enquêtes, nous vous invitons à consulter la fiche n° 3.

Les informations recueillies sur les travailleurs par les SPSTi (par exemple à l’occasion des visites d’information et de prévention, de pré-reprise et de reprise du travail, de suivi individuel renforcé, etc.) et qui sont inscrites dans le DMST – notamment les informations de santé et celles en lien avec leurs conditions de travail – seront très souvent réutilisées par les SPSTi pour répondre à l’exercice de leurs missions telles le que le suivi et la traçabilité des expositions professionnelles, la veille sanitaire, etc. 

Cette réutilisation est possible sous réserve de respecter l’objectif initial poursuivi par le SPSTi. Les informations recueillies par le SPSTi pour un objectif déterminé ne peuvent en effet pas être réutilisées pour un autre objectif qui serait incompatible, c’est-à-dire fondamentalement différent ou sans lien avec le but initialement poursuivi par l’utilisation.

Exemple :

La réutilisation des informations ayant trait à la santé des travailleurs est compatible avec l’objectif de participer à des enquêtes épidémiologiques.

Pour s’en assurer, le SPSTi doit effectuer une analyse de compatibilité. Cette analyse devra prendre en compte les éléments suivants : 

  • l’existence d’un lien éventuel entre l’objectif initial de l’utilisation des informations et celui  envisagé ;
  • le contexte dans lequel les informations sont collectées ;
  • la nature des informations personnelles recueillies (en particulier si des catégories particulières d’informations personnelles – informations de santé, informations relatives à l’appartenance syndicale, informations concernant la vie ou l’orientation sexuelle du travailleur – sont collectées) ;
  • les conséquences possibles de l’utilisation ultérieure des informations pour les personnes concernées (majoritairement les travailleurs) ;
  • les garanties mises en place pour assurer la sécurité des informations (par exemple le chiffrement des informations ou la pseudonymisation). 

ATTENTION !

En cas de réutilisation des informations pour une finalité ultérieure qui serait compatible avec la finalité initiale, le SPSTi devra en informer le travailleur avant la mise en œuvre du nouveau fichier. Le travailleur devra être en mesure de s’y opposer, le cas échéant.

Liste des questions à se poser 

Pour chaque fichier que le SPSTi met en œuvre, il devra se poser les questions suivantes :

  • l’objectif poursuivi par l’utilisation des informations personnelles du fichier est-il déterminé, explicite et légitime ?
  • les informations recueillies sur les travailleurs pour répondre à cet objectif sont-elles réutilisées pour répondre à un autre but (ex. : la recherche) ? Si oui, une analyse de compatibilité a-t-elle été réalisée ?
  • la démarche de conformité du SPSTi a-t-elle été documentée ?

Références

  • Articles 5 et 6.4 du RGPD
  • Articles L. 4624-8, R. 4624-26 et R. 4624-46 du code du travail
Article précédent
Guide pratique RGPD pour les agences immobilières : protégez les données personnelles de vos clients grâce à ce livre indispensable
Article suivant
Conformité RGPD agence immobilière : “WORKBOOK RGPD – Conformité Agences immobilières”
DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90
Vous pouvez aimer

Derniers articles

Derniers commentaires

Protégez-vous contre les Arnaques code QR malveillants on Safeonweb, l’outil belge de lutte contre les arnaques en ligne: plus de 650 000 liens suspects bloqués en 2022
Charte informatique et RGPD : Protéger l... on La mise en place d’une charte informatique : pourquoi ?
Captation d'un match de football RGPD | DPO PAR... on Captation d’un match de football de Nationale 2 ou Nationale 3
Le RGPD et la GED (Gestion électronique ... on Le RGPD et la GED (Gestion électronique des documents)
DPO et SPST: garantir la sécurité des données on Désignation d’un DPO en SPST – Services de prévention et de santé au travail

Actualités DPO PARTAGE

Articles populaires

Catégories populaire

A propos de DPO PARTAGE

DPO PARTAGE est une société de DPO externalisé spécialisé dans la donnée sensible. Confiez nous votre conformité appeler nous au 01 83 64 42 98 7J/7 service dédié violation de données.

Nous contacter : contact@dpo-partage.fr

Nous suivre

© DPO Partage 2023, reproduction interdite

DPO PARTAGE L'actualité RGPD en temps réel, ne manquez rien. Inscrivez-vous maintenant. Non Oui