RGPD | Politique générale

Le SSTRN traite un grand nombre de données à caractère personnel, soumises au RGPD. Vous retrouverez au sein d’une politique générale de protection des données l’intégralité des informations réglementaires que les adhérents et leurs salariés doivent avoir à leur disposition.


 

Politique générale de protection des données personnelles

Préambule

Le SSTRN, service de prévention et de santé au travail de la région nantaise, est un service de santé au travail interentreprises, dont le siège social est situé 2 rue Linné, 44100 Nantes.

Depuis sa création, le SSTRN, afin de répondre à son objet social, collecte des données à caractère personnel, les exploite et les conserve, parmi lesquelles des données de santé des salariés des adhérents.

Le traitement de ces données doit répondre aux exigences de la réglementation relative à la protection des données, garantissant la sécurité, pérennité et protection de ces données contre toute atteinte et tout accès non autorisés, dans le respect du secret professionnel auxquels sont assujettis nos professionnels et notamment nos professionnels de santé (médecins et infirmiers) et autres membres de l’équipe pluridisciplinaire.

En sa qualité de responsable du traitement, le SSTRN attache une grande importance à la protection et au respect de la vie privée de ses adhérents ainsi que de leurs salariés. C’est pourquoi la présente politique est établie et vise à vous informer, conformément au Règlement n°2016-679 du 27 avril 20161 de nos pratiques concernant le traitement des données vous concernant et concernant vos salariés, que vous êtes amenés à nous fournir dans le cadre de votre adhésion au SSTRN et à la fourniture de nos services à votre égard et à l’égard de vos salariés.

Qui est le responsable du traitement de vos données ?

Le SSTRN est le responsable des traitements de données mis en œuvre, pour les finalités et dans les conditions définies par la présente Politique de sécurité et de confidentialité.

Concernant la qualité éventuelle de sous-traitant, https://www.sstrn.fr/rgpd.
Le SSTRN est une association déclarée, régie par la loi du 1er juillet 1901. Son siège social est situé au 2 rue Linné, 44100

Nantes. Elle est identifiée au SIREN sous le numéro 788 354 843 00021.

Quelles données traitons-nous ?

En adhérant au SSTRN, vous êtes amenés à nous transmettre directement des informations dont certaines sont de nature à vous identifier pour mieux vous accompagner ou identifier vos salariés dont nous avons en charge le suivi médical.

De même vos salariés, lors de leurs visites ou divers examens de prévention, sont également amenés à nous transmettre directement des informations les concernant.

De ce fait, ces données dites « à caractère personnel » sont soumises à la réglementation ci-dessus évoquée. Cette transmission de données se fait notamment lorsque vous :

  • remplissez votre dossier d’adhésion
  • mettez à jour le portail adhérent
  • nous transmettez la liste de vos salariés que nous devons prendre en charge au titre de leur suivi santé travail
  • participez à des ateliers de prévention
  • convoquez vos salariés aux visites médicales réglementaires

Vos salariés sont aussi concernés par cette transmission indirecte de données par votre biais, et directement lorsque :

  • ils sont vus par les professionnels de santé du SSTRN (mise à jour d’information administrative, transmission de données de santé), échangent avec des professionnels du SSTRN
  • participent à des ateliers, enquêtes de satisfaction, etc...

Nous traitons uniquement les données personnelles qui nous sont strictement nécessaires dans le cadre de nos activités statutaires de suivi en santé au travail : organisation et gestion du Service de Santé au Travail et mises en œuvre d’actions de prévention.
Pour l’accomplissement de nos missions, nous sommes amenés à collecter les catégories de données personnelles suivantes :

  • Informations administratives et de contacts
    Nom, prénom, lieu et date de naissance, sexe, âge, adresse postale et électronique professionnelle et/ou personnelle, numéro de téléphone professionnel et/ou personnel
  • Informations relatives à la situation personnelle et familiale
    Situation familiale, situation maritale, nombre d’enfants, nombre d'enfants à charge, médecin traitant.
  • Informations relatives à l’emploi, à la formation et au poste de travail
    Niveau d’étude, diplômes, nom de l’employeur, conditions de travail, emploi déclaré par l'employeur, code PCS de l'emploi, type de contrat, date de début de contrat, date de fin de contrat, date de début de poste, date de fin de poste, expositions déclarées par l'employeur, (NIR), historique des arrêts de travail et absences.
  • Données d’identification et d’authentification lors de l’utilisation des services en ligne proposés par le SSTRN
    Adresse IP, logs techniques, traces informatiques, cookies de navigation.
  • Données relatives à vos demandes d'offres et de contenus proposés par le SSTRN
    Données relatives aux interactions avec nos adhérents et leurs salariés dans nos centres médico-sociaux ou sur le milieu de travail (interventions, enquêtes, participations à des ateliers et actions collectives de prévention), sur nos sites Internet, sur les réseaux sociaux, lors des entretiens et conversations téléphoniques avec nos équipes, dans les courriers électroniques et les publications du service.

