Service Santé au Travail sous-traitant ou non ? Modification Règlement intérieur
DPO SPST

Service Santé au Travail sous-traitant ou non ? Modification Règlement intérieur

Afin d’être en conformité avec le RGPD un service de santé au travail doit informer les entreprises adhérentes sur la façon dont elle respecte le RGPD. Même si un service de santé au travail ne peut être qualifié de sous-traitant, il n’en est pas moins obligé de montrer/prouver sa conformité au RGPD.

Service Santé au Travail sous traitant ou non ?

Pourquoi un SST ne peut être considéré comme sous-traitant ?

La relation existante entre un service de santé au travail et une entreprise adhérente est encadrée par des dispositions légales et règlementaires qui s’imposent aux deux parties.

D’une part, les missions et responsabilités des Services de Santé au Travail sont définies par plusieurs textes de loi :

Loi n° 2011-867 du 20 juillet 2011,

La loi n° 2016-1088 du 8 août 2016,

le décret n°2016-1908 du 27 décembre 2016

qui définissent les quatre missions essentielles des Services de Santé au Travail. D’autre part, l’adhésion à un service de santé au travail est une obligation faite à tout employeur dès l’embauche du premier salarié, quelles que soient la nature et la durée du contrat de travail. (Article D.4622-22 du Code du travail). 

Dès lors, les droits et obligations des deux parties sont régis par les statuts et le règlement intérieur du Service de Santé au Travail, qui constituent alors le contrat d’adhésion, conforme à l’article 28 du RGPD, et il ne peut y avoir de place pour une relation contractuelle de gré à gré entre les deux parties pour la mise en œuvre de leurs obligations respectives.

Les Services de Santé au Travail ne sont pas qualifiés de sous-traitants, mais uniquement de responsables de Traitement pour les raisons suivantes :

Les données des salariés suivis ne sont pas traitées que sur instruction des adhérents, mais dans le cadre de la mission de service de santé au travail ;

les données seraient uniquement transférées pour que les SSTI remplissent leurs missions, sans que cela ne confère automatiquement aux SSTI la qualité de sous-traitant.

Obligations d’information aux entreprises adhérentes

Nous proposons cette Annexe au règlement intérieur au sujet de la Protection des données personnelles.

Avertissement

L’ensemble des textes régissant la protection des données personnelles étant soumis à une évolution régulière, la présente annexe sera mise à jour au fur et à mesure de la publication des nouvelles dispositions légales et règlementaires. 

A. Définitions

« Données » désigne toutes informations relatives à une personne physique identifiée ou identifiable ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par rapport à un numéro d’identification ou à un ou plusieurs éléments propres à son identité physique, physiologique, mentale, économique, culturelle ou sociale.

Données à caractère sensible : désigne, dans notre cas, toutes données portant sur les données de santé, biométriques ou génétiques d’une personne physique.

 « Lois relatives à la Protection des Données » désigne le Règlement Général sur la Protection des Données RGPD et les lois locales applicables en matière de protection des données du pays, en ce inclus toute nouvelle promulgation ou modification du RGPD et des lois précitées et tous règlements ou ordonnances adoptés en vertu de ce qui précède.

« RGPD » désigne le Règlement général sur la protection des données (Règlement (UE) 2016/679) tel que modifié ou complété selon les besoins.

« Traitement » désigne toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés, appliqué(es) à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Ce traitement peut être automatisé en tout ou en partie, ou non automatisé, concernant des données à caractère personnel contenues ou appelées à figurer dans un fichier. Un fichier désigne tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

B. Obligations respectives de l’Association XXXXXX et de ses adhérents 

Santé au travail et obligation des employeurs

D’une part, les missions et responsabilités des Services de Santé au Travail sont définies par plusieurs textes de lois :

  • Loi n° 2011-867 du 20 juillet 2011,
  • La loi n° 2016-1088 du 8 août 2016, 
  • Le décret n°2016-1908 du 27 décembre 2016 

qui définissent les quatre missions essentielles des Services de Santé au Travail, assurées par une équipe pluridisciplinaire, animée et coordonnée par le médecin du travail : action en entreprise, conseil, surveillance de l’état de santé, traçabilité et veille sanitaire.

