Dans le cadre de sa mission de prévention et de suivi de la santé au travail, votre Service de Prévention et de Santé au Travail Interentreprises STSM est amené à collecter des données personnelles, à les exploiter et les conserver.
La protection des données personnelles étant l’une des préoccupations majeures du Service, ce dernier s’engage à respecter, dans le cadre de ses activités, les dispositions du règlement européen n°2016/679 du 27 avril 2016 sur la protection des données, dit « RGPD » et de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée par la loi n°2018-493 du 20 juin 2018.
Ainsi, les traitements de données personnelles réalisés par le Service sont mis en œuvre dans des conditions garantissant leur protection contre toute atteinte et tout accès non autorisés, conformément à la législation et à la réglementation en vigueur, et ce, dans le respect du secret professionnel et/ou du secret médical auxquels sont soumises en fonction de leur mission, les personnes exerçant leur activité au sein du Service.
La présente politique à vocation à définir les engagements du Service en matière de protection des données personnelles, envers : toute personne pouvant souscrire à l’offre de Service (adhérents, affiliés, organismes publics, etc.) et toute personne pour laquelle le Service est habilité à suivre la santé au travail (salariés, indépendants, personnel de la fonction publique, etc.), ses fournisseurs/prestataires, ses partenaires, les candidats à un recrutement, ainsi qu’envers les visiteurs et utilisateurs du site internet.
Elle précise, notamment, les conditions de collecte, d’utilisation et de conservation des données personnelles traitées par le Service.
La politique de protection des données vient compléter les mentions d’information relatives à la protection des données personnelles, présentes sur certains documents transmis par le Service. Celle-ci est susceptible d’être mise à jour afin notamment de se conformer à toute évolution législative, réglementaire, ou à toute modification de traitement entraînée par un changement dans l’organisation du Service.
Les termes et expressions utilisés dans cette politique de protection des données ont la même signification que celle qui leur est attribuée à l’article 4 du RGPD.
STSM, association déclarée, régie par la loi du 1er juillet 1901, dont le siège est situé 4-6 rue Augustin Fresnel - 35408 SAINT-MALO, agit en qualité de responsable de traitement au sens du règlement européen sur la protection des données, pour l’ensemble des traitements listés ci-après.
Afin de veiller à la protection des données traitées par le Service, ce dernier a désigné un délégué à la protection des données.
Le Service collecte et traite les données personnelles strictement nécessaires et indispensables à la réalisation de ses missions de prévention et de suivi de la santé au travail, ainsi, le fait de ne pas les lui transmettre pourrait venir impacter sa capacité à délivrer la prestation attendue.
Le Service ne réalise pas de prospection commerciale, n’a recours à aucune décision automatisée, ou profilage pour la mise en œuvre de ses traitements.
Les données traitées par le Service sont en principe recueillies directement auprès des personnes concernées par le traitement. Dans ce cas, ces personnes s’assurent de communiquer des données personnelles exactes et complètes.
Par exception, certaines données sont transmises par une autre personne que la personne dont les données sont traitées. Dans ce cas, celle-ci s’engage notamment à remplir son obligation d’information envers les personnes dont les données sont traitées avant de transférer leurs données au Service.
Le Service traite des données personnelles pour :
1- LA GESTION DES ADHESIONS, AFFILIATIONS ET AUTRES CONVENTIONS
2- LA PREVENTION ET LE SUIVI DE LA SANTE AU TRAVAIL
3- LA GESTION DES RELATIONS CONTRACTUELLES AVEC LES PRESTATAIRES, FOURNISSEURS ET PARTENAIRES
4- LA GESTION DES RECRUTEMENTS
5- LA GESTION DE LA COMMUNICATION ET DU SITE INTERNET
6- LE RESPECT DE LA REGLEMENTATION SUR LA PROTECTION DES DONNEES (RGPD)
1- GESTION DES ADHESIONS, AFFILIATIONS ET AUTRES CONVENTIONS
PERSONNES DONT LES DONNEES SONT TRAITEES - DONNEES TRAITEES
Selon les objectifs, les données traitées par le Service sont notamment :
DESTINATAIRES DES DONNEES
Dans le cadre des traitements mis en œuvre par le Service, les données personnelles collectées sont communiquées en interne aux personnes habilitées à les traiter dans la limite de leurs attributions et au regard de l’objectif poursuivi.