Nous sommes également amenés à collecter des données sensibles :

  • Informations médicales en application de la législation en vigueur, dans le respect du secret médical (professionnels de santé) ou du secret professionnel (tous les salariés du service)
    Données de santé nécessaires à la prise en charge en santé au travail des salariés, notamment le type de suivi individuel de l’état de santé déterminé par le médecin du travail, les informations médicales nécessaires à la détermination de l’aptitude ou au constat d’une inaptitude, conclusions d’examens complémentaires, diagnostics médicaux, antécédents médicaux personnels, des parents et de la fratrie, etc.
  • Informations sociales des salariés pris en charge
    Statut matrimonial, situation familiale et personnelle, difficultés économiques, problème de logement, situation de handicap, données nécessaires à la lutte contre le surendettement, autres données sociales selon la nature de la demande du salarié).

Les données que nous traitons sont en principe recueillies directement auprès des personnes concernées (adhérents, salariés suivis, fournisseurs).

Par exception, certaines données sont obtenues indirectement :

  • Certaines données d’informations administratives et d’identification des salariés (comme l’adresse mail ou le téléphone) dont le SSTRN doit assurer la prise en charge, ou des données relatives à leur situation professionnelle, peuvent être recueillies auprès de leurs employeurs (adhérents du SSTRN) ;
  • Le cas échéant, certaines données transmises via la plateforme de dépôt de l’URSSAF à l’occasion des déclarations préalables à l’embauche réalisées par les adhérents.

Comment et pour quelles raisons utilisons-nous vos données ?

Le traitement de vos données à caractère personnel est soumis au respect du règlement européen n°2016/679 du 27 avril 2016 sur la protection des données, dit « RGPD », et à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée par la loi n°2018-493 du 20 juin 2018.

Selon ces textes, le traitement des données personnelles de santé n’est possible que lorsqu’il satisfait à la double condition de l’article 6 et de l’article 9 dudit RGPD. Cela signifie que ce traitement de données doit poursuivre notamment une finalité d’appréciation médicale : soins, diagnostics et médecine préventive (et ce, sans consentement préalable de l’utilisateur). Toutefois lorsqu’un consentement est nécessaire pour la mise en œuvre d’un traitement, nous procédons à l’information despersonnes concernées et demandons leur consentement.

Ceci étant dit, le traitement des données personnelles réalisé par le SSTRN repose sur plusieurs finalités et fondements juridiques (base légale) :

Le traitement de vos données nous permet de répondre à nos obligations légales et réglementaires

Les données personnelles que nous collectons sont nécessaires, notamment :

  • à l’accomplissement des missions légales du SSTRN prévues par le code du travail (articles L4621-1 et suivants ains que des dispositions réglementaires prises en application de la loi),
  • à l’accomplissement des missions des professionnels de santé que le SSTRN emploient en vertu du code de santé publique,
  • ainsi que des missions des différents professionnels qu’il emploie (assistantes sociales, salariés administratifs, etc) prévues par les différents textes légaux (code de l’action sociale et des familles, code du travail, etc).

Parmi les textes légaux justifiant les traitements de données sur vos données figurent :

Article L4622-2 du code du travail (missions légales d’un SSTI) :

Les services de santé au travail ont pour mission exclusive d’éviter toute altération de la santé des travailleurs du fait de leur travail.
À cette fin, ils :
1. Conduisent les actions de santé au travail, dans le but de préserver la santé physique et mentale des travailleurs tout au long de leur parcours professionnel,
2. Conseillent les employeurs, les travailleurs et leurs représentants sur les dispositions et mesures nécessaires afin d’éviter ou de diminuer les risques professionnels, d’améliorer les conditions de travail, de prévenir la consommation d’alcool et de drogue sur le lieu de travail, de prévenir le harcèlement sexuel ou moral, de prévenir ou de réduire les effets de l’exposition aux facteurs de risques professionnels mentionnés à l’article L. 4161-1 et la désinsertion professionnelle et de contribuer au maintien dans l’emploi des travailleurs,
3. Assurent la surveillance de l’état de santé des travailleurs en fonction des risques concernant leur santé au travail et leur sécurité et celle des tiers, des effets de l’exposition aux facteurs de risques professionnels mentionnés à l’article L. 4161-1 et de leur âge,
4. Participent au suivi et contribuent à la traçabilité des expositions professionnelles et à la veille sanitaire.

