RGPD - Politique de protection des données personnelles

Le GIST est un Service de Prévention et de Santé au Travail Interentreprise, dont le siège social est situé 28 Rue des Chantiers, 44600 Saint-Nazaire.
Depuis sa création et afin de répondre à son objet social, le GIST collecte des données à caractère personnel, les exploite et les conserve, parmi lesquelles des données de santé des salariés, des adhérents. Le traitement de ces données doit répondre aux exigences de la réglementation relative à la protection des données, garantissant la sécurité, pérennité et protection de ces données contre toute atteinte et tout accès non autorisés, dans le respect du secret professionnel auxquels sont assujettis nos professionnels et notamment nos professionnels de santé (médecins et infirmiers) et autres membres de l’équipe pluridisciplinaire. En sa qualité de responsable du traitement, le GIST attache une grande importance à la protection et au respect de la vie privée de ses adhérents ainsi que de leurs salariés. C’est pourquoi la présente politique est établie et vise à vous informer, conformément au Règlement n°2016-679 du 27 avril 2016 de nos pratiques concernant le traitement des données vous concernant et que vous êtes amenés à nous fournir dans le cadre de l’adhésion au GIST à la mise en œuvre de nos services en lien avec notre mission définie à l’article L.4622-2 du Code du Travail ou les traitements mis en œuvre dans le cadre de notre intérêt légitime.

Le GIST est responsable de traitement au regard du RGPD des données personnelles collectées auprès de l’employeur et des salariés pour mettre en œuvre le Dossier Médical en Santé au Travail (DMST) car il définit les objectifs (suivre le salarié en santé au travail afin d’éviter la dégradation de la santé du salarié du fait de son travail) et les moyens (mettre en œuvre la visite médicale, assurer la surveillance de l’état de santé des travailleurs en fonction des risques, mener des actions de suivi et de prévention en santé au travail, accompagner le retour à l’emploi etc). Sa mission est définie à l’article L.4622-2 du Code du Travail.
Les moyens et les actions des équipes pluridisciplinaires de santé au travail sont définis aux articles L.4624-1 à L4624-10 du Code du travail. La base légale du traitement est l’obligation légale du Responsable de traitement.
Le GIST ne reçoit aucune consigne de la part de l’employeur ou du salarié pour la mise en œuvre du DMST qui est placé sous la responsabilité du médecin du travail.
Le GIST est responsable de traitement au regard du RGPD des données personnelles collectées auprès de l’employeur et des salariés pour établir des statistiques anonymisées.
Le GIST est sous-traitant de l’adhérent pour certaines finalités.
Le GIST est une association déclarée, régie par la loi du 1ᵉʳ juillet 1901. Son siège social est situé au 28 Rue des Chantiers, 44600 Saint-Nazaire. Elle est identifiée au SIREN sous le numéro 786069443.
L’employeur est tenu par la loi de prendre toutes les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale de ses salariés (article L. 4121-1 du Code du travail). L’employeur ne doit pas seulement diminuer le risque, mais l’empêcher. Cette obligation est une obligation de résultat.
En désignant par convention d’adhésion le GIST, l’employeur satisfait son obligation légale de sécurité. Le GIST va organiser pour le compte de l’employeur la convocation à la médecine du travail, des actions en milieu de travail et des formations de prévention des risques. Le GIST accompagne et conseille l’employeur pour éviter la dégradation de la santé du salarié du fait de son travail.

En adhérant au GIST l’employeur est amené à nous transmettre directement des informations pour l’identifier pour mieux l’accompagner ou identifier les salariés dont nous avons en charge le suivi médical. De même les salariés, lors de leurs visites ou divers examens de prévention, sont également amenés à nous transmettre directement des informations les concernant. De ce fait, ces données dites « à caractère personnel » sont soumises à la réglementation ci-dessus évoquée. Cette transmission de données se fait notamment lorsque l’employeur :
a) remplit le dossier d’adhésion
b) met à jour le portail adhérent
c) nous transmet la liste des salariés que nous devons prendre en charge au titre de leur suivi santé travail
d) participe à des ateliers de prévention
e) convoque les salariés aux visites médicales réglementaires
Les salariés sont aussi concernés par cette transmission indirecte de données par votre biais, et directement lorsque :
a) ils sont pris en charge par les professionnels de santé du GIST (mise à jour d’information administrative, transmission de données de santé), échangent avec des professionnels du GIST,
b) participent à des ateliers,
c) participent aux enquêtes de satisfaction, etc.
Nous traitons uniquement les données personnelles qui nous sont strictement nécessaires dans le cadre de nos activités statutaires de suivi en santé au travail : organisation et gestion du Service de Santé au Travail et mises en œuvre d’actions de prévention. Pour l’accomplissement de nos missions, nous sommes amenés à collecter les catégories de données personnelles suivantes :

Le GIST collecte des données sensibles au sens de l’article 9 du RGPD.