Le Service peut également être amené dans la limite des objectifs poursuivis à transmettre des données personnelles à des tiers au Service auxquels il doit nécessairement recourir pour la bonne réalisation de ses missions, tels que :
2- PREVENTION ET SUIVI DE LA SANTE AU TRAVAIL
FONDEMENT JURIDIQUE |
|
Gestion des demandes de visites médicales
|
Exécution d’un contrat |
Gestion du dossier médical en santé au travail (suivi médical)
|
Obligation légale
Intérêt légitime – prise de vues
|
Gestion et suivi de la prévention de la désinsertion professionnelle |
|
Réalisation d’actions en milieu de travail et de prévention des risques professionnels |
|
Portail intérimaire |
Intérêt légitime |
Réalisation d’étude en santé |
Intérêt légitime |
Reporting de données dans le cadre réglementaire
|
Obligation légale |
Réalisation d’enquêtes de satisfaction |
Intérêt légitime (évaluer et adapter l’offre de Service dans le cadre de la démarche qualité du Service) |
Réalisation de statistiques et tableaux de bord à usage interne |
Intérêt légitime (mesurer l’activité du Service) |
OBJECTIF DU TRAITEMENT |
FONDEMENT JURIDIQUE |
Gestion et suivi des contrats, des commandes, des livraisons, facturation, règlement |
Exécution d’un contrat |
Gestion des relations avec les partenaires |
|
Gestion comptable (comptabilité fournisseurs) |
Obligation légale |
Réalisation de statistiques et tableaux de bord à usage interne |
Intérêt légitime (mesurer l’activité du Service) |
PERSONNES DONT LES DONNEES SONT TRAITEES - DONNEES TRAITEES
Selon les objectifs, les données traitées par le Service sont notamment :
DESTINATAIRES DES DONNEES
Dans le cadre des traitements mis en œuvre par le Service, les données personnelles collectées sont communiquées en interne aux personnes habilitées à les traiter dans la limite de leurs attributions et au regard de l’objectif poursuivi.
Le service peut également être amené dans la limite des objectifs poursuivis à transmettre des données personnelles à des tiers au Service auxquels il doit nécessairement recourir pour la bonne réalisation de ses missions, tels que :
4- GESTION DES RECRUTEMENTS
OBJECTIF DU TRAITEMENT |
FONDEMENT JURIDIQUE |
Recherche de profils susceptibles de correspondre aux postes à pourvoir |
Intérêt légitime |
Gestion et suivi des candidatures |
Exécution de mesures précontractuelles |
Réalisation de statistiques et tableaux de bord à usage interne |
Intérêt légitime (mesurer l’activité du Service) |
OBJECTIF DU TRAITEMENT |
FONDEMENT JURIDIQUE |
Gérer et suivre les inscriptions aux évènements en lien avec la santé au travail, organisés
par le Service ou des partenaires |
Intérêt légitime (remplir sa mission de prévention) |
Illustrer les communications relatives aux évènements |
Consentement |
Gérer les demandes de contact |
Intérêt légitime (traiter les demandes) |
Gérer et alimenter le site internet, |
Intérêt légitime (maintenir la sécurité du site internet et communiquer sur l’actualité du Service) |
Permettre la réalisation et l'élaboration d'analyses d'audience et de statistiques du site internet |
Intérêt légitime (comprendre l’interaction des visiteurs avec le site internet et améliorer le site) |
Réalisation de statistiques et tableaux de bord à usage interne |
Intérêt légitime (mesurer l’activité du Service)
|
PERSONNES DONT LES DONNEES SONT TRAITEES - DONNEES TRAITEES
Selon les objectifs, les données traitées par le Service sont notamment :
DESTINATAIRES DES DONNEES
Dans le cadre des traitements mis en œuvre par le Service, les données personnelles collectées sont communiquées en interne aux personnes habilitées à les traiter dans la limite de leurs attributions et au regard de l’objectif poursuivi.
Le Service peut également être amené dans la limite des objectifs poursuivis à transmettre des données personnelles à des tiers au Service auxquels il doit nécessairement recourir pour la bonne réalisation de ses missions, tels que :
6- RESPECT DE LA REGLEMENTATION SUR LA PROTECTION DES DONNEES (RGPD)
OBJECTIF DU TRAITEMENT |
FONDEMENT JURIDIQUE |
Traiter et suivre les demandes en matière de protection des données personnelles |
Obligation légale |
Gérer et suivre les signalements d'éventuelle violation de données personnelles |
|
Vérifier la conformité des sous-traitants |
|
Échanger avec les autorités de contrôle |
|
Réalisation de statistiques et tableaux de bord à usage interne |
Intérêt légitime (mesurer l’activité du Service) |
PERSONNES DONT LES DONNEES SONT TRAITEES - DONNEES TRAITEES
Selon les objectifs, les données traitées par le Service sont notamment :
DESTINATAIRES DES DONNEES
Dans le cadre des traitements mis en œuvre par le Service, les données personnelles collectées sont communiquées en interne aux personnes habilitées à les traiter dans la limite de leurs attributions et au regard de l’objectif poursuivi.