Article L 4622-3 du code du travail (Missions du médecin du travail) :

Le rôle du médecin du travail est exclusivement préventif. Il consiste à éviter toute altération de la santé des travailleurs du fait de leur travail, notamment en surveillant leurs conditions d'hygiène au travail, les risques de contagion et leur état de santé, ainsi que tout risque manifeste d'atteinte à la sécurité des tiers évoluant dans l'environnement immédiat de travail.

Article L4622-8 (missions du SSTI exercées par l’équipe pluridisciplinaire en santé travail)

Les missions des services de santé au travail sont assurées par une équipe pluridisciplinaire de santé au travail comprenant des médecins du travail, des collaborateurs médecins, des internes en médecine du travail, des intervenants en prévention des risques professionnels et des infirmiers. Ces équipes peuvent être complétées par des assistants de services de santé au travail et des professionnels recrutés après avis des médecins du travail. Les médecins du travail animent et coordonnent l'équipe pluridisciplinaire.

Article R4624-1 (Les actions en milieu de travail)

Les actions sur le milieu de travail s'inscrivent dans la mission des services de santé au travail définie à l'article L. 4622-2. Elles comprennent notamment :
1° La visite des lieux de travail ;
2° L'étude de postes en vue de l'amélioration des conditions de travail, de leur adaptation dans certaines situations ou du maintien dans l'emploi ;
3° L'identification et l'analyse des risques professionnels ;
4° L'élaboration et la mise à jour de la fiche d'entreprise ;
5° La délivrance de conseils en matière d'organisation des secours et des services d'urgence ;
6° La participation aux réunions du comité social et économique ;
7° La réalisation de mesures métrologiques ;
8° L'animation de campagnes d'information et de sensibilisation aux questions de santé publique en rapport avec l'activité professionnelle ;
9° Les enquêtes épidémiologiques ;
10° La formation aux risques spécifiques ;
11° L'étude de toute nouvelle technique de production ;
12° L'élaboration des actions de formation à la sécurité prévues à l'article L. 4141-2 et à celle des secouristes.

Article L4622-9 (présence d’un service social au sein des SSTI)

Les services de santé au travail comprennent un service social du travail ou coordonnent leurs actions avec celles des services sociaux du travail prévus à l'article L. 4631-1.

Article L4624-8 (le DMST)

Un dossier médical en santé au travail, constitué par le médecin du travail, retrace dans le respect du secret médical les informations relatives à l'état de santé du travailleur, aux expositions auxquelles il a été soumis ainsi que les avis et propositions du médecin du travail, notamment celles formulées en application des articles L. 4624-3 et L. 4624-4. Ce dossier ne peut être communiqué qu'au médecin de son choix, à la demande de l'intéressé. En cas de risque pour la santé publique ou à sa demande, le médecin du travail le transmet au médecin inspecteur du travail. Ce dossier peut être communiqué à un autre médecin du travail dans la continuité de la prise en charge, sauf refus du travailleur. Le travailleur, ou en cas de décès de celui-ci toute personne autorisée par les articles L. 1110-4 et L. 1111-7 du code de la santé publique, peut demander la communication de ce dossier. 

 
ADHÉRENTSSALARIÉS DES ADHÉRENTS

Vous transmettre des informations relatives à notre offre de service.

Assurer le suivi en santé au travail des salariés et permettre la réalisation de nos autres actions de prévention pour les bénéficiaires finaux (salariés de nos adhérents).

Vous demandez de valider les demandes d’adhésion.
 

Réaliser d’autres actions incluses dans notre offre en santé au travail, telles que les formations, réunions de sensibilisation, diffusion de nos publications (plaquette d’information ou de prévention), actions thématiques, enquêtes (auprès des adhérents et/ou de leurs salariés, etc ...), information ou actualités réglementaires ou techniques.

Réaliser d’autres actions incluses dans notre offre en santé au travail, telles que les formations, réunions de sensibilisation, diffusion de nos publications (plaquette d’information ou de prévention), actions thématiques, enquêtes (auprès des adhérents et/ou de leurs salariés, etc ...).

Établir et adresser les éléments de facturation et les factures à nos adhérents.
 

Gérez votre espace au portail adhérent.

