SPSTi : Quelle formalité effectuer avant la mise en œuvre d’un traitement de données à caractère personnel (fichier, base de données) ?

• Le RGPD a simplifié les formalités préalables, mais en contrepartie, il exige une documentation complète pour démontrer la conformité à tout moment.

Actions à entreprendre :

1. Inscription des fichiers au registre des activités de traitement : Ce registre doit contenir des informations détaillées sur les fichiers, les parties prenantes, les catégories d’informations traitées, les objectifs, etc.
2. Réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD) : Obligatoire pour les fichiers présentant un risque élevé pour les personnes concernées. L’AIPD doit être mise à jour régulièrement.
3. Consultation du DPO (Délégué à la Protection des Données) : En cas de doute ou de difficulté, il est recommandé de consulter le DPO de l’entreprise ou de l’organisme.

Règles de droit 

Le RGPD a largement allégé les obligations en matière de formalités préalables qui ont laissé place à une logique de responsabilisation des acteurs.

En contrepartie de la suppression de certaines formalités, le responsable du fichier (par exemple, le SPSTi pour la gestion du DMST) doit ainsi être en mesure de démontrer, à tout moment, son respect des règles. Cette documentation permet à la fois de : 

• suivre les actions réalisées dans l’organisme, et d’être en mesure de les réexaminer et de les actualiser si cela s’avère nécessaire afin d’assurer en continu la protection des informations personnelles utilisées notamment sur les travailleurs ;

• justifier auprès de la CNIL des actions entreprises afin de démontrer la conformité. 

Compte tenu de la sensibilité des informations de santé traitées par les SPSTi, certaines formalités subsistent, rappelées dans le schéma ci-dessous :

Le principe de responsabilisation suppose également, pour les SPSTi amenés à traiter à grande échelle des informations de santé, la désignation d’un délégué à la protection des données dans leur organisme (« DPO »),en charge du pilotageles démarches de mise en conformité au RGPD.  

En pratique

Pour tous les fichiers et bases de données, qu’ils nécessitent ou non d’obtenir l’autorisation de la CNIL, les SPSTi doivent documenter leurs démarches de mise en conformité en menant principalement les trois actions suivantes :

1. Action n° 1 : veiller à l’inscription des fichiers au registre des activités de traitement 

Ce document permet à la fois de piloter la conformité au RGPD dans les structures et de démontrer la conformité du SPSTi aux règles relatives à la protection des informations personnelles. 

Sous format papier ou électronique, ce document doit donc être conservé au sein du SPSTi. 

Le registre des activités de traitement recense les différentes utilisations des fichiers qui sont faites par le SPSTi, et notamment :

• les parties prenantes à l’utilisation des informations personnelles (responsable du fichier, co-responsables, sous-traitant) ainsi que les rôles et responsabilités de chacune d’elles ;

• les catégories d’informations personnelles traitées par le SPSTi (ex : informations relatives à la santé des travailleurs, informations d’identification des personnels exerçant au sein des SPSTi, informations permettant d’identifier des adhérents pour les SPSTi interentreprises) ;

• l’objectif poursuivi par le fichier : gérer le dossier médical en santé au travail, mener une étude sur les risques professionnels au sein d’une entreprise déterminée,  gérer la paie des salariés d’un SPSTi interentreprises, etc. ;

• qui accède aux informations personnelles et à qui elles sont communiquées ;

• si des transferts d’informations vers des pays tiers à l’UE sont prévus et dans ce cas, les garanties associées à ces transferts ;

• combien de temps les informations sont conservées ;

• comment elles sont sécurisées. 

ATTENTION ! 

Le SPSTi, lorsqu’il est responsable du fichier (responsable de traitement), doit veiller à justifier ses choix, c’est-à-dire qu’il doit démontrer en quoi les modalités pratiques de l’utilisation des informations personnelles sont appropriées à sa situation. 

Par exemple, plusieurs textes du code du travail peuvent fournir des indications sur la durée de conservation, notamment en ce qui concerne le dossier médical en santé au travail pour lequel il est prévu des durées spécifiques de conservation en particulier pour les travailleurs exposés à des risques particuliers dans leur exercice professionnel, tels des agents pathogènes, cancérogènes, etc.

Afin d’avoir une documentation complète, divers documents doivent être annexés au registre : audit de sécurité, contrat de sous-traitance, etc. 

