La protection des données à caractère personnel a toujours été une préoccupation majeure pour le CIST et ce en raison de notre mission et de la sensibilité des données à caractère personnel que nous gérons. Le Règlement Général sur la Protection des Données (RGPD) est un processus continu et notre service n’a pas attendu son entrée en application pour mettre en œuvre les principes qu’il contient.
En s’appuyant sur le Guide de la CNIL, à destination des services de prévention et de santé au travail, le CIST, en cours de certification, a mis en place une procédure garantissant la conformité de ses traitements au RGPD.
À ce titre, la présente politique détaille les catégories de données traitées, les finalités pour lesquelles elles sont utilisées et partagées, la durée pendant laquelle elles sont conservées, les modalités selon lesquelles vous pouvez exercer vos droits ainsi que la manière dont elles sont protégées.
La présente politique de protection des données vous fournit des informations détaillées sur les actions de protection de vos données à caractère personnel, mises en place par le CIST, dont le siège social est à 97122 BAIE-MAHAULT, rue Claude Emmanuel Blandin – ZI Jarry – ZAC Moudong sud, dans le cadre de son activité de service de santé au travail interprofessionnel. L’objectif de cette politique est de vous informer sur les caractéristiques des traitements de vos données à caractère personnel que notre service met en œuvre en qualité de responsable du traitement.
Nous sommes amenés à traiter certaines de vos données à caractère personnel pour nous permettre d’exercer notre activité réglementée de suivi en santé au travail.
Les données des travailleurs que nous utilisons nous sont communiquées par les employeurs (déclaration des effectifs, demandes de visites et d’examens) dans le cadre de leurs obligations déclaratives. Les fichiers d’adhésion des entreprises adhérentes et leurs déclarations d’effectif comportant des données à caractère personnel sont confidentiels et protégés. Elles sont également recueillies directement auprès des travailleurs lors de leur suivi médico-professionnel.
Dans le cadre de cette activité, et conformément à la recommandation de la Haute Autorité de Santé relative au dossier médical en santé au travail et aux dispositions du Code du travail, nous sommes amenés à collecter les différentes catégories de données à caractère personnel suivantes :
Finalités et bases légales des traitements mis en œuvre Vos données à caractère personnel sont traitées pour les finalités et bases juridiques exposées ci- après.
Pour respecter les obligations légales et réglementaires auxquelles nous sommes soumis.
Nous utilisons vos données à caractère personnel pour nous acquitter de nos différentes
obligations légales et réglementaires :
Pour effectuer certains traitements de données particuliers sur la base du consentement ou de l’absence d’opposition
Le CIST s’engage à recueillir le consentement ou l’opposition des personnes lorsque le traitement envisagé des données l’exige. Le recueil du consentement ou l’enregistrement de l’opposition sont notamment effectués par le CIST dans les cas suivants :
Réalisation de certaines études en santé au travail (exigence du consentement) réalisation de visites en téléconsultation (exigence du consentement)
Accès par les consultants spécialisés aux données sociales et au plan de maintien dans l’emploi (exigence du consentement)
Communication de vos données à des tiers dans le cadre de partenariats ou actions menées dans le cadre de nos missions (exigence du consentement)
Accès au dossier médical santé au travail par les professionnels de santé placés sous
L’autorité du médecin du travail référent ou son remplaçant (faculté d’opposition)
Transmission du dossier médical santé au travail en cas de changement de service de prévention et de santé au travail (faculté d’opposition)
Accès par les consultants spécialisés aux données sociales et au plan de maintien dans l’emploi (exigence du consentement)
Au sein de notre service, seules les personnes ayant besoin d’en connaître dans le cadre de la réalisation de leurs missions ont accès à vos données à caractère personnel à savoir, les services administratifs (hors des données de santé), les préventeurs (hors des données de santé) et les centres médicaux. Ces accès sont réalisés dans le respect des habilitations délivrées à chaque collaborateur soumis au secret professionnel. Ce secret s’étend aux secrets défense, de fabrication et aux procédés d'exploitation confidentiels dont les membres de l’équipe pluridisciplinaire pourraient prendre connaissance dans l'exercice de leurs fonctions.
En outre, l’accès aux informations contenues dans votre dossier médical est réalisé dans le respect du secret médical auquel sont soumis les professionnels de santé au travail.