D’autre part, l’adhésion à un service de santé au travail est une obligation faite à tout employeur dès l’embauche du premier salarié quelles que soient la nature et la durée du contrat de travail. (Articles L.4622-1 et L.4622-6, du Code du travail)

Relations entre l’association XXXXXXXX  et ses entreprises adhérentes

Les relations entre un employeur adhérant à un Service de Santé au Travail sont régies par les textes réglementaires (lois, code du travail, code de la Santé publique, …) et par les dispositions des statuts et règlement intérieur du Service de Santé au Travail (Article D.4622-22 du Code du travail).

En particulier, l’adhérent a obligation envers le Service de Santé au Travail de :

  • Demander les visites médicales pour ses salariés dans les délais et en garder la preuve.
  • Informer le médecin du travail des arrêts pour accident du travail de moins de 30 jours.
  • S’assurer du suivi des avis d’aptitude, de la réalisation des visites médicales et des entretiens infirmiers.
  • Envoyer une déclaration préalable précisant le nombre et la catégorie des salariés à suivre et les risques professionnels auxquels ils sont exposés.
  • Transmettre chaque année une déclaration des effectifs en distinguant notamment les salariés soumis à une suivi médical renforcé.
  • Inviter au Comité social et économique le médecin du travail pour les questions relevant de sa compétence.
  • Transmettre les fiches de postes au médecin du travail afin que les avis d’aptitude soient circonstanciés.
  • Transmettre les trois emplois concernés et les fiches de postes au médecin du travail pour les intérimaires et les salariés des associations intermédiaires.
  • Transmettre les fiches de données de sécurité des produits chimiques utilisés à l’équipe santé travail (EST).
  • Communiquer les éléments de compréhension du fonctionnement de l’entreprise et de ses risques professionnels.

Modalités d’échanges entre l’association XXXXXXXX et ses adhérents

Afin d’assurer leurs obligations respectives, l’association XXXXXXXX et ses adhérents doivent échanger des données personnelles, qui permettront à l’association XXXXXXXX d’organiser le suivi individuel de l’état de santé de chaque salarié des adhérents, mais également d’assurer le suivi administratif de chaque adhérent. Ces données sont échangées par tous moyens disponibles : électronique, papier ou communication orale.

Il est précisé qu’il n’existe aucun échange entre l’association XXXXXXXX et ses adhérents portant sur des données personnelles qui n’auraient pas étaient communiqué par l’adhérent.

Le présent document a pour objectif de préciser les engagements de l’association XXXXXXXX dans le recueil, le traitement, la protection et la conservation de ces données personnelles afin d’assurer le respect de l’ensemble des dispositions légales et règlementaires relatives à la protection des données.

Consentement et Droit d’information des salariés de l’adhérent 

Il est précisé que l’adhérent, préalablement à tout transfert de données personnelles concernant ses salariés, a fait son affaire des obligations d’information des salariés concernés et s’est conformé à toute obligation de notification et/ou d’enregistrement précisée par les Lois relatives à la Protection des Données. 

C. traitement des données

  1. Données collectées à des fins de gestion de la relation avec l’entreprise

Dans le cadre des services rendus à ses entreprises adhérentes, l’association XXXXXXXX collecte des données à caractère personnel des salariés de celles-ci (contrat d’adhésion, déclaration d’effectifs…) qui font l’objet de traitements automatisés à des fins de gestion administrative de la relation avec l’entreprise (facturation, assistance, gestion commerciale, téléphonie, amélioration de la qualité, de la sécurité et de la performance des services, recouvrement, etc.). 

Les données concernées sont essentiellement les noms, prénoms, numéros de téléphones, adresse mail des dirigeants et salariés de l’entreprises en charge de la relation avec l’association XXXXXXXX.

  1. Données collectées à des fins de gestion du suivi individuel de l’état de santé des salariés

Afin de respecter ses obligations de suivi individuel de l’état de santé des salariés de ses entreprises adhérentes, l’association XXXXXXXX collecte les données à caractère personnel auprès de l’entreprise. Ces données, recueillies au moment de l’adhésion de l’entreprise, lors de l’embauche de nouveaux collaborateurs et mis à jour régulièrement, concernent exclusivement l’identification des salariés (nom, prénom, sexe, INS, date de naissance…). Ces données font l’objet de traitements qui ont pour objectif unique la gestion administrative de la relation entre l’association XXXXXXXX et le salarié concerné (organisation des visites médicales et entretiens de suivi). 

