RGPD et santé au travail : ce que les SPST doivent savoir

Le Règlement Générale sur la Protection des Données (RGPD) pose un cadre incontournable pour les SPST, responsables du traitement d’un grand nombre de données personnelles, souvent sensibles, comme celles contenues dans le dossier médical en santé au travail (DMST). Cette thématique soulève de nombreuses questions liées au droit, à la sécurité et à l’information des personnes concernées.

Dans ce contexte, Val Solutions éditeur de solutions numériques en santé au travail accompagne, à travers ses outils, les services de prévention et de santé au travail. Val Solutions attache une importance particulière à la sécurité des données de santé, enjeu majeur du secteur. L’entreprise est ainsi certifiée HDS et ISO 27001, deux référentiels de référence attestant de la robustesse de son système de management de la sécurité de l’information et de sa capacité à garantir la confidentialité, l’intégrité et la disponibilité des données traitées à travers le logiciel uEgar qui embarque une approche sécurisée de gestion des données de santé, la traçabilité des accès, et le respect des obligations issues du RGPD. Conformément aux exigences du Code de la santé publique, Val Solutions a fait le choix d’un hébergement souverain, sans sous-traitance, en collaboration avec PROGINOV, également certifié HDS et ISO 27001. Cette stratégie permet d’assurer une maîtrise de la chaîne d’hébergement. Aucun transfert de données à caractère personnel de santé n’est réalisé en dehors de l’Union européenne ou de l’Espace économique européen, garantissant ainsi un haut niveau de protection des droits des personnes concernées. Ce modèle permet aux professionnels de santé et aux responsables de traitement d’assurer en toute sécurité, le suivi médical des salariés dans le respect du secret professionnel et des droits des personnes.

Pour aller plus loin, vous pouvez consulter notre article pratique consacré à la protection des données dans les services de santé au travail : Sécuriser les données de santé au travail 

Comprendre les bases du RGPD dans le cadre de la santé au travail

Les Services de Prévention et de Santé au Travail (SPST) traitent un volume important d’informations sensibles. À ce titre, le RGPD encadre le traitement des données à caractère personnel dans toute l’Union européenne, y compris dans le secteur de la santé au travail. Sa mise en œuvre vise à renforcer la protection de la vie privée des personnes physiques, à assurer la confidentialité des informations collectées, et à responsabiliser chaque organisme, employeur ou professionnel concerné.

Ce règlement ne s’applique pas uniquement aux grandes structures : tout organisme traitant des données à caractère personnel, dans un modèle local ou mutualisé, doit répondre aux exigences du RGPD. Cela comprend notamment la constitution, la gestion, le suivi et la conservation du dossier médical en santé au travail (DMST)

La CNIL, autorité de contrôle en France a publié un guide destiné à accompagner les SPST dans la mise en conformité au RGPD. Ce document propose des fiches pratiques sur les mesures à prendre en matière de protection, sur les droits des personnes concernées, sur les modalités d’accès, d’exercice, de rectification, de portabilité ou d’opposition, et sur les délais à respecter. L’objectif est clair : permettre une application concrète, conforme et proportionnée à la finalité de chaque traitement.

Qu’est-ce que le RGPD, et pourquoi concerne-t-il les SPST ?

Le RGPD – Règlement Général sur la Protection des Données – s’applique dès lors qu’un service traite des données à caractère personnel. Dans un SPST, cela concerne le suivi individuel du salarié, les échanges entre le médecin du travail, l’infirmier, les RH. Ces traitements peuvent porter sur l’état de santé, les antécédents, l’identification et de contact (adresse, numéro de téléphone), ou encore des données issues d’outils de télésanté ou de plateformes en ligne.

La loi informatique et libertés, adaptée pour être conforme au RGPD, précise que tout responsable de traitement doit évaluer les risques, documenter chaque activité dans un registre, informer les personnes concernées et garantir le respect du secret professionnel. Cela suppose une démarche structurée, menée avec l’appui d’un délégué à la protection des données, interne ou externe.

Donnée personnelle, donnée de santé, traitement : de quoi parle-t-on ?

