Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Dans sa nouvelle chronique, Eric Barbry analyse le rapport particulier que les Services de Prévention et de Santé au Travail Interentreprises (SPSTI) entretiennent avec le règlement général pour la protection des données (RGPD). Des obligations qui peuvent les empêcher d’exercer.
Je pense qu’au plan juridique j’ai trouvé la perle de l’année : Une loi qui rappelle qu’il faut respecter … la loi ! De quoi justifier une chronique sur le sujet…
Pour commencer, je vais vous relater ce qui m’a fait prendre conscience de cette situation intéressante. Il y a quelques temps, un SPSTI (Services de Prévention et de Santé au Travail Interentreprises) m’appelle, puis un autre, puis un autre… Et tous pour me dire : « Je dois respecter le RGPD ! ».
Et moi de répondre : « Ben oui, comme tout le monde ! »
Eux d’enchainer : « Ben non, nous on doit vraiment le respecter !»
Piqué au vif par ces échanges ubuesques, me voici à la recherche d’explications et voici ma découverte : effectivement les SPSTI ne sont pas des entités comme les autres et effectivement leur avenir est, à court terme, conditionné par le respect du RGPD.
Qu’est-ce qu’un SPSTI ?
Un Service de Prévention et de Santé au Travail Interentreprises est un organisme chargé d’accompagner les employeurs et les salariés en matière de santé au travail, de prévention des risques professionnels et d’amélioration des conditions de travail. Appelons cela « médecine du travail » pour résumer. Il en existe à peu près 200 en France qui traitent près de 15 millions de salariés.
Pourquoi un SPSTI doit impérativement respecter le RGPD ?
En plus de devoir respecter le RGPD comme tous les responsables de traitement, les SPSTI sont soumis à l’article L4622-9-3 du Code du travail.
Or cet article prévoit qu’un SPSTI doit respecter 5 critères. Et parmi ceux-ci, le 4ème est assez particulier :
|
« Chaque service de prévention et de santé au travail interentreprises fait l’objet d’une procédure de certification, réalisée par un organisme indépendant, visant à porter une appréciation à l’aide de référentiels sur :
(…)
4° La conformité du traitement des données personnelles au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE ainsi qu’à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (…)
|
Le référentiel de certification a été adopté sous l’égide de l’Afnor sous la référence SPEC 2217 et s’agissant du RPGD il est assez simple : il faut respecter tout le RGPD et aussi la loi de 1978 dans la mesure où elle traite spécifiquement des données de santé (chapitre III, section 3).
Quel est le risque pour un SPSTI ne pas respecter le RGPD ?
Si la non-conformité expose un SPSTI à une sanction de la part de la Cnil (autrement dit, comme tout le monde), le risque reste malgré tout pour eux bien plus important, car pour exercer sa mission un SPSTI doit obtenir un agrément de la Drieets.
Or, comment la Dreets pourrait accorder son agrément à un SPSTI qui ne respecterait pas l’article L4622-9-3 du Code du travail et donc du référentiel Afnor ? Le RGPD a donc dans ce cas un lien direct avec la possibilité d’exercer.
Quel est le délai fixé pour cette certification ?
Bien que les textes ne soient pas très clairs en la matière, la date ultime pour obtenir la certification est le 1er mai 2025, il faut donc anticiper et se préparer dès maintenant.
Comment faire ?
Il faut distinguer trois hypothèses d’action :
- le SPSTI est conforme à l’ensemble des obligations du RGPD et de la LIL. Auquel cas il faut qu’il puisse en attester auprès du tiers certificateur avec une attestation de son DPO et la mise à disposition de son DCU (dossier de conformité unique) ;
- le SPSTI a un doute sur sa conformité. Il doit s’engager dans un audit de conformité pour identifier le cas échéant les écarts avec le référentiel et définir un plan de remédiation adapté au calendrier de certification ;
- le SPSTI n’est pas conforme au RGPD (j’espère cependant qu’il n’y en a pas dans ce cas !) et il devra de toute urgence se lancer dans un plan d’actions de mise en conformité.