La fiche de registre d’un fichier est un document évolutif. Cela signifie qu’elle doit être mise à jour à chaque évolution apportée à l’utilisation des informations (mesures de sécurité, nouveau destinataire, nouvelle information collectées, modification de la durée de conservation, etc.) afin de fournir une vue d’ensemble actualisée. 

Les éléments devant figurer dans le registre des activités de traitement sont précisés à l’annexe 1 du guide. 

2. Action n° 2 : réaliser une analyse d’impact relative à la protection des données (AIPD) pour les fichiers présentant un risque élevé pour les personnes concernées

Une AIPD aide les organismes à utiliser les informations personnelles de façon à respecter la vie privée lorsqu’ils sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.

Une AIPD doit être mené par le SPSTi si l’objectif qu’il poursuit suppose l’utilisation : 

• d’un volume important d’informations personnelles ;
• d’informations sensibles ou hautement personnelles (informations relatives à la santé des travailleurs, informations bancaires des salariés du SPSTi, etc.) ;
• d’informations relatives à des personnes considérées comme vulnérables, lorsque les informations portent sur les salariés du SPSTi du fait du déséquilibre existant entre le responsable du fichier et les personnes concernées découlant du lien du subordination. 

Par exemple, pour l’utilisation d’informations personnelles à des fins de gestion des dossiers médicaux en santé au travail, la réalisation d’une AIPD apparaît nécessaire dans la mesure où cette utilisation d’informations personnelles suppose un volume important d’informations personnelles de nature sensible.

En revanche, une AIPD n’apparaît pas obligatoire lorsque des informations personnelles sont utilisées dans le cadre de la gestion des prestataires ou de l’organisation des relations avec les organismes adhérant à un Service de Prévention en Santé au Travail interentreprises. 

Une AIPD se décompose en trois parties :

• une description détaillée de l’utilisation qui est faite des informations personnelles, comprenant tant les aspects techniques qu’opérationnels ;

• l’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (objectifs poursuivis, nature des informations personnelles et durées de conservation, information et droits des personnes, etc.) devant impérativement être respectés, quels que soient les risques ;

• l’étude, de nature plus technique, des risques sur la sécurité des informations (confidentialité, intégrité et disponibilité) ainsi que  leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les informations personnelles.

ATTENTION !

L’AIPD devant permettre de limiter au strict minimum les risques pour les droits et libertés des personnes concernées (travailleurs, salariés du SPSTi, contacts des adhérents du SPSTi, etc.), il est nécessaire de mettre à jour l’AIPD à chaque fois que des modifications sont apportées dans les modalités d’utilisation des informations personnelles et pour s’assurer que l’évolution des connaissances techniques est prise en compte pour garantir la sécurité et la confidentialité des informations. 

3. Action n° 3 : se tourner vers le délégué à la protection des données (« DPO ») de l’entreprise ou de l’organisme en cas de doute

Le DPO conseille et accompagne l’organisme qui le désigne dans sa conformité.

Si le SPSTi est autonome, il peut, en cas de difficulté, se rapprocher du DPO de son organisme qui est dans l’obligation d’en désigner un. 

Si le SPSTi est interentreprises, il se trouve dans l’obligation de désigner un DPO dans la mesure où son activité de base consiste en l’utilisation à grande échelle d’informations sensibles. 

Pour aller plus loin, SPSTi Quelle formalité effectuer pour un traitement

1. Une formalité auprès de la CNIL est-elle obligatoire ?
   Selon le RGPD, la CNIL n’exige plus de déclaration préalable pour la plupart des traitements de données. Cependant, dans certains cas spécifiques, comme le traitement de données sensibles, une autorisation peut être nécessaire.
2. L’utilisation des informations personnelles a-t-elle été inscrite dans le registre des activités de traitement ?
   C’est une obligation selon le RGPD. Ce registre doit être tenu à jour et doit contenir des informations détaillées sur le traitement des données.
3. Les choix réalisés (durées de conservation, informations collectées, etc.) ont-ils été justifiés dans le registre ?
   Oui, le registre doit non seulement lister ces éléments mais aussi justifier pourquoi ces choix ont été faits. Cela fait partie de la logique de responsabilisation imposée par le RGPD.
4. L’ensemble de la documentation relative aux modalités d’utilisation des informations personnelles, notamment les contrats de sous-traitance, a-t-il été intégré dans le registre ?
   Absolument, tout document pertinent, y compris les contrats de sous-traitance, doit être annexé au registre pour démontrer la conformité et clarifier les responsabilités de chaque partie.
5. Une AIPD doit-elle être réalisée ?
   Si le traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées, une AIPD (Analyse d’Impact relative à la Protection des Données) est obligatoire.
6. Le DPO a-t-il été contacté préalablement à la mise en œuvre du fichier ?
   Le DPO (Délégué à la Protection des Données) doit être consulté en amont de tout nouveau traitement de données. Il est là pour conseiller et s’assurer que toutes les obligations légales sont remplies.

