Règlement Général sur la Protection des Données
DÉFINITIONS
« Données » désigne toutes informations relatives à une personne physique vivante identifiée ou identifiable ; une personne physique vivante identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par rapport à un numéro d’identification ou à un ou plusieurs éléments propres à son identité physique, physiologique, mentale, économique, culturelle ou sociale.
« Données à caractère sensible » : désigne toutes données portant sur les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, l’orientation ou la vie sexuelle, ou des données de santé, biométriques ou génétiques.
« Lois relatives à la Protection des Données » désigne le RGPD et les lois locales applicables en matière de protection des données du pays du Contrôleur des Données, en ce inclus toute nouvelle promulgation ou modification du RGPD et des lois précitées et tous règlements ou ordonnances adoptés en vertu de ce qui précède.
« RGPD » désigne le Règlement général sur la protection des données (Règlement (UE) 2016/679) tel que modifié ou complété selon les besoins.
« Traitement » désigne toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés, appliqué(es) à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. Ce traitement peut être automatisé en tout ou en partie, ou non automatisé, concernant des données à caractère personnel contenues ou appelées à figurer dans un fichier. Un fichier désigne tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
OBLIGATIONS RESPECTIVES DE PREVEAM OU CENTRE MEDICAUX SOCIAL MONTESQUIEU ET DE SES ADHERENTS
Article 1 : Santé au travail et obligation des employeurs
D’une part, les missions et responsabilités des Services de Santé au Travail sont définies par plusieurs textes de lois :
- Loi n° 2011-867 du 20 juillet 2011,
- La loi n° 2016-1088 du 8 août 2016,
- Le décret n°2016-1908 du 27 décembre 2016
qui définissent les quatre missions essentielles des Services de Santé au Travail, assurées par une équipe pluridisciplinaire, animée et coordonnée par le médecin du travail : action en entreprise, conseil, surveillance de l’état de santé, traçabilité et veille sanitaire.
D’autre part, l’adhésion à un service de santé au travail est une obligation faite à tout employeur dès l’embauche du premier salarié quelles que soient la nature et la durée du contrat de travail. (Articles L.4622-1 et L.4622-6, du Code du travail)
Article 2 : Relations entre PREVEAM et ses entreprises adhérentes
Les relations entre un employeur adhérant à un Service de Santé au Travail et le dit Service sont régies par les textes réglementaires (lois, code du travail, code de la Santé publique, …) et par les dispositions des statuts et règlement intérieur du Service de Santé au Travail (Article D.4622-22 du Code du travail).
En particulier, l’adhérent a obligation envers le Service de Santé au Travail de :
- Demander les visites médicales pour ses salariés dans les délais et en garder la preuve.
- Informer le médecin du travail des arrêts pour accident du travail de moins de 30 jours.
- S’assurer du suivi des avis d’aptitude, de la réalisation des visites médicales et des entretiens infirmiers.
- Envoyer une déclaration préalable, dans les six mois suivant son adhésion, précisant le nombre et la catégorie des salariés à suivre et les risques professionnels auxquels ils sont exposés.
- Transmettre chaque année une déclaration des effectifs en distinguant notamment les salariés soumis à une surveillance médicale renforcée.
- Inviter au CHSCT le médecin du travail au moins 15 jours avant.
- Transmettre les fiches de postes au médecin du travail afin que les avis d’aptitude soient circonstanciés.
- Transmettre les trois emplois concernés et les fiches de postes au médecin du travail pour les intérimaires et les salariés des associations intermédiaires.
- Transmettre les fiches de données de sécurité des produits chimiques utilisés à l’équipe santé travail (EST).
- Communiquer les éléments de compréhension du fonctionnement de l’entreprise et de ses risques professionnels.
Article 3 : Modalités d’échanges entre PREVEAM et ses adhérents
Afin d’assurer leurs obligations respectives, PREVEAM et ses adhérents doivent échanger des données personnelles, qui permettront à PREVEAM d’organiser le suivi individuel de l’état de santé de chaque salarié des adhérents, mais également d’assurer le suivi administratif de chaque adhérent. Ces données sont échangées par tout moyen disponible : électronique, papier ou communication orale.
Il est précisé qu’il n’existe aucun échange entre PREVEAM et ses adhérents portant sur des données personnelles à caractère sensible.
Le présent document a pour objectif de préciser les engagements de PREVEAM dans le recueil, le traitement, la protection et la conservation de ces données personnelles afin d’assurer le respect de l’ensemble des dispositions légales et règlementaires relatives à la protection des données.
Article 4 : Consentement et Droit d’information des salariés de l’adhérent
Il est précisé que l’adhérent, préalablement à tout transfert de données personnelles concernant ses salariés, a fait son affaire des obligations d’information des salariés concernés et s’est conformé à toute obligation de notification et/ou d’enregistrement précisée par les Lois relatives à la Protection des Données.
TRAITEMENT DES DONNÉES
Article 5 : Données collectées à des fins de gestion de la relation avec l’entreprise
Dans le cadre des services rendus à ses entreprises adhérentes, PREVEAM collecte des données à caractère personnel des salariés de celles-ci, (contrat d’adhésion, déclaration d’effectifs,…), qui font l’objet de traitements automatisés à des fins de gestion administrative de la relation avec l’entreprise (facturation, assistance, gestion commerciale, téléphonie, amélioration de la qualité, de la sécurité et de la performance des services, recouvrement, etc.).
Les données concernées sont essentiellement les noms, prénoms, numéros de téléphones, adresse mail des dirigeants et salariés de l’entreprises en charge de la relation avec PREVEAM.