Les informations qui constituent un DMST sont listées à l’article R.4624-45-4 du code du travail.
Les données que nous traitons sont en principe recueillies directement auprès des personnes concernées (adhérents, salariés suivis, fournisseurs). Par exception, certaines données sont obtenues indirectement comme certaines données transmises via la plateforme de dépôt de l’URSSAF à l’occasion des déclarations préalables à l’embauche réalisées par les adhérents.

Le traitement de vos données à caractère personnel est soumis au respect du règlement européen n°2016/679 du 27 avril 2016 sur la protection des données, dit « RGPD », et à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée par la loi n°2018-493 du 20 juin 2018. Selon ces textes, le traitement des données personnelles de santé n’est possible que lorsqu’il satisfait à la double condition de l’article 6 et de l’article 9 dudit RGPD. Cela signifie que ce traitement de données doit poursuivre notamment une finalité d’appréciation médicale : soins, diagnostics et médecine préventive (et ce, sans consentement préalable de l’utilisateur). Toutefois lorsqu’un consentement est nécessaire pour la mise en œuvre d’un traitement, nous procédons à l’information des personnes concernées et demandons leur consentement. Ceci étant dit, le traitement des données personnelles réalisé par le GIST repose sur plusieurs finalités et fondements juridiques (base légale) :

1. Le traitement de vos données nous permet de répondre à nos obligations légales et règlementaires

Les données personnelles que nous collectons sont nécessaires, notamment :
A. à l’accomplissement des missions légales du GIST prévues par le code du travail (articles L4621-1 et suivants ainsi que des dispositions réglementaires prises en application de la loi), –
B. à l’accomplissement des missions des professionnels de santé que le GIST emploient en vertu du code de santé publique,
C. à des missions des différents professionnels qu’il emploie (assistantes sociales, salariés administratifs, etc) prévues par les différents textes légaux (code de l’action sociale et des familles, code du travail, etc). Parmi les textes légaux justifiant les traitements de données sur vos données figurent :

Article L4622-2 du code du travail (missions légales d’un SPSTI) :
« Les services de santé au travail ont pour mission exclusive d’éviter toute altération de la santé des travailleurs du fait de leur travail. À cette fin, ils :
1. Conduisent les actions de santé au travail, dans le but de préserver la santé physique et mentale des travailleurs tout au long de leur parcours professionnel,
2. Conseillent les employeurs, les travailleurs et leurs représentants sur les dispositions et mesures nécessaires afin d’éviter ou de diminuer les risques professionnels, d’améliorer les conditions de travail, de prévenir la consommation d’alcool et de drogue sur le lieu de travail, de prévenir le harcèlement sexuel ou moral, de prévenir ou de réduire les effets de l’exposition aux facteurs de risques professionnels mentionnés à l’article L. 4161-1 et la désinsertion professionnelle et de contribuer au maintien dans l’emploi des travailleurs,
3. Assurent la surveillance de l’état de santé des travailleurs en fonction des risques concernant leur santé au travail et leur sécurité et celle des tiers, des effets de l’exposition aux facteurs de risques professionnels mentionnés à l’article L. 4161-1 et de leur âge,
4. Participent au suivi et contribuent à la traçabilité des expositions professionnelles et à la veille sanitaire. »
Article L 4622-3 du code du travail (Missions du médecin du travail) :
« Le rôle du médecin du travail est exclusivement préventif. Il consiste à éviter toute altération de la santé des travailleurs du fait de leur travail, notamment en surveillant leurs conditions d’hygiène au travail, les risques de contagion et leur état de santé, ainsi que tout risque manifeste d’atteinte à la sécurité des tiers évoluant dans l’environnement immédiat de travail. »

Article L4622-8 (missions du SSTI exercées par l’équipe pluridisciplinaire en santé travail)
« Les missions des services de santé au travail sont assurées par une équipe pluridisciplinaire de santé au travail comprenant des médecins du travail, des collaborateurs médecins, des internes en médecine du travail, des intervenants en prévention des risques professionnels et des infirmiers. Ces équipes peuvent être complétées par des assistants de services de santé au travail et des professionnels recrutés après avis des médecins du travail. Les médecins du travail animent et coordonnent l’équipe pluridisciplinaire. »
Article R4624-1 (Les actions en milieu de travail)
« Les actions sur le milieu de travail s’inscrivent dans la mission des services de santé au travail définie à l’article L. 4622-2. Elles comprennent notamment :
1° La visite des lieux de travail ;
2° L’étude de postes en vue de l’amélioration des conditions de travail, de leur adaptation dans certaines situations ou du maintien dans l’emploi ;
3° L’identification et l’analyse des risques professionnels ;
4° L’élaboration et la mise à jour de la fiche d’entreprise ;
5° La délivrance de conseils en matière d’organisation des secours et des services d’urgence ;
6° La participation aux réunions du comité social et économique ;
7° La réalisation de mesures métrologiques ;
8° L’animation de campagnes d’information et de sensibilisation aux questions de santé publique en rapport avec l’activité professionnelle ;
9° Les enquêtes épidémiologiques ;
10° La formation aux risques spécifiques ;
11° L’étude de toute nouvelle technique de production ;
12° L’élaboration des actions de formation à la sécurité prévues à l’article L. 4141-2 et à celle des secouristes. »
Article L4622-9 (présence d’un service social au sein des SPSTI)
« Les services de santé au travail comprennent un service social du travail ou coordonnent leurs actions avec celles des services sociaux du travail prévus à l’article L. 4631-1. »
Article L4624-8 du Code du Travail (le DMST)
« Un dossier médical en santé au travail, constitué par le médecin du travail ou, le cas échéant, un des professionnels de santé mentionnés au premier alinéa du I de l’article L. 4624-1, retrace dans le respect du secret médical les informations relatives à l’état de santé du travailleur, aux expositions auxquelles il a été soumis ainsi que les avis et propositions du médecin du travail, notamment celles formulées en application des articles L. 4624-3 et L. 4624-4. En cas de risque pour la santé publique ou à sa demande, le médecin du travail le transmet au médecin inspecteur du travail. Le travailleur, ou en cas de décès de celui-ci toute personne autorisée par les articles L. 1110-4 et L. 1111-7 du code de la santé publique, peut demander la communication de ce dossier. »