 
 

Le traitement de vos données nous permet de faire valoir nos intérêts légitimes

Nous pouvons également être amenés à traiter les données personnelles recueillies auprès des adhérents ou de leurs salariés pour faire valoir nos intérêts légitimes, au titre desquels :

  • Entamer une démarche qualité afin d’évaluer, développer et adapter notre offre de service au bénéfice de l’adhérent et de ses salariés,
  • Défendre nos intérêts en justice, notamment à des fins de :
    • Preuve de nos accords, actions et interventions,
    • Gestion et administration de notre système d'information,
    • Continuité de notre offre de service,
    • Sécurité des personnes,
    • La gestion des impayés et du recouvrement,
    • La gestion des recours, des réclamations et des contentieux, o La lutte contre la fraude,
  • Création de base de tests informatiques et de statistiques pour le suivi de notre activité en interne.
  • Réaliser des enquêtes qui ne seraient pas en lien direct avec notre activité tout en ayant un intérêt légitime (ex : étude de besoins, satisfaction...)

Toutes les données traitées peuvent être agrégées en statistiques anonymisées à des fins d’enquêtes et d’études. Les résultats de ces enquêtes anonymes peuvent être transmis à nos partenaires (Présanse, branche professionnelle, CRAMIF, SAMETH) ou à la DIRECCTE, notre autorité de tutelle.

Qui sont les destinataires de vos données personnelles ?

Afin d’accomplir les finalités précitées, nous sommes amenés à transmettre vos données personnelles uniquement :

  • En interne au SSTRN :
    • Aux personnels de notre service, dûment habilités selon la finalité du traitement poursuivi,
    • Aux professionnels de santé en charge du dossier médical en santé au travail (DMST).
  • En externe :
    • À nos prestataires de services et sous-traitants réalisant des prestations pour notre compte et dans le cadre de ce qui leur est strictement nécessaire,
    • À nos partenaires éventuels dans le cadre d’enquêtes et d’études réalisées par notre service. Les données traitées étant alors agrégées en statistiques anonymisées,
    • Aux administrations, organismes publics, autorités judiciaires sur demande et dans la limite de ce qui est permis par la réglementation.

Il est à noter que nous n’effectuons aucune transmission externe de données sensibles (médicales ou sociales) recueillies par nos professionnels habilités sauf exception légale ou réglementaire tel que :

  • En cas de transmission directe du dossier médical au salarié concerné ou au médecin de son choix, ainsi qu’à ses ayants droits dans les cas légalement prévus,
  • En cas de transmission du dossier médical au médecin inspecteur du travail s’il en fait la demande, selon les disposituons légales applicables
  • En cas de demande d’informations sociales à la demande de nos partenaires lorsque ces derniers ont été saisis directement par le salarié suivi dans le cadre de sa prise en charge sociale,
  • En cas de communications d’éléments médicaux et/ou sociaux aux autorités judiciaires, avocats, sur demande, et dans la limite de ce qui est permis par la réglementation.

Vos données sont-elles transférées et si oui, où ?

À l'exception des données de navigation à des fins de statistique de consultation du site, le SSTRN ne transfère pas vos données personnelles en dehors de l’Union européenne.

Vos données sont « transmises » uniquement à ses prestataires d’hébergement, situés en France, et habilités « HDS » pour la partie relative aux données de santé, à des fins de stockage.

Combien de temps conservons-nous vos données ?

Généralement, nous conservons les données personnelles recueillies pour la durée nécessaire à l'accomplissement de nos obligations légales et réglementaires ou pour une autre durée définie en considération de la poursuite de nos intérêts légitimes, de l’exécution de nos engagements, du suivi et de la traçabilité de nos actions de prévention, du suivi de l’exécution du contrat d’adhésion, de nos contraintes opérationnelles et des réponses aux demandes des autorités judiciaires ou administratives. 

Catégorie de données

Durées de conservation

S’agissant de la gestion de la relation administrative avec les adhérents

Conservation pendant la durée de l’adhésion et ensuite pendant 10 ans après la fin de notre relation contractuelle

S’agissant des salariés suivis par le SSTRN

50 ans pour tous les salariés, à compter de la fin de la prise en charge

Prise en charge sociale

2 ans à compter de la fin de la prise en charge sociale

S’agissant des contacts de nos fournisseurs, prestataires et sous-traitants

La majorité des informations sont conservées pendant la durée de notre relation contractuelle et pendant 5 ans après la fin de notre contrat

D’autres durées de conservations spécifiques peuvent être appliquées selon les catégories de traitements.

Comment sont protégées vos données ?

Le SSTRN a mis en place des procédures internes pour la gestion des risques et pour l'organisation de la sécurité des données. Ces procédures sont documentées et adaptées à chaque traitement de données personnelles en fonction des risques qu’ils sont susceptibles de présenter pour la vie privée des personnes concernées.