En vue d’accomplir les finalités précitées et selon la mission qui leur est confiée, les prestataires de services, les délégataires et les sous-traitants agissant pour notre compte sont également susceptibles d’avoir accès à vos données à caractère personnel.
Dans le cadre de nos missions, nous sommes également susceptibles de communiquer vos données à caractère personnel aux autorités judiciaires et/ou administratives ou aux agences de l’État ou encore aux organismes publics (sur demande et dans la limite de ce qui est permis par la réglementation).
Vos données à caractère personnel ne peuvent être conservées que pour une durée
limitée appelée « durée de conservation ». La durée de conservation des données à caractère personnel peut être déterminée au regard des règles issues de recommandations de la Commission nationale de l’informatique et des libertés (CNIL) ou encore déterminée en fonction d’obligations légales ou réglementaires.
Nous conservons vos données à caractère personnel pour une durée nécessaire à l’accomplissement de nos obligations légales et réglementaires ou pour une autre durée définie en considération de la poursuite de nos intérêts légitimes.
Les données comprises dans votre dossier médical en santé au travail sont conservées :
Pendant une durée de 40 ans à compter de la date de la dernière visite ou examen du titulaire au sein du service de santé au travail et dans la limite d'une durée de 10 ans à compter de la date du décès du travailleur.
Des dérogations peuvent avoir pour effet de prolonger ces échéances de droit commun. Elles concernent les dossiers médicaux en santé au travail des travailleurs suivants :
Travailleur exposé à des agents chimiques dangereux ou aux CMR (Cancérogènes Mutagènes, Reprotoxiques) : le dossier doit être conservé pendant au moins 50 ans à compter de la cessation de l’exposition (Article R4412-55 - Code du travail) ;
Travailleur susceptible d’être exposé à des agents biologiques pathogènes : le dossier est conservé jusqu’à 40 ans à compter de la cessation de l’exposition (Article R4426-9 - Code du travail) ;
Travailleur exposé aux rayonnements ionisants : le DMST doit être conservé jusqu'au moment où le travailleur a ou aurait atteint l'âge de 75 ans et, en tout état de cause, pendant au moins 50 ans à compter de la cessation de l’exposition (Article R4451-83 - Code du travail).
Ces délais doivent être suspendus par l'introduction de tout recours gracieux ou contentieux tendant à mettre en cause la responsabilité médicale du service ou de professionnels de santé à raison de leurs interventions au sein du service de santé au travail
En dernier lieu, la prescription de droit commun en matière civile d’une action est de 5 ans.
La notice « VOTRE SERVICE DE SANTE AU TRAVAIL VOUS INFORME A PROPOS DE LA PROTECTION DE VOS DONNEES PERSONNELLES » est affichée dans nos lieux de consultation et vous informe de :
L’existence et la finalité des traitements de vos données à caractère personnel,
Notamment, dans le cadre du dossier médical ; vos droits.
Dans les conditions définies par la règlementation applicable, tout travailleur dont le CIST traite les données à caractère personnel dispose des différents droits suivants :
Droit d’accès : ce droit vous permet d’interroger le CIST afin de savoir si elle détient des données à caractère personnel vous concernant et d’en obtenir communication. Vous avez notamment accès à l’ensemble des informations concernant votre santé détenues par le CIST Lorsque l’exercice du droit d’accès s’applique à des données de santé à caractère personnel, celles-ci peuvent vous être communiquées directement ou par l’intermédiaire d’un médecin désigné par vos soins à cet effet.
Droit de rectification : ce droit vous permet de demander la rectification et la mise à jour
des données à caractère personnel vous concernant dans les meilleurs délais
lorsqu’elles sont inexactes ou incomplètes.
Droit à la limitation du traitement : ce droit vous permet de demander la suspension
temporaire de l’utilisation de vos données à caractère personnel notamment lorsque
vous en contestez l’exactitude.
