Notice de protection des données à destination des adhérents d’AST67

Vous êtes ici :
Page mise à jour le 3 février 2022

La protection des données à caractère personnel a toujours été une préoccupation majeure pour AST67 et ce en raison de notre mission et de la sensibilité des données à caractère personnel que nous gérons.

Le Règlement Général sur la Protection des Données (RGPD) est un processus continu et Alsace Santé au Travail n’a pas attendu son entrée en application pour mettre en œuvre les principes qu’il contient.

La présente notice de protection des données vous fournit des informations détaillées sur les actions de protection des données à caractère personnel des salariés de votre entreprise, mises en place par Alsace Santé au Travail, dont le siège social est à Strasbourg, 3 rue de Sarrelouis (67000), dans le cadre de son activité de service de santé au travail (ci-après « nous » ou « AST67 »).

L’objectif de cette notice de protection des données est de vous informer sur les caractéristiques des traitements de données à caractère personnel relatives aux salariés de votre entreprise qu’AST67 met en œuvre en qualité de responsable du traitement. À ce titre, la présente notice de protection des données détaille les catégories de données nécessaires, les raisons pour lesquelles elles sont utilisées et partagées, la durée pendant laquelle elles sont conservées, les modalités selon lesquelles les salariés peuvent exercer leurs droits ainsi que la manière dont elles sont protégées.

Quelles données personnelles traitons-nous ?

Nous sommes amenés à traiter des données à caractère personnel relatives à vos salariés pour nous permettre d’exercer notre activité réglementée, c’est-à-dire d’assurer le suivi médicoprofessionnel des salariés de nos adhérents.

Les données que nous utilisons nous sont communiquées par votre entreprise (déclaration des effectifs, demandes d’examens médicaux). Elles sont également recueillies directement auprès des salariés lors du suivi médicoprofessionnel.

Dans le cadre de cette activité, et conformément à la recommandation de la Haute Autorité de Santé, nous collectons les catégories de données à caractère personnel suivantes :

  • Les informations socio-administratives du salarié : ce sont toutes les données qui permettent d’identifier le salarié et de connaître sa situation familiale (nom, prénom, nom de naissance, date de naissance, numéro de sécurité sociale, adresse postale, situation familiale, nombre d’enfants, etc.).
  • Les informations concernant l’emploi du salarié : ce sont les informations qui décrivent le parcours professionnel d’un salarié. Pour chaque emploi (un emploi représente un contrat de travail), on retrouve les informations suivantes : employeur, type de contrat, date de début, date de fin, description de l’emploi, les tâches du salarié avec les expositions associées, etc.
  • Les informations administratives de la visite : ce sont les informations qui sont nécessaires à l’organisation du suivi et que l’on retrouve sur l’avis d’aptitude ou l’attestation de suivi.
  • Les informations concernant la santé du salarié : ce sont l’ensemble des informations médicales telles que décrites par la recommandation de la Haute Autorité de Santé. On y retrouve notamment : les examens complémentaires et leurs résultats, les orientations vers d’autres médecins et leurs comptes rendus, les pathologies et antécédents et leurs traitements médicaux, les observations cliniques, les données de l’interrogatoire médical, etc.

Pourquoi et selon quelles bases utilisons-nous les données de vos salariés ?

Pour respecter les obligations légales et réglementaires auxquelles nous sommes soumis

Nous utilisons les données à caractère personnel des salariés de votre entreprise pour nous acquitter de nos différentes obligations légales et réglementaires :

  • Éviter toute altération de la santé des salariés du fait de leur travail
  • Assurer le suivi médicoprofessionnel des salariés en conformité avec les lois et les règlements (organisation et gestion du suivi médicoprofessionnel, établissement des avis d’aptitude ou d’attestation de suivi, prescription d’examens complémentaires, etc.)
  • Répondre aux demandes officielles d’autorités publiques ou judiciaires dûment autorisées
  • Les données à caractère personnel des salariés peuvent être regroupées au sein de statistiques anonymes en vue d’être exploitées par AST67 pour réaliser des études épidémiologiques, produire des indicateurs en santé au travail, élaborer des plans de prévention ou fournir des indicateurs, comme par exemple à l’Inspection du Travail (rapport annuel du médecin du travail, enquête maladie à caractère professionnelle etc.).

