Protection des données | RGPD

Le Règlement Général relatif à la Protection des Données (RGPD) répartit les obligations et, par conséquent, les responsabilités juridiques liées à la mise en œuvre d’un traitement de données à caractère personnel sur les acteurs concernés qu’ils soient responsables du traitement (co-responsable) ou sous-traitants au sens de la réglementation.

La définition des rôles des différents acteurs impliqués dans un traitement de données personnelles est donc un préalable essentiel pour définir les compétences, les droits et les obligations de chacune des parties ainsi que son périmètre de responsabilités.

Dans le cadre de son activité, le SSTRN traite des données personnelles relatives, en particulier, aux salariés de ses adhérents dans le cadre de leur suivi en santé au travail.

De ce fait, le SSTRN est soumis aux exigences du Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018.

Afin de déterminer ses obligations au regard du RGPD, le SSTRN a procédé à une analyse de son rôle et de sa qualité, vis-à-vis des traitements des données des salariés de ses adhérents afin de déterminer s’il doit être considéré comme le responsable de traitement de ces données ou, au contraire, s’il doit être qualifié comme un sous-traitant de l’adhérent.

Il ressort de l’analyse réalisée par le SSTRN que ce dernier ne peut pas être considéré comme un sous-traitant de l’adhérent vis-à-vis des données des salariés des adhérents.

En effet, d’une part, le SSTRN ne traite pas les données des salariés des adhérents conformément aux instructions de ces derniers mais bien sur la base des dispositions prévues par la loi, notamment dans le cadre du code du travail. 

D’autre part, le SSTRN est spécialement habilité à réaliser ces traitements de données personnelles pour assurer la prévention des risques professionnels et le suivi de la santé des salariés dans les conditions prévues par la loi, en vertu de l’agrément qui lui a été délivré par la Direction régionale des entreprises, de la concurrence, de la consommation, du travail et de l’emploi des Pays de la Loire. 

De plus, il convient également d’écarter la notion de co-responsabilité entre le SSTRN et ses adhérents dans les traitements qui sont mis en œuvre. En effet, les adhérents ne font que transmettre des informations au SSTRN pour que ce dernier réalise ses missions de prévention et de suivi sans pour autant intervenir dans la définition des objectifs poursuivis et des moyens pour y parvenir

Ne remplissant donc pas les critères du sous-traitant au sens RGPD, le SSTRN doit donc être considéré comme le seul responsable des traitements mis en œuvre vis-à-vis des salariés de nos adhérents dans le cadre de la prévention des risques professionnels et le suivi de leur santé. 

De ce fait, les obligations du responsable du traitement, prévues par le RGPD, reposent entièrement sur le SSTRN. Il s’agit, notamment, de l’obligation d’information des salariés concernant l’utilisation de leurs données, le respect de leurs droits, la sécurisation des données personnelles, la limitation de leur conservation, la tenue d’un registre des traitements réalisés.

Pour plus d’informations à ce sujet, nous vous invitons à prendre contact avec la déléguée à la protection des données (DPO) du SSTRN : 

Audrey GILLARD
Déléguée à la protection des données (DPO)
2 rue Linné - BP 38549 - 44185 Nantes cedex 4
tél. : 02 40 44 26 95
mail : dpo@sstrn.fr