Références

• Articles 35, 37, 38 et 39 du RGPD
• Articles 57 et 65 de la loi « informatique et libertés »

quelle formalité effectuer avant la mise en œuvre d’un traitement de données à caractère personnel (fichier, base de données) ?

Règles de droit 

Le RGPD a largement allégé les obligations en matière de formalités préalables qui ont laissé place à une logique de responsabilisation des acteurs.

En contrepartie de la suppression de certaines formalités, le responsable du fichier (par exemple, le SPSTi pour la gestion du DMST) doit ainsi être en mesure de démontrer, à tout moment, son respect des règles. Cette documentation permet à la fois de : 

• suivre les actions réalisées dans l’organisme, et d’être en mesure de les réexaminer et de les actualiser si cela s’avère nécessaire afin d’assurer en continu la protection des informations personnelles utilisées notamment sur les travailleurs ;

• justifier auprès de la CNIL des actions entreprises afin de démontrer la conformité. 

Compte tenu de la sensibilité des informations de santé traitées par les SPSTi, certaines formalités subsistent, rappelées dans le schéma ci-dessous :

Le principe de responsabilisation suppose également, pour les SPSTi amenés à traiter à grande échelle des informations de santé, la désignation d’un délégué à la protection des données dans leur organisme (« DPO »),en charge du pilotageles démarches de mise en conformité au RGPD.  

En pratique

Pour tous les fichiers et bases de données, qu’ils nécessitent ou non d’obtenir l’autorisation de la CNIL, les SPSTi doivent documenter leurs démarches de mise en conformité en menant principalement les trois actions suivantes :

1. Action n° 1 : veiller à l’inscription des fichiers au registre des activités de traitement 

Ce document permet à la fois de piloter la conformité au RGPD dans les structures et de démontrer la conformité du SPSTi aux règles relatives à la protection des informations personnelles. 

Sous format papier ou électronique, ce document doit donc être conservé au sein du SPSTi. 

Le registre des activités de traitement recense les différentes utilisations des fichiers qui sont faites par le SPSTi, et notamment :

• les parties prenantes à l’utilisation des informations personnelles (responsable du fichier, co-responsables, sous-traitant) ainsi que les rôles et responsabilités de chacune d’elles ;

• les catégories d’informations personnelles traitées par le SPSTi (ex : informations relatives à la santé des travailleurs, informations d’identification des personnels exerçant au sein des SPSTi, informations permettant d’identifier des adhérents pour les SPSTi interentreprises) ;

• l’objectif poursuivi par le fichier : gérer le dossier médical en santé au travail, mener une étude sur les risques professionnels au sein d’une entreprise déterminée,  gérer la paie des salariés d’un SPSTi interentreprises, etc. ;

• qui accède aux informations personnelles et à qui elles sont communiquées ;

• si des transferts d’informations vers des pays tiers à l’UE sont prévus et dans ce cas, les garanties associées à ces transferts ;

• combien de temps les informations sont conservées ;

• comment elles sont sécurisées. 

ATTENTION ! 

Le SPSTi, lorsqu’il est responsable du fichier (responsable de traitement), doit veiller à justifier ses choix, c’est-à-dire qu’il doit démontrer en quoi les modalités pratiques de l’utilisation des informations personnelles sont appropriées à sa situation. 

Par exemple, plusieurs textes du code du travail peuvent fournir des indications sur la durée de conservation, notamment en ce qui concerne le dossier médical en santé au travail pour lequel il est prévu des durées spécifiques de conservation en particulier pour les travailleurs exposés à des risques particuliers dans leur exercice professionnel, tels des agents pathogènes, cancérogènes, etc.

Afin d’avoir une documentation complète, divers documents doivent être annexés au registre : audit de sécurité, contrat de sous-traitance, etc. 