 

Pour servir nos intérêts légitimes

Nous utilisons les données à caractère personnel des salariés dans le but de développer nos services et pour faire valoir nos droits, en particulier à des fins de :

  • Preuve de réalisation de prestations en santé au travail
  • Assurer le suivi médicoprofessionnel des salariés en conformité avec les lois et les règlements (organisation et gestion du suivi médicoprofessionnel, établissement des avis d’aptitude ou d’attestation de suivi, prescription d’examens complémentaires, etc.)
  • Justification de l’appel de cotisation
  • Recouvrement des créances

Qui a accès aux données à caractère personnel relatives aux salariés de votre entreprise et avec qui les partageons nous ?

Au sein d’AST67, seules ont accès aux données à caractère personnel relatives aux salariés, les personnes ayant besoin d’en connaître dans le cadre de la réalisation de nos missions. Cet accès est réalisé dans le respect du secret professionnel auquel le personnel d’AST67 est soumis. En outre, l’accès aux informations contenues dans le dossier médical est réalisé dans le respect du secret médical auquel sont soumis les médecins du travail.

En vue d’accomplir les finalités précitées et selon la mission qui leur est confiée, les prestataires de services, les délégataires et les sous-traitants agissant pour notre compte sont également susceptibles d’avoir accès aux données à caractère personnel relatives aux salariés de votre entreprise.

Dans le cadre de nos missions, nous sommes également susceptibles de communiquer les données à caractère personnel relatives aux salariés aux autorités judicaires et/ou administratives ou agence d’Etat, organismes publics (sur demande et dans la limite de ce qui est permis par la réglementation).

Combien de temps gardons-nous les données à caractère personnel des salariés de votre entreprise ?

Les données à caractère personnel ne peuvent être conservées que pour une durée limitée appelée « durée de conservation ».
Cette durée est déterminée en fonction de la finalité du traitement mis en œuvre. Elle peut également l’être au regard des règles issues de recommandations de la Commission nationale de l’informatique et des libertés (Cnil) ou encore déterminée en fonction d’obligations réglementaires.

Actuellement, il n’existe pas de texte définissant de manière générale la durée et les conditions de la conservation du dossier médical pour les services de santé au travail.

Néanmoins, le Code du travail a fixé certaines durées de conservation :

  • Pour les salariés exposés à des agents chimiques dangereux ou aux CMR (Cancérogène Mutagène Reprotoxique) : leur dossier médical doit être conservé pendant au moins 50 ans après la fin de la période d’exposition (article R. 4412-55du Code du travail).
  • Pour chaque travailleur susceptible d’être exposé à des agents biologiques pathogènes : leur dossier médical est conservé de 10 à 40 ans à compter de la cessation de l’exposition (Article R. 4426-9 du Code du travail).
  • Pour les salariés exposés aux rayonnements ionisants : le dossier doit être conservé pendant au moins 50 ans après la fin de la période d’exposition (Article R. 4451-90 du Code du travail).
  • En dernier lieu, la prescription de droit commun en matière civile d’une action est de 5 ans.

Quels sont les droits de vos salariés et de quelle manière peuvent-ils s’exercer ?

Des affiches « DOSSIER MÉDICAL Information « Informatique et Libertés » consultables dans nos salles d’attente informent vos salariés de :

  • l’existence d’un traitement informatisé du dossier médical
  • l’indépendance du système d’information (Pas d’échange de données avec d’autres systèmes d’informations tels que CPAM, assurances, médecins traitants, hôpitaux, etc.)
  • de leurs droits

Dans les conditions définies par la règlementation applicable, tout salarié dont AST67 traite les données à caractère personnel dispose des différents droits suivants :

  • Droit d’accès : le droit d’accès donne à toute personne la possibilité d’interroger tout organisme afin de savoir s’il détient des données à caractère personnel le concernant et d’en obtenir communication.

Toute personne a accès à l’ensemble des informations concernant sa santé détenue par des professionnels des établissements de santé. Lorsque l’exercice du droit d’accès s’applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées directement à la personne concernée, ou par l’intermédiaire d’un médecin qu’elle désigne à cet effet.