Dans le cadre de son extranet (ensemble de services en ligne proposés aux entreprises), PREVEAM gère également les identifiants de connexion au service.
Article 6 : Données collectées à des fins de gestion du suivi individuel de l’état de santé des salariés
Afin de respecter ses obligations de suivi individuel de l’état de santé des salariés de ses entreprises adhérentes, PREVEAM collecte les données à caractère personnel auprès du service de gestion des ressources humaines de l’entreprise. Ces données, recueillies au moment de l’adhésion de l’entreprise, lors de l’embauche de nouveaux collaborateurs et mis à jour régulièrement, concernent exclusivement l’identification des salariés (nom, prénom, sexe, INS, date de naissance, …). Ces données font l’objet de traitements qui ont pour objectif unique la gestion administrative de la relation entre PREVEAM et la salarié concerné (organisation des visites et entretiens médicaux.
Article 7 : Secret professionnel et Confidentialité des données
D’une part, l’ensemble des personnels de PREVEAM est soumis au secret professionnel (par l’article 226-13 du code pénal, l’article 1110-4 du Code de Santé publique, et le code de déontologie médicale).
D’autre part, la relation contractuelle entre PREVEAM, son éditeur de progiciel et son Hébergeur de données, étend à ceux-ci les obligations de secret professionnel.
Dans ces conditions, PREVEAM s’engage à ne pas utiliser les données ainsi collectées à d’autres fins que celles susmentionnées dans les deux paragraphes ci-dessus et à n’en faire communication a aucun tiers, et à faire respecter ces dispositions par ses salariés et ceux de ses sous-traitants ou fournisseurs intervenant dans la gestion des données personnelles concernées.
Une exception à cet engagement est possible : la fourniture de données aux autorités judiciaires et / ou administratives, notamment dans le cadre de réquisitions.
Dans ce cas, et sauf disposition légale l’en empêchant, PREVEAM s’engage à en informer l’adhérent et à limiter la communication de données à celles expressément requises par lesdites autorités.
Article 8 : Hébergement des données et sécurité des données
L’ensemble des données concernées par les traitements susmentionnées sont hébergées exclusivement sur le territoire français, par la société ORANGE BUSINESS SERVICES, 21 rue Jasmin, 75016 PARIS. La solution Hébergement Santé – Infogérance d’applications répond aux exigences de l’agrément définies dans le décret N°2006-6 du 4 janvier 2006 « Hébergement des données de Santé à caractère personnel » du MINISTERE de la SANTE et de l’AGENCE des SYSTEMES d’INFORMATIONS PARTAGES de SANTE.
Cette société fournit à PREVEAM un service de haute disponibilité (redondance de l’ensemble des systèmes en temps réel) et d’un haut niveau de sécurité. ORANGE BUSINESS SERVICES dispose de l’agrément « hébergeur de données de santé » délivré par l’Agence des Systèmes d’Information Partagés (ASIP) et est donc conforme à l’ensemble des référentiels en vigueur dans le domaine de la protection des données de santé et des données personnelles.
Ainsi PREVEAM est en mesure, conformément à l’article 34 de la loi Informatique et Libertés modifiée, d’assurer à ses adhérents que toutes les précautions utiles pour préserver la sécurité et la confidentialité des données à caractère personnel, et notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, ont été prises.
En particulier, en conformité avec son contrat d’hébergement avec PREVEAM, ORANGE BUSINESS SERVICES a mis en place:
- des mesures de sécurité physique visant à empêcher l’accès aux Infrastructures sur lesquelles sont stockées les données de PREVEAM par des personnes non autorisées,
- des contrôles d’identité et d’accès via un système d’authentification ainsi qu’une politique de mots de passe,
- un système de gestion des habilitations permettant de limiter l’accès aux locaux aux seules personnes ayant besoin d’y accéder dans le cadre de leurs fonctions et de leur périmètre d’activité,
- un personnel de sécurité et des dispositifs de vidéosurveillance chargés de veiller à la sécurité physique des locaux,
- un système d’isolation physique et logique des Clients entre eux,
- des processus d’authentification des utilisateurs et administrateurs, ainsi que des mesures de protection des fonctions d’administration,
- dans le cadre d’opérations de support et de maintenance, un système de gestion des habilitations mettant en œuvre les principes du moindre privilège et du besoin d’en connaître,
- des processus et dispositifs permettant de tracer l’ensemble des actions réalisées sur son système d’information, et d’effectuer conformément à la réglementation en vigueur, des actions de reporting en cas d’incident impactant les données de PREVEAM.
Article 9 : Droit d’accès et de rectification
Conformément à la loi «Informatique et Libertés» du 6 janvier 1978, l’adhérent bénéficie d’un droit d’accès, de rectification et de suppression des informations susvisées le concernant. Ce droit peut s’exercer de deux façons complémentaires :
- Les adhérents utilisant le site Extranet de PREVEAM ont accès à l’application informatique permettant de restituer les données qu’ils ont transmises à PREVEAM et, le cas échéant, de les modifier.
- Tous les adhérents peuvent demander et obtenir communication desdites informations auprès du délégué à la protection des données (DPO) de PREVEAM par courriel à l’adresse électronique : dpo@cmsm.fr, ou encore par courrier postal à l’adresse : PREVEAM, Délégué à la Protection des Données, 8 rue Montesquieu 75001 PARIS en justifiant de son identité. Il y sera répondu dans un délai de trente (30) jours suivant réception.