Dans le contexte des Services de Prévention en Santé au Travail (SPSTi), la responsabilité des informations personnelles peut varier en fonction de plusieurs facteurs, notamment l’objectif de la collecte des données, les modalités de leur utilisation et la structure organisationnelle du SPSTi. Voici quelques scénarios typiques :
Scénarios où le SPSTi est responsable :
- Dossier Médical en Santé au Travail (DMST) : Le SPSTi est généralement responsable de la constitution et de la conservation des DMST. Le médecin du travail est spécifiquement désigné comme responsable de ces dossiers.
- Recherches, Études et Enquêtes Internes : Lorsque le SPSTi mène des recherches ou des enquêtes pour son propre compte et son usage exclusif, il est considéré comme responsable des données collectées.
Scénarios où la responsabilité peut être partagée :
- Responsables Conjoints : Dans certains cas, le SPSTi et l’employeur (ou une autre entité) peuvent être responsables conjoints des données, surtout s’ils décident ensemble de l’objectif et des modalités pratiques de l’utilisation des informations personnelles.
Scénarios où le SPSTi agit en tant que sous-traitant :
- Sur Demande d’une Autre Entité : Si le SPSTi utilise des données à la demande d’une autre entité, comme le Comité Social et Économique (CSE), il agit en tant que sous-traitant.
Points d’attention :
- Contrats et Accords : Il est crucial d’établir des contrats ou des accords clairs pour définir les rôles et les responsabilités, surtout en cas de responsabilité conjointe ou de sous-traitance.
- Conformité Légale : Le respect des obligations légales, notamment celles énoncées dans le RGPD, est impératif.
- Documentation : Toute décision concernant la responsabilité des données doit être soigneusement documentée.
Règles de droit
La réglementation en matière de protection des informations personnelles non seulement précise la manière dont les informations doivent être utilisées, mais également désigne la personne qui doit concrètement assumer la responsabilité de la bonne application de ces règles.
Le RGPD prévoit ainsi trois statuts possibles pour les acteurs : responsable du fichier ou de la base de données (responsable de traitement), responsable conjoint et sous-traitant.
- Le responsable du fichier est la personne morale ou le service qui détermine l’objectif poursuivi par l’utilisation qui est faite des informations et les modalités concrètes d’utilisation (ex. : nature des informations collectées sur les travailleurs pris en charge par le Service de Prévention en Santé au Travail, durée de conservation des informations concernant les travailleurs, mesures de sécurité mises en place, détermination de la politique de gestion des habilitations et des accès, etc.).
Il détermine ainsi les modalités d’’utilisation et est, à ce titre, responsable du bon respect des règles.
Par exemple, les services de santé au travail (SPSTi) sont responsables du fichier lorsque les informations sont utilisées dans le cadre de la gestion du dossier médical en santé au travail. Un SPSTi interentreprises est responsable du fichier lorsque les informations sont utilisées dans le cadre de la gestion du personnel.
- Dans d’autres situations, plusieurs personnes ou services peuvent décider conjointement de l’objectif et des modalités pratiques d’utilisation des informations personnelles : on parle alors de responsables conjoints des informations.
Plusieurs SPSTi pourraient par exemple être responsables conjoints des informations personnelles s’ils décidaient de mettre en œuvre, ensemble, une plateforme permettant de transmettre les dossiers individuels des travailleurs changeant d’entreprise ou d’organisme de sorte à faciliter la continuité de la prise en charge.
Dans le cas d’une responsabilité conjointe, un accord doit être conclu afin de définir de manière transparente le rôle et les obligations respectives de chacun en ce qui concerne le respect des règles issues du RGPD, sauf à ce que ces obligations aient été définies par le droit de l’Union ou de l’Etat membre auquel les responsables conjoints sont soumis.
- Parfois, le responsable du fichier peut faire appel à un organisme pour manipuler des informations pour son propre compte, sur son instruction et sous son autorité : cet organisme est alors considéré comme un sous-traitant au sens du RGPD. Est ainsi sous-traitant une entreprise à laquelle fait appel le SPSTi interentreprises pour gérer la paie de ses salariés ou pour recruter un professionnel.
Un contrat ou un autre acte juridique précisant les obligations du responsable du fichier et du sous-traitant en ce qui concerne l’objet, la durée, la nature et l’objectif de l’utilisation des informations, les catégories d’informations collectées sur les travailleurs, etc.) devra être établi.
ATTENTION !
La ligne de partage entre ces trois catégories peut parfois être délicate à fixer. La qualification doit intervenir au terme d’une analyse concrète des modalités de création et de mise en œuvre du fichier ou de la base de données constitué au niveau du SPSTi. Selon la logique de responsabilisation, il appartient à chaque acteur (notamment SPSTi, employeurs, comité social et économique) de documenter l’analyse ayant conduit à telle ou telle qualification retenue. Attention, cela ne signifie pas que chacun peut « choisir » la qualification qui l’arrange, la qualification devant refléter la réalité. En cas de doute, il est important de documenter la réflexion qui a été menée pour aboutir à cette qualification et d’être en mesure de la justifier.
ATTENTION !
La qualification devant être réalisée au cas par cas, les exemples cités ne préjugent pas des qualifications qui pourraient être retenues en pratique, compte tenu de la spécificité des situations particulières auxquelles les SPSTi sont confrontés sur le terrain.
La définition des responsabilités permet uniquement de définir aisément les obligations de chacune des parties. Une répartition erronée des responsabilités n’emporte donc aucune conséquence si les obligations relatives à la protection des données ont été respectées.
| Nature des obligations | Article RGPD | RT | ST | co-RT |
| Rédiger un écrit précisant les obligations respectives de chacun des acteurs | 26, 28 | ✓ | ✓ | ✓ |
| Documenter les instructions du responsable du fichier concernant les fichiers exploités par le sous-traitant | ✓ | ✓ | ✓ | |
| Obtenir et conserver une autorisation écrite préalable du responsable du fichier pour recourir aux services d’un sous-traitant | 28 | ✗ | ✓ | ✗ |
| Tenir un registre des activités de traitement | 30 | ✓ | ✓ | ✓ |
| Réaliser une analyse d’impact (si les critères du RGPD sont réunis) | 35 | ✓ | ✗ | ✓ |
| Informer les co-contractants (responsable du fichier, sous-traitant, co-responsable) en cas de soupçon de violation du RGPD | 28 | ✗ | ✓ | ✗ |
| Informer la CNIL et/ou les personnes concernées en cas de violation des données | 33, 34 | ✓ | ✗ | ✓ |
| Fournir aux personnes concernées les informations obligatoires | 12 à 14 | ✓ | ✗ | ✓ |
| Traiter les demandes d’exercice de droits (accès, effacement, opposition, etc.) | 15 à 23 | ✓ | ✗ | ✓ |
| Assister le responsable du fichier dans le traitement de telles demandes | 28 | Sans objet | ✓ | ✗ |
En pratique
- Comment déterminer l’organisme ou le service responsable du fichier utilisé par les SPSTi ?
Les SPSTi sont susceptibles de prendre différentes formes : service autonome propre à l’entreprise, service interentreprises, service intégré au sein d’une caisse MSA pour le régime agricole, etc.
En raison de leur caractère polymorphe, des diverses modalités de fonctionnement et de la variété des fichiers pouvant être mis en œuvre, le partage de la responsabilité dans la collecte des informations personnelles peut être différent d’un SPSTi à un autre et/ou d’un fichier à un autre.
Le partage des responsabilités entre les différentes parties prenantes doit être évalué, au cas par cas, pour identifier celui qui dispose d’un pouvoir décisionnel sur le fichier, en prenant en compte les différents éléments suivants :
- Qui est obligé (si la création du fichier est obligatoire) ou qui souhaite que les informations personnelles soient utilisées dans un but particulier ?
- A qui revient le choix final de l’outil « métier » permettant d’utiliser et d’organiser les informations personnelles ?
- Qui définit les modalités d’utilisation des informations personnelles (durée de conservation, destinataires à qui sont communiquées les informations, mesures de sécurité, etc.) ?
- Qui est responsable des informations personnelles contenues dans les dossiers médicaux en santé au travail (DMST) ?
Un SPSTi est toujours responsable du fichier utilisé dans le cadre de la gestion des DMST.
En effet, tant le code du travail que le code de la santé publique désignent le médecin du travail comme responsable de la constitution et de la conservation des DMST.
- Qui est responsable du fichier utilisé par le SPSTi pour mener des recherches, études et enquêtes ?