  1. Secret professionnel et Confidentialité des données

D’une part, l’ensemble des personnels de l’association XXXXXXXX est soumis au secret professionnel (par l’article 226-13 du code pénal, l’article 1110-4 du Code de Santé publique, et le code de déontologie médicale).

D’autre part, la relation contractuelle entre le Service de Santé, son éditeur de progiciel et son Hébergeur de données de santé, étend à ceux-ci les obligations de secret professionnel.

Dans ces conditions, l’association XXXXXXXX s’engage à ne pas utiliser les données ainsi collectées à d’autres fins que celles susmentionnées dans les deux paragraphes ci-dessus et à n’en faire communication a aucun tiers, et à faire respecter ces dispositions par ses salariés et ceux de ses sous-traitants ou fournisseurs intervenant dans la gestion des données personnelles concernées.

Une exception à cet engagement est possible : la fourniture de données aux autorités judiciaires et / ou administratives, notamment dans le cadre de réquisitions judiciaires.

Dans ce cas, et sauf disposition légale l’en empêchant, l’association XXXXXXXX s’engage à en informer l’adhérent et à limiter la communication de données à celles expressément requises par lesdites autorités. 

  1. Hébergement des données et sécurité des données

L’ensemble des données concernées par les traitements susmentionnés sont hébergées exclusivement sur le territoire français, par la société Orange Cloud for Business Services. Cette société fournit à l’association XXXXXXXX un service de haute disponibilité (redondance de l’ensemble des systèmes en temps réel) et d’un haut niveau de sécurité. Orange Cloud for Business Services dispose de l’agrément « hébergeur de données de santé » délivré par l’Agence des Systèmes d’Information Partagés(ASIP) et est donc conforme à l’ensemble des référentiels en vigueur dans le domaine de la protection des données de santé et des données personnelles.

Ainsi l’association XXXXXXXX est en mesure, conformément à l’article 34 de la loi Informatique et Libertés modifiée, d’assurer à ses adhérents que toutes les précautions utiles pour préserver la sécurité et la confidentialité des données à caractère personnel, et notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, ont été prises.

En particulier, en conformité avec son contrat d’hébergement avec l’association XXXXXXXX, Orange Cloud for Business Services (par exemple) a mis en place : 

  • Des mesures de sécurité physique visant à empêcher l’accès aux Infrastructures sur lesquelles sont stockées les données de l’association XXXXXXXX par des personnes non autorisées, 
  • Des contrôles d’identité et d’accès via un système d’authentification ainsi qu’une politique de mots de passe,
  • Un système de gestion des habilitations permettant de limiter l’accès aux locaux aux seules personnes ayant besoin d’y accéder dans le cadre de leurs fonctions et de leur périmètre d’activité,
  • Un personnel de sécurité et des dispositifs de vidéosurveillance chargés de veiller à la sécurité physique des locaux, 
  • Un système d’isolation physique et logique des Clients entre eux, 
  • Des processus d’authentification des utilisateurs et administrateurs, ainsi que des mesures de protection des fonctions d’administration, 
  • Dans le cadre d’opérations de support et de maintenance, un système de gestion des habilitations mettant en œuvre les principes du moindre privilège et du besoin d’en connaître,
  • Des processus et dispositifs permettant de tracer l’ensemble des actions réalisées sur son système d’information, et d’effectuer conformément à la réglementation en vigueur, des actions de reporting en cas d’incident impactant les données du XXXXXX.
  1. Droit d’accès et de rectification

Conformément à la loi « Informatique et Libertés » du 6 janvier 1978, l’adhérent bénéficie d’un droit d’accès, de rectification et de suppression des informations susvisées le concernant. Ce droit peut s’exercer de la façon suivante :

  • Tous les adhérents peuvent demander et obtenir communication desdites informations auprès du Correspondant RGPD de l’association XXXXXXXX en justifiant de son identité par courriel à l’adresse @@@@@@@ ou par courrier postal à l’adresse suivante. Il y sera répondu dans un délai de trente 30 jours suivant réception.

Association XXXXXXXX

DPO/Correspondant RGPD

YYYYYY
ZZZZZ YYYYYYYY

  • Le salarié suivi est informé de ses droits par un affichage se trouvant dans les salles d’attente des locaux du service.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *