Protection des données à caractère personnel (RGPD)

1. Qui est responsable de traitement ?  

SSTi03 collecte et traite vos données à caractère personnel en qualité de responsable de traitement. Il détermine les finalités et les moyens du traitement des données que vous lui transmettez directement.

Par ailleurs, SSTi03 fait appel à Val Solutions, éditeur de son logiciel métiers dédiés à la Santé et à la Prévention au Travail, pour l’aider à opérer au traitement de vos données personnelles. Val Solutions agit alors en qualité de sous-traitant de SSTi03.

2. Sur quelles bases légales prévues par le RGPD, SSTi03 collecte et utilise-t-il vos données à caractère personnel ?

En vertu de l’art. L.4622-2 du code du travail, SSTi03 a pour mission exclusive d’éviter toute altération de la santé des travailleurs du fait de leur travail. 

La veille sur la santé des travailleurs ne peut pas être assurée en l’absence de mise en œuvre du traitement des données personnelles des salariés suivis. 

Compte tenu de sa mission, SSTi03 est donc amené à collecter et traiter vos données à caractère personnel. Ces données sont obtenues directement auprès de vous et avec votre consentement lors des visites médicales.

3. Quel type de données vous concernant SSTi03 collecte-t-il ? 

SSTi03 collecte par le biais de son équipe pluridisciplinaire de santé au travail, comprenant des médecins du travail, des intervenants en prévention des risques professionnels, des infirmier(ère)s et des assistant(e)s de service de santé au travail, les catégories de données suivantes :

 
– Des données permettant votre identification : nom, prénom, adresse postale et courriel, numéro de téléphone, situation familiale, date et lieu de naissance, etc.… ; 

– Les données relatives à votre situation professionnelle : vos postes de travail, identité des entreprises dans lesquelles vous avez travaillé, vos formations professionnelles, les caractéristiques de votre poste de travail, …

– Les données relatives aux risques éventuels auxquels votre poste de travail vous expose : les risques potentiels, les expositions et la durée des expositions ;

  Les données relatives à votre état de santé : les antécédents médicaux personnels, familiaux, et chirurgicaux, les arrêts de travail, les problèmes de santé en cours, les traitements ;

– Les données relatives à votre mode de vie : la /les activité(s) sportive(s), les loisirs, les addictions éventuelles ;

Toutes ces données personnelles énoncées précédemment sont :

– Enregistrées dans votre Dossier Médical en Santé Travail (DMST) en vertu de l’Art.L4624-8 du code du travail ; 

– Identifiées/ recensées sur un registre des activités de traitement « gestion des dossiers médicaux de santé au travail « (DMST) papier » et sur une fiche de registre de l’activité « gestion des dossiers médicaux informatisés de santé au travail (DIST) », conformément à l’Art.30 du RGPD.   

4. Pour quelles finalités vos données personnelles sont-elles traitées et combien de temps sont-elles conservées ?

Vos données personnelles ainsi collectées ne servent exclusivement qu’à la prévention des risques sur votre santé, au suivi et à la traçabilité des expositions professionnelles auxquelles vous pouvez être exposé et à la veille sanitaire.

Vos données personnelles enregistrées dans votre Dossier Médical en Santé Travail (DMST) ne sont conservées que pour la durée strictement nécessaire à l’accomplissement des finalités pour lesquelles elles sont traitées.

Il n’existe pas de règle générale concernant la durée de conservation des dossiers médicaux. Néanmoins, le Code de la Santé Publique (CSP) prévoit une seule durée de conservation qui concerne les établissements de santé : 20 ans à compter de la dernière consultation (Art. 112-7) sauf cas particuliers mentionnés dans les articles suivants : cf. Art  4426-9
du code du travail, Art. 4412-55 du code du travail, Art.35 du décret n°90-277 du 28 mars 1990, version consolidée au 22 juin 2001, Art. R 4454-9 du code du travail, Art. D 4412-95
du code du travail. Dans les cas cités à l’Art. R.4426-2 du code du travail (relatifs aux agents biologiques susceptibles de provoquer des maladies présentant une longue période d’incubation), le dossier médical spécial est conservé pendant une période plus longue.

5. Qui peut avoir accès à vos données personnelles ? 

Vos données à caractère personnel sont accessibles aux professionnels et auxiliaires de santé du service à savoir : 

– Les Médecins du Travail (MT),

– Les Infirmier(ères) Diplômé(es) d’Etat en Service de Santé au Travail (IDEST),

– Les autres médecins (cf. un médecin désigné par le salarié suivi, le médecin de l’entreprise de travail temporaire, les médecins régionaux du travail et de la main d’œuvre, le médecin inspecteur du travail), 

– La / le secrétaire médicale. 

Aussi, le MT peut décider de partager certaines informations médicales inscrites dans le DMST avec : 

– Les Assistant(e) de Service en Santé Travail (ASST),

– Les IPRP, soient les techniciens et les ingénieurs en santé au travail, de manière orale, en cas de demande d’intervention pour une étude de poste (cf. pour un aménagement de poste ou un reclassement).