Un SPSTi est toujours responsable de la collecte des informations utilisées pour des recherches, des études et des enquêtes qu’il décide de mener pour son propre compte, son usage exclusif et à partir des informations figurant dans les DMST des travailleurs qu’il suit (cas des recherches internes) et lui permettant de fournir des indicateurs en santé au travail, d’identifier des affections pouvant être provoquées ou aggravées par une activité professionnelle spécifique ou encore de déterminer les actions de santé au travail à mettre en œuvre pour préserver la santé physique et mentale des travailleurs dans une entreprise donnée. En effet, le SPSTi décide, pour répondre à son propre besoin, d’assurer le suivi des risques professionnels dans une entreprise de la création du fichier, de ses objectifs (ex : évaluer le nombre de travailleurs souffrant de lombalgies chroniques) et de ses modalités (ex : nature des données de santé à collecter sur les travailleurs concernés, durée de conservation, mesures de sécurité à mettre en place, etc.).
En revanche, lorsque la recherche, l’étude ou l’enquête est multicentrique ou implique que des informations personnelles soient rendues accessibles à des personnes extérieures à l’équipe du SPSTi (par exemple : organisation d’une étude nécessitant la consultation des DMST des travailleurs d’une même région par les spécialistes d’une pathologie particulière exerçant au sein d’un CHU), il conviendra d’examiner au cas par cas qui est responsable de la collecte des informations personnelles et de ses modalités pour identifier le responsable du fichier.
- Qui est responsable des fichiers utilisés pour d’autres objectifs que ceux précédemment mentionnés ?
Il convient de distinguer deux situations : celles des SPSTi autonomes et des SPSTi interentreprises.
- Dans un SPSTi autonome
Scénario n° 1 : le SPSTi peut être responsable des fichiers
Un SPSTi autonome est responsable des fichiers dès lors qu’il définit, sans que l’employeur intervienne :
- les raisons le poussant à utiliser des informations personnelles, c’est-à-dire son objectif ;
- les modalités d’utilisation des informations (nature des informations collectées sur les travailleurs, durée de conservation des informations de santé recueillies, mesures de sécurité, etc.).
Lorsque le SPSTi autonome est responsable des fichiers, l’employeur doit mettre à sa disposition les moyens humains et financiers permettant d’assurer la conformité des fichiers aux règles relatives à la protection des données. L’employeur, en tant que personne morale de rattachement, assume d’ailleurs les conséquences d’une non-conformité des fichiers mis en œuvre dans un SPSTi autonome.
Scénario n° 2 : l’employeur est responsable de certains fichiers utilisés par le SPSTi lorsque ces fichiers sont mis en œuvre par le SPSTi.
En fonction de son degré d’implication dans l’utilisation des informations personnelles, l’employeur peut être considéré comme responsable des fichiers.
Il en sera ainsi lorsque l’employeur décide que le SPSTi doit utiliser des informations personnelles pour un objectif que l’employeur a également défini, par exemple l’utilisation des informations personnelles des salariés pour l’organisation des plannings des différents membres du personnel du SPSTi.
ATTENTION !
Dans les (très) rares cas où l’employeur est responsable des fichiers utilisés par le SPSTi, l’employeur doit respecter l’indépendance du SPSTi et la confidentialité des informations personnelles relatives aux travailleurs, en mettant notamment en place une politique rigoureuse de gestion des habilitations et des accès pour toutes les informations utilisées par le SPSTi. Il peut également rappeler au service des ressources humaines ainsi qu’à la chaîne hiérarchique qu’aucune demande d’information ne peut être adressée au SPSTi.
Scénario n°3 : l’employeur et le SPSTi peuvent être conjointement responsables de certains fichiers
Dès lors que chacun des deux est impliqué dans la définition de l’objectif et des modalités d’utilisation des informations personnelles, l’employeur et le SPSTi peuvent être considérés comme des responsables conjoints des fichiers. Cela suppose que l’employeur et le SPSTi coopèrent réellement pour décider de l’utilisation des informations.
- Dans un SPSTi interentreprises
Un SPSTi interentreprises est un organisme indépendant, géré par un conseil d’administration et disposant d’un budget propre. Cela signifie qu’il est libre de définir ses modalités de fonctionnement (recrutement, choix des outils utilisés, etc.).
La commission médico-technique, interne au SPSTi interentreprises, est d’ailleurs en charge de formuler des propositions au conseil d’administration sur les actions menées en son sein notamment en ce qui concerne le suivi du travailleur et les équipements nécessaires.
En conséquence, le SPSTi interentreprises est libre de définir les objectifs et les modalités pratiques de l’utilisation d’informations personnelles dans le cadre de ses missions habituelles. Il peut donc, sauf exceptions, être considéré comme responsable des fichiers pour toutes les utilisations d’informations personnelles effectuées par les personnes travaillant en son sein, sauf s’il s’agit d’une commande effectuée par un autre organisme. Dans ce dernier cas, il agit en tant que sous-traitant.