Une donnée personnelle désigne toute information permettant d’identifier directement ou indirectement une personne physique. Lorsqu’elle concerne l’état de santé (diagnostic, incapacité, pathologie, suivi médical), on parle de donnée sensible, soumise à des mesures de protection renforcées.

Un traitement, quant à lui, englobe toute action menée sur ces données : collecte, enregistrement, transmission, conservation, suppression, consultation etc. Dans le secteur de la prévention et de santé au travail, cela inclut la mise à jour du dossier, le partage sécurisé entre acteurs autorisés, ou encore l’analyse des risques pouvant affecter un collectif de travail.

Il est utile de rappeler que ces traitements ne reposent pas nécessairement  sur le consentement de la personne concernée. Conformément à l’article 6, paragraphe 1 du RGPD le traitement des données en santé au travail est fondé sur le respect d’une obligation légale (obligations légales prévues par le Code du travail et le Code de la santé publique). La mise en place d’un traitement doit être justifiée par une finalité claire, connue, et présentée aux personnes concernées via une notice d’information.

Chaque SPST est invité à formaliser sa politique de protection des données, à travers une documentation accessible sur son site internet, des supports remis en entretien ou via des supports internes. Cette politique doit répondre aux exigences réglementaires tout en s’adaptant aux réalités du terrain.

Pourquoi les SPST traitent-ils des données personnelles ?

Le traitement des données personnelles dans un SPST n’est pas une option. Il répond à une finalité claire : assurer la prévention en santé publique, le suivi individuel du salarié, la gestion des risques pouvant affecter la vie professionnelle et l’accompagnement des employeurs dans leurs obligations légales. Cette activité implique de nombreux fichiers, notices, formulaires et dossiers transmis ou reçus dans le cadre des visites, échanges ou évaluations menées par le médecin du travail et son équipe, en rapport avec des données à caractère personnel souvent sensibles (état de santé, identification, coordonnées, antécédents). Elles sont utilisées pour évaluer l’aptitude au poste, organiser les actions de prévention, suivre les indicateurs collectifs ou encore répondre à une demande liée à une pathologie, une prise en charge ou une situation à risque.

Finalités du traitement dans un SPST

Chaque traitement effectué dans un SPST doit avoir une finalité explicite. Les plus fréquentes sont :

• le suivi médical du salarié dans le cadre de la surveillance réglementaire,

• la réalisation de travaux d’analyse collective (fiche entreprise, évaluation des risques),

• la gestion administrative liée à la planification des visites et à la constitution du dossier médical,

• l’utilisation d’outils de télésanté pour faciliter la prise en charge à distance,

• la production de rapports à destination des employeurs, dans le respect du secret médical.

Ces traitements sont guidés par une démarche de conformité : ils doivent être documentés, évalués, fondés sur une base légale, et communiqués de manière transparente à la personne concernée via une notice d’information claire. La CNIL propose à ce sujet un guide accompagné de fiches pratiques permettant de structurer cette approche, quel que soit le modèle d’organisation (autonome, interentreprises, mutualisé).

Il convient aussi de rappeler que ces traitements ne sont jamais génériques : chaque SPST doit décider, en s’appuyant sur les conseils de  son délégué à la protection des données, des données collectées, de leur utilité réelle et de la durée de leur conservation. 

Quelles données sont collectées et comment ?

Dans le cadre de leur activité, les SPST collectent un volume important de données, nécessaires au suivi individuel et collectif des salariés. La typologie de ces données est encadrée.

Typologie des données traitées en santé au travail

Les données collectées dans un SPST sont constituées de plusieurs catégories :

• Données administratives : nom, prénom, adresse, numéro de téléphone, date de naissance, identité de l’employeur, identifiant d’adhérent.

• Données RH liées à la santé : poste de travail, exposition à un risque, statut contractuel, affectation.

• Données médicales : état de santé, avis d’aptitude, antécédents, compte-rendu d’examens, informations issues des entretiens avec le médecin ou l’infirmier du travail.

Ces données sont issues d’une contribution concrète de plusieurs sources : salarié, médecin, service RH, système d’information métier. Certaines données peuvent également provenir de dispositifs externes utilisés dans le cadre d’une démarche de télésanté ou de plateformes d’échange sécurisées.