Droit d’opposition : ce droit vous permet, si vous êtes en mesure de vous prévaloir « de raisons tenant à votre situation particulière », de vous opposer, à tout moment, au traitement dont les données à caractère personnel vous concernant font l’objet. En pareil cas, le CIST n’a plus à traiter les données à caractère personnel vous concernant sauf à démontrer qu’elle est soumise à une obligation légale imposant la poursuite du traitement (obligations incombant aux services de santé au travail tel que, par exemple, les informations administratives de la visite nécessaires à la traçabilité du suivi des actions en santé au travail) ou qu’il existe un motif légitime et impérieux (exercice ou défense de droits en justice par exemple). Sous réserve de votre faculté d’opposition en matière d’accès par les professionnels de santé placés sous l’autorité du médecin du travail référent, le droit d'opposition ne s'applique pas à la constitution et à l'alimentation du dossier médical en santé au travail.
Droit à la portabilité : ce droit vous permet d’obtenir de notre service de santé au travail la restitution dans un format lisible et exploitable des données à caractère personnel que vous nous avez fournies. Toutefois, ce droit ne s’applique que si le traitement de données à caractère personnel est automatisé (les fichiers papiers ne sont pas concernés) et qu’il est mis en œuvre sur la base du consentement ou en exécution d’un contrat. Ce droit ne s’étend pas aux données produites, transformées ou enrichies par le responsable de traitement. En application de ce dernier principe, le droit à la portabilité ne s’applique pas au dossier médical en santé au travail.
Droit à l’effacement : ce droit vous permet d’obtenir l’effacement de données à caractère personnel vous concernant lorsqu’un motif prévu par la réglementation est satisfait (inutilité des données, retrait du consentement pour les traitements fondés sur ce dernier, etc.). Eu égard aux obligations légales et réglementaires auxquelles notre service est soumis, les informations administratives de la visite ainsi que les données à caractère personnel de santé nécessaires à la traçabilité du suivi des actions en santé au travail sont exclues du périmètre du droit à l’effacement.
Droit de retirer votre consentement : lorsque le traitement des données à caractère personnel vous concernant est fondé sur votre consentement, vous pouvez, à tout moment, retirer ledit consentement.
Faculté d’opposition : lorsque le traitement des données à caractère personnel vous concernant est fondé sur l’absence d’opposition, vous pouvez, à tout moment, émettre ou annuler votre opposition.
Droit de définir des directives applicables après votre décès : ce droit vous permet de disposer de la faculté de définir des directives générales et particulières précisant la manière dont vous entendez que vos données à caractère personnel soient conservées, effacées et communiquées après votre décès.
Pour exercer l’un de ces droits, vous pouvez, en justifiant de votre identité, adresser une demande par courrier à la Direction du CIST, 97122 BAIE-MAHAULT, rue Claude Emmanuel Blandin – ZI Jarry – ZAC Moudong sud, par mail dpo@cist-gpe.com
Notre service apporte la plus grande attention à la protection de vos données à caractère personnel. Néanmoins, si vous considérez que les traitements mis en œuvre portent atteinte à vos droits, vous pouvez introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL).
Coordonnées de notre Déléguée à la protection des données
Pour toute question ou réclamation concernant vos données personnelles, vous pouvez contacter notre Déléguée à la Protection des Données (DPO) : par courrier : A l’attention du DPO -97122 BAIE-MAHAULT, rue Claude Emmanuel Blandin – ZI Jarry – ZAC Moudong sud. Par mail dpo@cist-gpe.com
Dans les conditions définies par la règlementation applicable, tout travailleur dont le CIST
traite les données à caractère personnel dispose des différents droits suivants :
Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence à un identifiant.
Dans le domaine de la santé au travail, on peut notamment citer les nom et prénom des travailleurs, leur adresse postale ainsi que les éléments figurant dans le dossier médical du travailleur.
Il s’agit de toute opération, ou ensemble d’opérations, portant sur des données à caractère personnel, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication, etc.).
Les données à caractère personnel des travailleurs des membres sont traitées par le CIST.
Cette dernière est dite « responsable du traitement » et détermine les finalités et les moyens des traitements mis en œuvre pour la santé au travail.
La Cnil est l’autorité française chargée de la protection des données à caractère personnel.
Elle accompagne les membres dans leur mise en conformité et aide les particuliers à maîtriser les données les concernant et à exercer leurs droits.
La mission du DPO au sein d’une entreprise ou d’une organisation consiste à veiller à ce que celle-ci protège convenablement les données à caractère personnel des individus, conformément à la législation en vigueur.