Le SSTRN prend également les mesures de protection techniques et organisationnelles adéquates, telles que définies dans la réglementation en vigueur, afin de protéger les données personnelles que nous traitons. Le SSTRN prend notamment des mesures de sécurité appropriées pour les traitements de données personnelles sensibles et des risques associés.

Nos mesures de sécurité, applicables à tous les systèmes utilisés dans le traitement des données personnelles, visent à garantir la confidentialité, l’intégrité et la disponibilité de celles-ci, à tout moment et jusqu’à leur suppression de notre système d’information.

https://www.sstrn.fr/sites/default/files/pdf/com-cour_rgpd_20201116.pdf

Quels sont vos droits sur vos données ?

En application de la réglementation en vigueur, et selon les finalités des traitements, les personnes dont nous recueillons les données peuvent avoir les droits suivants : 

  • Droit d'information et d’accès : droit d’obtenir des informations concernant les traitements des données personnelles les concernant ainsi qu’une copie de ces données personnelles,
  • Droit à la limitation du traitement : toute personne peut demander que le traitement de ses données personnelles soit limité uniquement à ce qui est strictement nécessaire,
  • Droit de vérification et de rectification : toute personne peut demander la modification de ses données personnelles lorsqu’elles sont inexactes ou incomplètes,
  • Droit de définir des directives relatives à la conservation, l’effacement ou la communication des données personnelles, applicables après le décès, dans la limite de ce qui est permis par la législation en vigueur,
  • Droit au consentement : lorsqu’un consentement est nécessaire pour la mise en œuvre par le SSTRN d’un traitement des données personnelles, nous procédons à l’information des personnes concernées et demandons leur consentement,
  • Droit de retirer un consentement : en cas de mise en œuvre d’un traitement de données personnelles nécessitant un consentement de la personne concernée, elle a le droit de retirer ce consentement à tout moment, sous réserve de la réglementation en vigueur.

Les droits suivants sont applicables à l’exception des traitements relevant de l’exécution d’un obligation légale :

  • Droit à l’effacement : à l’exception de certaines données concernant la traçabilité du suivi et des actions en santé au travail, il est possible de nous demander l’effacement des données personnelles dans les limites et conditions réglementaires en vigueur,
  • Droit d’opposition : à l’exception des données concernant la traçabilité du suivi et des actions en santé au travail, et sauf autre exception réglementaire, les personnes concernées peuvent s’opposer au traitement de leurs données personnelles pour des motifs liés à leur situation particulière,
  • Droit à la portabilité des données : lorsqu’il est applicable, il s’agit du droit, pour les personnes concernées, de demander que les données personnelles qu’elles ont fournies leur soient rendues ou, lorsque cela est possible techniquement, de les transférer directement à un tiers.

Les droits listés ci-dessus peuvent être exercés en contactant notre Délégué à la Protection des Données comme indiqué ci- après.
Il est à noter que le SSTRN n’effectue pas de prospection commerciale ni de profilage à des fins commerciales.
Conformément à la réglementation applicable, vous êtes également en droit d’introduire une réclamation auprès de la CNIL (Commission nationale de l’informatique et des libertés), autorité de contrôle compétente en France.

Le délégué à la protection des données (DPO)

Afin de préserver la vie privée et la protection des données à caractère personnel de tous, le SSTRN a désigné un Délégué à la Protection des Données (DPO). Le DPO est un gage de confiance, spécialisé dans la protection des données personnelles. Il est chargé de veiller à la préservation de la vie privée et à la bonne application des règles de protection des données personnelles.

Il est l’interlocuteur privilégié de la Commission Nationale de l’Informatique et des Libertés (CNIL), et de toutes personnes concernées par une collecte ou un traitement de données à caractère personnel.

Pour contacter le DPO, vous pouvez écrire à : SSTRN – A l’attention du DPO – 2 rue Linné 44100 Nantes ou par mail à dpo@sstrn.fr.

Le DPO tient le registre des activités de traitements de l’association qu’il met, le cas échéant, à la disposition de la CNIL.

Modifications des présents engagements

La présente politique de protection des données à caractère personnel témoigne des engagements mis en œuvre par le SSTRN et de l’ensemble de ses collaborateurs dans le cadre de ses activités quotidiennes pour une utilisation responsable des données personnelles. Cette politique est susceptible d’être mise à jour pour prendre en compte les évolutions législatives et réglementaires, et tout changement dans l’organisation du SSTRN ou dans les offres et services proposés. Nous vous invitons à consulter régulièrement notre site internet afin de prendre connaissance de sa dernière version en vigueur.

Nos adhérents, leurs salariés, ainsi que nos fournisseurs et prestataires, seront informés, par nos modes de communication habituels, de toute modification importante.