  • Droit de rectification : toute personne peut demander la rectification et la mise à jour des données à caractère personnel la concernant lorsqu’elles sont inexactes ou incomplètes.
  • Droit à la limitation du traitement : toute personne peut demander la suspension temporaire de l’utilisation de ses données à caractère personnel notamment lorsqu’elle en conteste l’exactitude.
  • Droit d’opposition : toute personne peut, en se prévalant « de raisons tenant à sa situation particulière » s’opposer à tout moment, au traitement dont les données à caractère personnel la concernant font l’objet.

En pareil cas, AST67 n’a plus à traiter les données à caractère personnel concernant le salarié sauf à démontrer qu’elle est soumise à une obligation légale imposant la poursuite du traitement (obligations incombant aux services de santé au travail tel que par exemple les informations administratives de la visite nécessaires à la traçabilité du suivi des actions en santé au travail) ou qu’il existe un motif légitime et impérieux (exercice ou défense de droits en justice par exemple).

Chaque salarié peut s’opposer à ce qu’un médecin puisse consulter les données médicales le concernant recueillies par d’autres médecins d’AST67. Les consultations valablement réalisées antérieurement à l’exercice du droit d’opposition ne sont pas remises en cause.

  • Droit à la portabilité de vos données : toute personne peut obtenir la restitution des données à caractère personnel qu’elle a fournies dans un format lisible et exploitable.

Toutefois, ce droit ne s’applique que si le traitement de données à caractère personnel est automatisé (les fichiers papiers ne sont pas concernés) et qu’il est mis en œuvre sur la base du consentement de la personne concernée ou en exécution d’un contrat auquel la personne concernée est partie prenante.

  • Droit à l’effacement : toute personne peut obtenir l’effacement de données à caractère personnel la concernant lorsqu’un motif prévu par la réglementation est satisfait (inutilité des données, retrait du consentement pour les traitements fondés sur ce dernier, etc.). Eu égard aux obligations légales et règlementaires auxquelles AST67 est soumise, les informations administratives de la visite nécessaires à la traçabilité du suivi des actions en santé au travail sont exclues du périmètre du droit à l’effacement.
  • Droit de retirer votre consentement : lorsque le traitement des données à caractère personnel la concernant est fondé sur le consentement, la personne peut à tout moment retirer ledit consentement.
  • Droit de définir des directives générales et particulières : toute personne dispose de la faculté de définir des directives générales et particulières précisant la manière dont elle entend que ses données à caractère personnel soient conservées, effacées et communiquées après son décès.

Pour exercer l’un de ces droits, tout salarié de votre entreprise peut, en justifiant de son identité, adresser une demande par courrier à AST67 – 3 rue de Sarrelouis 67080 Strasbourg Cedex ou par courriel à l’adresse rgpd@ast67.org. Chaque salarié peut également s’adresser à l’équipe médico-professionnelle chargée de son suivi. En tout état de cause, l’accès au dossier médical ne peut se faire qu’auprès du médecin du travail.

AST67 apporte la plus grande attention à la protection des données à caractère personnel. Néanmoins si un salarié considère que les traitements mis en œuvre par AST67 portent atteinte à ses droits, il peut introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (Cnil).

Comment les données à caractère personnel relatives aux salariés de votre entreprise sont-elles protégées ?

AST67 met en place des mesures organisationnelles et techniques pour préserver la sécurité des données à caractère personnel qui lui sont confiées et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Les données sensibles, et en particulier les données contenues dans le dossier médical du salarié font l’objet de mesures de sécurité spécifiques.

Pour renforcer la sécurité et la confidentialité des données, nous avons mis en place des dispositifs d’accès restreint aux données. Ainsi, vos données sont uniquement visibles par un personnel habilité et sensibilisé aux questions de protection des données à caractère personnel et limité aux seules personnes ayant besoin d’en connaître dans le cadre de la réalisation de leurs missions.

Comment nous contacter ?

Si vous ou l’un des salariés de votre entreprise a une question sur l’utilisation des données à caractère personnel, il peut contacter AST67 :

  • Par courrier : AST67 – RGPD – 3 rue de Sarrelouis – 67080 Strasbourg Cedex
  • Par mail : rgpd@ast67.org qui traitera sa demande

Délégué à la protection des données