La fiche de registre d’un fichier est un document évolutif. Cela signifie qu’elle doit être mise à jour à chaque évolution apportée à l’utilisation des informations (mesures de sécurité, nouveau destinataire, nouvelle information collectées, modification de la durée de conservation, etc.) afin de fournir une vue d’ensemble actualisée. 

Les éléments devant figurer dans le registre des activités de traitement sont précisés à l’annexe 1 du guide. 

2. Action n° 2 : réaliser une analyse d’impact relative à la protection des données (AIPD) pour les fichiers présentant un risque élevé pour les personnes concernées

Une AIPD aide les organismes à utiliser les informations personnelles de façon à respecter la vie privée lorsqu’ils sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.

Une AIPD doit être mené par le SPSTi si l’objectif qu’il poursuit suppose l’utilisation : 

• d’un volume important d’informations personnelles ;
• d’informations sensibles ou hautement personnelles (informations relatives à la santé des travailleurs, informations bancaires des salariés du SPSTi, etc.) ;
• d’informations relatives à des personnes considérées comme vulnérables, lorsque les informations portent sur les salariés du SPSTi du fait du déséquilibre existant entre le responsable du fichier et les personnes concernées découlant du lien du subordination. 

Par exemple, pour l’utilisation d’informations personnelles à des fins de gestion des dossiers médicaux en santé au travail, la réalisation d’une AIPD apparaît nécessaire dans la mesure où cette utilisation d’informations personnelles suppose un volume important d’informations personnelles de nature sensible.

En revanche, une AIPD n’apparaît pas obligatoire lorsque des informations personnelles sont utilisées dans le cadre de la gestion des prestataires ou de l’organisation des relations avec les organismes adhérant à un Service de Prévention en Santé au Travail interentreprises. 

Une AIPD se décompose en trois parties :

• une description détaillée de l’utilisation qui est faite des informations personnelles, comprenant tant les aspects techniques qu’opérationnels ;

• l’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (objectifs poursuivis, nature des informations personnelles et durées de conservation, information et droits des personnes, etc.) devant impérativement être respectés, quels que soient les risques ;

• l’étude, de nature plus technique, des risques sur la sécurité des informations (confidentialité, intégrité et disponibilité) ainsi que  leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les informations personnelles.

ATTENTION !

L’AIPD devant permettre de limiter au strict minimum les risques pour les droits et libertés des personnes concernées (travailleurs, salariés du SPSTi, contacts des adhérents du SPSTi, etc.), il est nécessaire de mettre à jour l’AIPD à chaque fois que des modifications sont apportées dans les modalités d’utilisation des informations personnelles et pour s’assurer que l’évolution des connaissances techniques est prise en compte pour garantir la sécurité et la confidentialité des informations. 

3. Action n° 3 : se tourner vers le délégué à la protection des données (« DPO ») de l’entreprise ou de l’organisme en cas de doute

Le DPO conseille et accompagne l’organisme qui le désigne dans sa conformité.

Si le SPSTi est autonome, il peut, en cas de difficulté, se rapprocher du DPO de son organisme qui est dans l’obligation d’en désigner un. 

Si le SPSTi est interentreprises, il se trouve dans l’obligation de désigner un DPO dans la mesure où son activité de base consiste en l’utilisation à grande échelle d’informations sensibles. 

Liste des questions à se poser 

Pour chaque utilisation d’informations personnelles du SPSTi, celui-ci devra se poser les questions suivantes :

• une formalité auprès de la CNIL est-elle obligatoire ? 

• l’utilisation des informations personnelles a-t-elle été inscrite dans le registre des activités de traitement ?

• les choix réalisés (durées de conservation, informations collectées, etc.) ont-ils été justifiés dans le registre ? 

• l’ensemble de la documentation relative aux modalités d’utilisation des informations personnelles, notamment les contrats de sous-traitance indiquant précisément les répartitions des responsabilités et missions de chacune des parties  a-t-il été intégré dans le registre? 

• une AIPD doit-elle être réalisée ?

• le DPO a-t-il été contacté préalablement à la mise en œuvre du fichier ? 

Références

• Articles 35, 37, 38 et 39 du RGPD
• Articles 57 et 65 de la loi « informatique et libertés »

Exemple de fiche de registre des traitements relative à la gestion des dossiers médicaux en santé au travail :