Depuis le 1ᵉʳ mai 2023, le compte à rebours a commencé pour les Services de Santé et de Prévention au Travail (ci-après SPSTI).

En effet, Conformément à l’article L. 4622-9-3 du Code du travail, chaque service de prévention et de santé au travail (SPSTI) doit être soumis à une procédure de certification.

10 juin 2022 : Comité National de Prévention et de Santé au Travail (CNPST) a proposé un cadre pour certifier les SPSTI. Le Décret du 20 juillet 2022 est par la suite venu préciser les principes et éléments considérés dans le cadre de l’élaboration du cahier des charges de la certification.

Cette procédure doit être réalisée à l’aide d’un ensemble de référentiels, par un organisme indépendant et accrédité. La certification doit respecter les normes du RGPD en matière de protection des données (ci-après RGPD).

Chaque SPSTI doit respecter les principes de protection des données du RGPD lors des traitements mis en œuvre.

La norme AFNOR SPEC 2217 met en avant certains éléments essentiels à la conformité :

• Tout d’abord, les SPSTI doivent identifier l’ensemble des traitements qu’ils mettent en œuvre et des données traitées dans le cadre de leur activité. Cette cartographie des traitements permet aussi a posteriori de déterminer la nécessité de réaliser certaines mesures spécifiques comme une Étude d’Impact sur la Vie privée (EIVP).
• L’information des personnes : les employeurs et leurs salariés doivent être informés des traitements mis en place dans leur cadre d’activité, à l’aide de supports appropriés.
• Un recueil formalisé des consentements individuels : Cela signifie que chaque service de prévention et de santé doit prévoir un processus de collecte et de suivi des consentements des salariés suivis.
• Le traitement des réclamations relatives à l’utilisation de données personnelles : à savoir l’ensemble des demandes d’exercice droit pouvant émaner des sujets de la collecte, mais aussi les éventuels contrôles CNIL.

Nos consultants du pôle RGPD peuvent vous accompagner sur l’ensemble de ces items.

La norme AFNOR précise également que les SPSTI pourront s’appuyer dans ce processus de mise en conformité sur un guide de la CNIL dédié aux services de prévention et de santé au travail. La CNIL a rappelé lors de ces journées RGPD du 12 et 13 octobre 2023 à Toulouse (NDLR. Auxquelles le pôle RGPD de SRC Solution a participé) que le guide devrait être disponible d’ici à quelques semaines.

Dans cet intervalle, il reste néanmoins possible de commencer ou d’affiner votre processus de mise en conformité au RGPD. Les SPSTI ont en effet 2 ans pour obtenir leur certification, soit jusqu’au 1ᵉʳ mai 2025.

N’hésitez pas à contacter SRC Solution et nos équipes dans ce cadre.

Écrit par Marie Balloy et Constance Daoust, consultantes juristes en protection des données.