Comment ces données sont-elles collectées ?

La collecte des données en santé au travail s’effectue par différents canaux, selon le type d’information visée :

• lors de l’inscription du salarié via des formulaires d’adhésion ou de demande de rendez-vous,

• pendant les entretiens médicaux, les examens cliniques ou les consultations menées par le médecin du travail,

• à travers les transmissions internes réalisées par l’employeur, dans le cadre de la constitution du dossier médical ou de l’évaluation des risques,

• via des outils numériques, dont certains modèles intègrent des modules de télésanté sécurisés.

Chaque donnée collectée doit être strictement nécessaire, utilisée conformément à sa finalité, et protégée contre tout accès non autorisé. En cas de manquement, des sanctions peuvent être prononcées, comme le prévoit le cadre juridique applicable.

Les SPST doivent pouvoir démontrer, en cas de contrôle, que la collecte a été décidée en prenant en compte les recommandations de leur délégué à la protection des données, qu’elle est issue d’une réflexion formalisée, et qu’elle s’intègre dans une logique de respect des droits des personnes.

Pour cela, des outils métiers comme ceux proposés par Val Solutions permettent de structurer la collecte, tracer les accès, centraliser les pièces justificatives et répondre aux obligations documentaires imposées par le RGPD.

Qui accède aux données personnelles en SPST ?

Dans un SPST, l’accès aux données personnelles est strictement encadré. Ces données, souvent sensibles, ne peuvent être utilisées que par des personnes dûment habilitées, dans le cadre de leur fonction et pour la seule finalité définie dans le traitement. Chaque acteur impliqué dans cette chaîne a un rôle précis, fondé sur des dispositions légales, le respect du secret médical, et les principes de conformité définis par le RGPD.

Les destinataires internes ou externes

Certains traitements peuvent impliquer d’autres destinataires, selon les travaux menés, ou les obligations légales : médecins conseils, experts judiciaires, inspection du travail ou partenaires dans des actions communes (dans le respect des règles de concertation) par exemple. Chaque transmission doit être décidée en fonction d’une évaluation précise des risques, et accompagnée de garanties techniques et organisationnelles.

La CNIL recommande de maintenir un registre des accès et de partager uniquement les informations nécessaires, dans le respect de la proportionnalité. Les SPST peuvent s’appuyer sur des guides pratiques ou des modèles types pour formaliser ces transmissions et s’assurer qu’aucune donnée (par exemple une adresse ou un numéro de téléphone) ne soit communiquée en dehors du périmètre autorisé.

Il est aussi important de rappeler que les salariés concernés peuvent exercer leurs droits à tout moment, demander l’accès ou la rectification d’une donnée, et être informés de l’identité des destinataires. Cette exigence fait partie intégrante des mesures de conformité attendues.

Des logiciels métiers comme ceux proposés par Val Solutions permettent d’accompagner les SPST dans cette démarche, en assurant la traçabilité des informations.

Comment les SPST assurent-ils la sécurité des données ?

Les SPST ont l’obligation de garantir la sécurité des données à caractère personnel qu’ils collectent et traitent. Cette responsabilité s’inscrit dans un cadre strict, défini par le RGPD et le Code de la santé public au travers de la certification HDS. Des  recommandations de la CNIL et de l’ANSSI complètent ce cadre. Il ne s’agit pas seulement de respecter une règle, mais d’assurer une protection concrète des informations médicales et professionnelles des salariés.

Mesures de sécurité techniques et organisationnelles

Les mesures à mettre en œuvre sont à la fois techniques (chiffrement, contrôle des accès, traçabilité, sauvegardes) et organisationnelles (procédures internes, politique de gestion des habilitations, sensibilisation du personnel). Ces dispositifs doivent être documentés, évalués régulièrement et adaptés aux risques identifiés.

Chaque traitement doit être sécurisé dès sa conception, y compris dans les échanges entre acteurs internes et externes, ou lors de l’usage d’outils numériques (plateformes, logiciels, modules de télésanté). En cas de violation, le responsable du traitement devra, documenter la violation, notifier la CNIL, informer, le cas échéant, les personnes concernées et mettre en place des mesures correctives.