– Un OPS (Organisme de Placement Spécialisé, (cf. Presta RH)), une copie des informations médicales leur est transmise contre décharge.

– Dans les cas très rares, les textes spéciaux prévoient l’accès aux DMST aux : 

• Juridictions pénales, 

• Experts judiciaires (les médecins de compagnie d’assurances en sont exclus).

Dans la continuité de la prise en charge d’un DMST, le MT peut transmettre également le dossier médical au :

Nouveau MT identifié basé sur un autre centre SSTi03 selon des modalités spécifiques,

Nouveau MT identifié basé sur un autre service de santé au travail selon des modalités spécifiques, 

A défaut de MT identifié (cf. à l’occasion d’un changement d’entreprise, ou à la suite d’une délocalisation de l’entreprise), le DMST ne peut être transmis « en bloc » et le nouveau MT devra recueillir l’accord écrit du salarié.

Vos données personnelles sont également accessibles à notre sous-traitant, Val Solutions, éditeur de notre logiciel métiers dédiés à la Santé et à la Prévention au Travail, et reconnu comme assurant un niveau de  « protection adéquat ».

Enfin, vos données personnelles collectées peuvent être transférées vers des partenaires de SSTi03 tels que la DIRECCTE, la CARSAT, la CNAM, l’ARS (liste non exhaustive), qui pourront les utiliser ultérieurement à des fins de veille sanitaire.

Vos données personnelles ne sont pas transmises hors de l’Union Européenne.

6. De quelle façon SSTi03 assure-t-il la sécurité de vos données ?

SSTi03 met en œuvre les actions nécessaires afin de protéger vos données personnelles, via des mesures techniques et organisationnelles pour prévenir la perte, le vol, l’utilisation, la divulgation ou encore la modification non-autorisées. Vos données personnelles sont traitées de façon électronique et/ou manuelle. De plus, leur caractère sensible justifie qu’elles soient traitées dans des conditions très fortes de sécurité et de confidentialité et uniquement par ceux qui sont habilités à le faire.

Vos données personnelles enregistrées dans le Dossier Médical en Santé Travail (DMST) « papier » : 

Les DMST « papiers » sont classés sur le lieu où exerce le médecin du travail, dans des mobiliers et/ou des locaux sécurisés. 

Vos données personnelles enregistrées dans le Dossier médical Informatisé en Santé Travail (DIST) : 

Les DIST sont archivés au sein de notre hébergeur agréé. 

L’hébergement externalisé de données de santé  respecte les normes les plus exigeantes (Agence Française de la santé numérique). Val Solutions, l’éditeur du logiciel métiers de SSTi03 dédiés à la santé au travail et à la prévention, respecte les principes de sécurité, confidentialité et protection des données posées par le RGPD. En effet, leur infrastructure informatique est protégée et contrôlée  régulièrement dans le cadre d’une mission confiée à un cabinet externe spécialisé.

L’ accès à l’hébergement externalisé se fait à travers un réseau privé virtuel (VPN) qui assure la confidentialité et la protection de l’accès aux données, depuis le réseau SSTi03 et depuis les sites des entreprises autorisées, à l’aide d’un client VPN (Junos Pulse) protégé par mot de passe.

L’accès aux DIST par les utilisateurs est règlementé et contrôlé, via un procédé d’authentification des utilisateurs mis en place. Chaque utilisateur de Préventiel ( logiciel métier choisi par SSTi03) est authentifié par : un login et mot de passe individuels. Les droits d’accès aux fonctionnalités sont différents selon les profils des utilisateurs.

Par ailleurs, tous les accès aux DIST sont conservés quel que soit l’utilisateur qui s’est connecté dans un journal sans limite de durée. Toutes les actions de création et de modification sont également conservées dans Préventiel sans limite de durée. Il faut l’intervention d’un administrateur de base de données habilité et agréé pour procéder selon les directives de VAL SOLUTIONS à la purge de ce journal.

7. Comment pouvez-vous gérer la collecte et l’utilisation qui sont faites de vos données ? 

Vous pouvez à tout moment :

Accéder aux données vous concernant, 

– Les rectifier, 

– Exercer votre droit à la limitation du traitement de vos données personnelles, 

Retirer à tout moment votre consentement au traitement de vos données, 

Vous opposez au traitement de vos données pour des motifs légitimes,

– Ou encore exercer votre droit à la portabilité de vos données.

Les données dont SSTi03 a besoin pour la finalité pour laquelle elles ont été collectées nécessaires au respect d’une obligation légale pourront cependant ne pas être supprimées.

Pour exercer ces droits ou pour toute question sur le traitement de vos données à caractère personnel, vous pouvez contacter,
Madame Savoeun KONG, nommée Délégué à la protection des données (DPO) de SSTi03, à l’adresse mail suivante :
rgpd@ssti03.fr.

En cas de réclamation à laquelle SSTi03 ne vous aurait pas donnée de réponse satisfaisante, vous pouvez vous adresser à la Commission Nationale de l’Informatique et des Libertés (CNIL) en charge du respect des obligations en matière de données personnelles, à l’adresse suivante : CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07
téléphone : 01 53 73 22 22.