Le Service peut également être amené dans la limite des objectifs poursuivis à transmettre des données personnelles à des tiers au Service auxquels il doit nécessairement recourir pour la bonne réalisation de ses missions, tels que :
IV- Durées de conservation
Les données personnelles sont conservées pendant une durée n’excédant pas celle nécessaire aux objectifs pour lesquels elles sont traitées.
Concernant le dossier médical en santé au travail, la loi impose qu’il soit au moins conservé, pendant toute la durée de présence du salarié dans l'entreprise adhérente et 20 ans à compter de son départ ou si exposition à des : agents biologiques pathogènes (art. R. 4426-9 du CT) : 10 à 40 ans*, agents chimiques dangereux et agents Cancérogènes, Mutagènes ou toxiques pour la reproduction (CMR) (art. R. 4412-55 du CT) : 50 ans *, milieu hyperbare (art. 35 du décret n° 90-277 du 28 mars 1990, version consolidée au 22 juin 2001) : 20 ans*, rayonnements ionisants (art. R. 4454-9 du CT : 50 ans*.
*après la fin de l'exposition
Concernant le dossier d’adhésion, celui-ci doit être conservé le temps de l'adhésion et 5 ans après la fin de la relation contractuelle – 10 ans dans le cadre de l’obligation comptable.
Concernant les relations avec les prestataires, fournisseurs et partenaires, les données doivent être conservées pendant la durée de la relation contractuelle et 5 ans après la fin de celle-ci (L110-4 c.com) -10 ans dans le cadre de l’obligation comptable (L123-22 c.com).
Concernant les candidatures, en cas d’issue négative, les données sont conservées au maximum 2 ans à compter du dernier contact avec le candidat.
Ces données sont ensuite archivées pour respecter les obligations légales ou réglementaires du Service et tenir compte des délais de prescription applicables.
Conformément à l’article 32 du RGPD, afin de préserver la disponibilité, l’intégrité, la confidentialité et la résilience constante des données personnelles, le Service met en œuvre les mesures techniques et organisationnelles appropriées au regard de la nature des données personnelles et des risques que leur traitement comporte, telles que :
> Des mesures de protection physique d’accès aux locaux et aux infrastructures internes sur lesquelles sont stockées les données ;
> Des mesures permettant de limiter l’accès aux données aux seules personnes habilitées à en connaître du fait de leur fonction et suppression des permissions d’accès obsolètes ;
> Des mesures de sécurité du poste de travail, du réseau informatique interne et des serveurs ;
> Un contrôle des accès au système d’information des utilisateurs et administrateurs via un système d’authentification et une politique de gestion des mots de passe ;
> Des processus et dispositifs visant à assurer la traçabilité des actions réalisées sur le système d’information ;
> Un hébergement des données en interne ;
> Des sauvegardes régulières et automatiques des données ;
> Une procédure de gestion des incidents de sécurité ;
> Des actions de sensibilisation du personnel aux exigences de protection des données.
Dans le cadre de son activité, le Service n’est pas amené à transférer des données personnelles en dehors de l’Union Européenne. Toutefois, si le cas se présentait, le Service veillerait à mettre en place conformément à la réglementation les garanties nécessaires pour assurer un niveau de protection suffisant et approprié.
Conformément à la réglementation applicable, les personnes dont les données sont traitées par le Service, disposent de droits pouvant varier en fonction du fondement juridique retenu pour le traitement concerné, à savoir :
Les droits listés ci-dessus peuvent être exercés auprès du Délégué à la Protection des Données (DPO) par e-mail à l’adresse suivante : rgpd@stsm35.fr
À l’exception des droits qui concerneraient le dossier médical en santé au travail.
Le dossier médical relevant de la compétence exclusive des professionnels de santé, le DPO ne traitera aucune demande relative à celui-ci.
Pour toute demande relative aux données traitées dans le cadre du suivi individuel de la santé au travail (exemple : demande de communication du dossier médical en santé au travail), contacter directement l’assistante médicale du médecin du travail concerné, par e-mail ou par téléphone.
Le DPO peut également être contacté pour toute demande d’information complémentaire relative au RGPD.
Afin de faciliter le traitement de la demande, la personne dont les données sont traitées devra préciser sa demande, le type de droit exercé et les données personnelles concernées. Dans un souci de confidentialité le Service doit s’assurer de l’identité du demandeur avant de répondre. Ainsi, ce dernier pourrait en cas de doutes raisonnables quant à l'identité du demandeur, demander que lui soient fournies des informations supplémentaires afin de confirmer l'identité de la personne concernée (copie de pièce d’identité en cours de validité).
Le Service se réserve le droit de décliner toute demande qui apparaît infondée ou excessive notamment en raison de son caractère répétitif ou de l’atteinte qu’elle serait susceptible de porter notamment à la sécurité des serveurs, fichiers, systèmes et données personnelles d’autres personnes.
Version en vigueur : Politique de protection des données - STSM - 21/11/2022