Guide de la CNIL pour les services de prévention et de santé au travail

Santé

By Julie Juriste

La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment publié un guide à destination des employeurs et des entreprises offrant des services de prévention et de santé au travail (SPST). Ce document vise à informer les acteurs concernés sur les obligations légales liées au traitement des données personnelles dans le cadre de ces activités. Nous allons donc aborder, dans cet article, les principales thématiques du guide ainsi que les éléments clés à retenir.

Obligations légales en matière de données personnelles

Dans le cadre de leurs missions, les SPST sont amenés à collecter et traiter des données personnelles relatives aux salariés et aux employeurs. Ces données peuvent concerner la santé, l’absentéisme, les accidents du travail ou encore les conditions de travail. Ainsi, il est primordial pour les entreprises et les organismes qui proposent ces services de se conformer aux réglementations en vigueur afin de garantir la protection des données personnelles de leurs clients.

Le Règlement général sur la protection des données (RGPD)

Le RGPD est une réglementation européenne entrée en application le 25 mai 2018. Il encadre le traitement et la circulation des données personnelles et impose de nouvelles obligations aux entreprises et aux organisations qui sont amenées à gérer ces informations. Les SPST doivent donc respecter ce texte en adoptant des mesures techniques et organisationnelles adéquates pour assurer la sécurité des données qu’ils manipulent.

La loi Informatique et Libertés

En France, la loi Informatique et Libertés encadre également le traitement des données personnelles. Elle a été modifiée en 2018 pour être en adéquation avec les exigences du RGPD. Les entreprises et les SPST doivent donc s’assurer de se conformer à cette législation, notamment en matière de droits des personnes concernées et de formalités préalables auprès de la CNIL.

Les principales recommandations du guide

Afin d’aider les employeurs et les SPST à respecter leurs obligations légales, la CNIL propose plusieurs conseils et recommandations dans son guide.

Respecter les principes du RGPD et de la loi Informatique et Libertés

Les SPST doivent veiller à appliquer les principes fondamentaux de ces réglementations, tels que :

  • la licéité, loyauté et transparence du traitement des données ;
  • la limitation des finalités, c’est-à-dire ne traiter les données que pour les besoins spécifiques des services proposés ;
  • la minimisation des données, en ne collectant que les informations strictement nécessaires ;
  • l’exactitude et la qualité des données, en mettant en place des processus permettant de les vérifier et de les mettre à jour régulièrement ;
  • la limitation de leur conservation, en fixant des délais proportionnés aux finalités du traitement ;
  • la protection et la sécurisation des données, grâce notamment à l’utilisation de moyens techniques et organisationnels adaptés.

Informer les personnes concernées

Les SPST ont l’obligation d’informer les salariés et employeurs sur le traitement de leurs données personnelles. Cette information doit être claire, précise et accessible. Elle peut être délivrée par différents moyens, tels qu’une notice d’information écrite, des affichages dans les locaux ou encore un site internet dédié. Les éléments à communiquer incluent notamment :

  • l’identité et les coordonnées du responsable du traitement et du délégué à la protection des données ;
  • les finalités et les bases légales du traitement ;
  • les catégories de données traitées et leur provenance ;
  • la durée de conservation des données ;
  • les droits des personnes concernées (accès, rectification, suppression, limitation, opposition, portabilité) et les modalités pour les exercer ;
  • éventuellement les destinataires des données et les transferts hors de l’Union européenne.

Mettre en place des mesures de protection des données

La CNIL recommande aux SPST de mettre en œuvre des actions permettant de garantir la sécurité et la confidentialité des données personnelles traitées. Il s’agit notamment de :

  • désigner un délégué à la protection des données (DPO), chargé de veiller au respect des obligations légales et réglementaires ;
  • identifier et cartographier les traitements de données afin d’avoir une vue d’ensemble sur les informations collectées et les risques encourus ;
  • effectuer des analyses d’impact pour les traitements susceptibles de présenter des risques élevés pour les droits et libertés des personnes concernées ;
  • adopter une politique de sécurité informatique, incluant notamment la mise en place de mesures techniques (chiffrement, sauvegardes régulières) et organisationnelles (accès restreint aux données, contrats avec les sous-traitants) ;
  • former et sensibiliser les collaborateurs aux enjeux de la protection des données personnelles.

En conclusion, ce guide de la CNIL constitue une ressource précieuse pour les entreprises et les acteurs du secteur de la prévention et de la santé au travail. Il leur permet de mieux comprendre leurs obligations légales en matière de traitement des données personnelles et de mettre en place des pratiques conformes aux réglementations en vigueur. En respectant ces principes, les SPST pourront à la fois garantir la sécurité des informations qu’ils gèrent et renforcer la confiance de leurs clients