ATTENTION !
Le SPSTi interentreprises est non seulement responsable de traitement (responsable du fichier) pour l’ensemble des fichiers mis en œuvre dans le cadre du suivi médical des travailleurs, mais également pour tous les fichiers relatifs à la gestion de la structure (recrutement de l’équipe de soins, gestion des prestataires, suivi financier et budgétaire, etc.).
- Pour quelles utilisations d’informations personnelles le SPSTi est-il sous-traitant en utilisant des informations personnelles pour le compte d’un autre service ou organisme ?
Un SPSTi agit en tant que sous-traitant dès lors qu’il utilise des informations à la demande d’une autre entité.
Exemple :
Si le comité social et économique (CSE) fait appel, dans le cadre de ses travaux, à l’expertise du SPSTi pour réaliser une enquête portant sur les maladies professionnelles dans une entreprise déterminée, le CSE est alors le responsable des fichiers. En effet, l’objectif exact de l’enquête, sa méthodologie et ses modalités de mise en œuvre sont en principe définies par le CSE.
Dans cette configuration, le SPSTi est alors le sous-traitant car il agit, sous la responsabilité du CSE, en appliquant strictement ses consignes pour la collecte des informations personnelles nécessaires à la réalisation de l’enquête.
ATTENTION !
Si, dans certaines circonstances, un autre service ou organisme peut être responsable des fichiers contenant des informations personnelles utilisées par le SPSTi, le médecin du travail reste indépendant dans l’exercice de ses missions et responsable de la confidentialité des informations relatives aux travailleurs et des dossiers médicaux.
Il incombe au médecin du travail, et plus globalement à l’ensemble du personnel du SPSTi, de :
- signaler toute mesure prise ou toute situation susceptible de ne pas être conforme aux règles entourant le secret professionnel, par exemple si l’employeur accède aux dossiers médicaux en santé au travail ;
- veiller quotidiennement au strict respect des mesures prises, par exemple en ne communiquant pas un mot de passe personnel à d’autres personnes.
- Un SPSTi peut-il recourir à un organisme tiers pour l’aider à assurer des missions ?
Le SPSTi peut, lorsqu’il est responsable des fichiers décider de recourir à un autre organisme pour l’aider à assurer ses missions.
Si les activités effectuées par cet organisme tiers sont susceptibles de nécessiter la manipulation d’informations personnelles des travailleurs (par exemple : hébergement de données, réorganisation d’un SPSTi en faisant appel à une société de conseil, gestion administrative, gestion comptable, etc.), il sera considéré comme un sous-traitant, agissant pour le compte du SPSTi.
Ce sous-traitant, qui est soumis aux obligations relatives à la protection des informations au même titre que le responsable des fichiers, ne peut traiter ces dernières que sur instructions du responsable des fichiers.
Dans cette situation, il appartient donc au SPSTi, en tant que responsable des fichiers, d’encadrer la relation de sous-traitance afin que les informations personnelles ne soient ni divulguées, ni modifiées ou supprimées par inadvertance ou malveillance. Un contrat clair doit ainsi être établi afin de préciser les obligations de chacune des parties prenantes et de se conformer à la réglementation.
Le contrat doit a minima mentionner :
- les actions confiées au sous-traitant (par exemple : quelles opérations doit-il effectuer sur les informations ? Que doit-il faire des informations à la fin de la relation ?) ;
- la nécessité de demander l’autorisation écrite si le sous-traitant souhaite faire appel lui-même à un autre sous-traitant ;
- la mise à disposition par le sous-traitant de toutes les informations nécessaires pour démontrer le respect des obligations.
ATTENTION !
Si le stockage des DMST des travailleurs est confié à un prestataire chargé d’en assurer la conservation, dans des serveurs à distance, celui-ci doit être hébergeur de données agréé ou certifié pour l’hébergement, le stockage et la conservation des données de santé.
Cette obligation, qui s’impose à tous les professionnels intervenant dans la prévention, le diagnostic, les soins ou le suivi social et médico-social, a vocation à protéger ces informations particulièrement intimes pour les travailleurs.
Plus globalement, le SPSTi est invité à préciser les obligations de chacune des parties dès lors qu’il existe une transmission d’informations.