Durée de conservation et archivage

La durée de conservation des données varie selon leur nature. Le DMST, par exemple, doit être conservé pendant quarante ans après la dernière visite, conformément au Code du travail. Des durées de conservations plus longues peuvent s’appliquer suivant l’exposition aux risques. Les données administratives ou d’organisation des visites peuvent avoir des durées plus courtes.

Il est important de formaliser ces durées dans une politique claire, avec des délais précis, des règles d’archivage, et une procédure de suppression sécurisée des fichiers en fin de cycle. Cette exigence participe à la conformité globale et limite les risques.

Droits des personnes : ce que chaque salarié peut demander

Le RGPD renforce les droits des personnes concernées. Chaque salarié suivi par un SPST peut, à tout moment, demander à exercer ses droits sur les données le concernant.

Quels sont vos droits ?

• Droit d’accès aux données enregistrées

• Droit de rectification si une information est erronée

• Droit d’opposition ou de limitation, selon la base légale du traitement

• Droit à la portabilité des données dans certains cas

• Droit à l’effacement, lorsque les conditions sont réunies

Ces droits sont fondamentaux et doivent être rappelés de manière claire dans les notices d’information remises ou affichées par le SPST.

Comment exercer ses droits ?

Le salarié peut adresser sa demande par écrit, au DPO désigné par le service. Sauf exception, le délai de réponse est d’un mois pour les données administratives et de huit (08) jours pour les données de santé. En l’absence de réponse ou en cas de difficulté, la personne concernée peut saisir la CNIL via son site internet.

Chaque SPST doit donc prévoir un circuit de traitement des demandes : formulaire, point de contact, registre des demandes reçues, et réponses apportées. L’absence de procédure claire peut entraîner des sanctions.

Le DPO, garant de la conformité dans les SPST

Le délégué à la protection des données (DPO) est un acteur clé dans la gestion des traitements en santé au travail. Il veille à la conformité, accompagne les équipes, et agit en interlocuteur auprès de l’autorité de contrôle.

Les obligations spécifiques autour du DMST

Transmission du Dossier Médical en Santé au Travail

Le DMST peut être transféré entre SPST en cas de changement de service par le salarié. Cette transmission doit être sécurisée, documentée, et limitée aux données strictement nécessaires. Un accusé de réception doit être établi par le nouveau médecin du travail.

Bonnes pratiques pour structurer sa conformité RGPD

S’auto-évaluer régulièrement

Mettre en œuvre un audit interne, vérifier la mise à jour du registre des traitements, évaluer les risques, identifier les points faibles : cette évaluation doit être réalisée régulièrement pour garantir un niveau de conformité à jour.

S’appuyer sur des outils ou logiciels spécialisés

Des solutions numériques existent pour accompagner l'activité des SPST. Val Solutions propose une solution logicielle conçue pour les acteurs de la prévention et de la santé au travail. Cet outil permet de centraliser les documents, tracer les accès, générer des fiches conformes, et assurer un pilotage rigoureux du RGPD, y compris sur les sujets les plus techniques comme le DMST ou la gestion des droits.

Vous accompagnez vers une conformité RGPD durable

Depuis plus de 40 ans, Val Solutions accompagne les Services de Prévention et de Santé au Travail dans le pilotage et la gestion de la santé au travail. Avec uEgar, elle propose un espace métier dédié aux équipes pluridisciplinaires et supports du SPST pour assurer toutes les missions de prévention et de suivi médical auprès des salariés des entreprises. L'outil permet aux SPST de déployer leurs offres de service et piloter, grâce à des indicateurs précis, les services et les prestations servies. L'outil est déployé en mode SaaS pour garantir une utilisation optimale et est parfaitement interopérable avec d'autres outils numériques pour tout simplement faciliter la vie de ses clients.

Vous avez besoin d'un logiciel métier innovant pour structurer votre activité ?

Prenez contact avec notre équipe via le formulaire de contact et échangeons sur votre situation. C'est l'occasion de découvrir comment nous pouvons vous accompagner concrètement.