Lorsque le SPSTi est assuré par un groupement ou organisme distinct de l’établissement employant les travailleurs bénéficiaires de ce service, il est conseillé aux employeurs et aux SPSTi interentreprises de préciser les responsabilités de chacune des parties dans le contrat les liant et d’indiquer les obligations qui en découlent, notamment concernant la protection des informations personnelles des travailleurs.
ATTENTION !
Pour encadrer les rôles et obligations, le SPSTi peut utilement se rapprocher du délégué à la protection des données de son organisme afin d’être aidé pour la réalisation du contrat.
Pour obtenir davantage de précisions, vous pouvez prendre connaissance du guide pratique de la CNIL sur la sous-traitance afin de comprendre vos droits et obligations.
En résumé
Points d’attention
- Qualification des Responsabilités: Il est crucial de documenter l’analyse qui a conduit à la qualification de la responsabilité pour chaque fichier ou base de données.
- Contrats et Accords: En cas de responsabilité conjointe ou de sous-traitance, un contrat ou un autre acte juridique doit être établi pour préciser les obligations de chaque partie.
- Confidentialité et Sécurité: Le respect des mesures de confidentialité et de sécurité est primordial, notamment pour les dossiers médicaux.
- Consultation du DPO: Le Délégué à la Protection des Données (DPO) peut être consulté pour aider à la réalisation du contrat et à la conformité avec le RGPD.
- Références légales: Les articles pertinents du RGPD et des codes du travail et de la santé publique doivent être consultés pour une compréhension complète des obligations.
Références
- Articles 4 et 24 du RGPD
- Articles L. 4622-4 et s., L. 2315-94, R. 4127-96, R.1111-8-8 du code du travail
- Article L. 1111-8 du code de la santé publique
| Acteur | Responsabilité | Contexte | Exemples |
|---|---|---|---|
| SPSTi | Responsable du fichier | Gestion du Dossier Médical en Santé au Travail (DMST) | Constitution et conservation des DMST |
| SPSTi & Employeur | Responsables conjoints | Objectif et modalités d’utilisation des informations décidés conjointement | Plateforme commune pour la gestion du personnel |
| Employeur | Responsable du fichier | Décide de l’objectif et des modalités d’utilisation des informations | Organisation des plannings du SPSTi |
| SPSTi | Sous-traitant | Utilise des informations à la demande d’une autre entité | Réalisation d’une enquête pour le Comité Social et Économique (CSE) |
Pour aller plus loin
Qui décide de la collecte des informations personnelles ?
La décision de collecter des informations personnelles est généralement prise par l’entité qui a la responsabilité du fichier ou de la base de données. Dans le contexte des Services de Prévention en Santé au Travail (SPSTi), cela peut être le SPSTi lui-même, l’employeur, ou les deux en tant que responsables conjoints.
Qui définit les caractéristiques du fichier ?
Les caractéristiques du fichier, telles que la nature des données collectées, leur durée de conservation, et les mesures de sécurité, sont définies par le responsable du fichier. Encore une fois, cela peut être le SPSTi, l’employeur, ou les deux en collaboration.
Les relations entre les parties sont-elles bien encadrées par un contrat ?
Pour assurer une gestion sécurisée et conforme des données, il est crucial que les relations entre les différentes parties (SPSTi, employeur, sous-traitants, etc.) soient clairement définies et encadrées par un contrat ou un autre acte juridique. Ce contrat doit préciser les obligations et responsabilités de chaque partie.
Le sous-traitant respecte-t-il les obligations légales ?
Si un sous-traitant est impliqué dans la gestion des données, il doit respecter les obligations légales en matière de protection des données, telles que définies par le RGPD et autres lois applicables. Il doit agir uniquement sur les instructions du responsable du fichier et doit garantir la sécurité et la confidentialité des données.
La réflexion sur la qualification a-t-elle été bien documentée ?
Il est essentiel de documenter soigneusement toute réflexion ou analyse qui a conduit à la qualification de la responsabilité pour chaque fichier ou base de données. Cela est particulièrement important en cas de contrôle ou d’audit, et pour assurer une conformité continue aux réglementations en vigueur.
- SPSTI : Comment le Service de Prévention en Santé au Travail informe-t-il les personnes concernées de l’utilisation de leurs informations personnelles ?
- SPSTi : à qui le Service de Prévention en Santé au Travail peut-il transmettre des informations collectées relatives aux travailleurs ?
- SPTI : l’employeur peut-il obtenir communication des informations personnelles en lien avec l’état de santé des travailleurs collectées par le Service de Prévention en Santé au Travail ?