2. Le traitement de vos données nous permet d’exécuter nos différents contrats ou d’obtenir des éléments précontractuels
En effet, en tant que personne morale, nous sommes amenés, pour notre fonctionnement, à conclure différents contrats tels que :
• contrats avec différents prestataires et fournisseurs (informatique, juridique, électricité, télécom, etc)
• contrats et conventions avec des partenaires (CARSAT, DRIEETS, et autres institutions administratives et/ou de prévention en santé travail).
Spécifiquement, dans le cadre de nos relations de SPSTI à adhérent, nous utilisons vos données personnelles et éventuellement celles de vos salariés pour, notamment :

3. Le traitement de vos données nous permet de faire valoir nos intérêts légitimes
Nous pouvons également être amenés à traiter les données personnelles recueillies auprès des adhérents ou de leurs salariés pour faire valoir nos intérêts légitimes, au titre desquels :
• entamer une démarche qualité afin d’évaluer, développer et adapter notre offre de service au bénéfice de l’adhérent et de ses salariés,
• défendre nos intérêts en justice, notamment à des fins de :
– preuve de nos accords, actions et interventions,
– gestion et administration de notre système d’information,
– continuité de notre offre de service,
– sécurité des personnes,
– la gestion des impayés et du recouvrement,
– la gestion des recours, des réclamations et des contentieux,
– la lutte contre la fraude,
– création de base de tests informatiques et de statistiques pour le suivi de notre activité en interne.
• Réaliser des enquêtes qui ne seraient pas en lien direct avec notre activité tout en ayant un intérêt légitime (ex : étude de besoins, satisfaction…).
Toutes les données traitées peuvent être agrégées en statistiques anonymisées à des fins d’enquêtes et d’études. Les résultats de ces enquêtes anonymes peuvent être transmis à nos partenaires (Présanse, branche professionnelle, …) ou à la DRIEETS, notre autorité de tutelle.

Afin d’accomplir les finalités précitées, nous sommes amenés à transmettre vos données personnelles uniquement :
A. en interne au GIST :
– aux personnels de notre service, dûment habilités selon la finalité du traitement poursuivi,
– aux professionnels de santé en charge du dossier médical en santé au travail (DMST),
B. en externe :
– à nos prestataires de services et sous-traitants réalisant des prestations pour notre compte et dans le cadre de ce qui leur est strictement nécessaire,
– à nos partenaires éventuels dans le cadre d’enquêtes et d’études réalisées par notre service. Les données traitées étant alors agrégées en statistiques anonymisées,
– aux administrations, organismes publics, autorités judiciaires sur demande et dans la limite de ce qui est permis par la réglementation.

Il est à noter que nous n’effectuons aucune transmission externe de données sensibles (médicales ou sociales) recueillies par nos professionnels habilités sauf exception légale ou réglementaire tel que :

A. en cas de transmission directe du dossier médical au salarié concerné ou au médecin de son choix, ainsi qu’à ses ayants droits dans les cas légalement prévus,
B. en cas de transmission du dossier médical au médecin inspecteur du travail s’il en fait la demande, selon les dispositions légales applicables
C. en cas de demande d’informations sociales à la demande de nos partenaires lorsque ces derniers ont été saisis directement par le salarié suivi dans le cadre de sa prise en charge sociale,
D. en cas de communication d’éléments médicaux et/ou sociaux aux autorités judiciaires, avocats, sur demande, et dans la limite de ce qui est permis par la réglementation.

Le GIST ne transfère pas vos données personnelles en dehors de l’Union européenne.
Nos prestataires d’hébergement, situés en France, et habilités « HDS » pour la partie relative aux données de santé, prennent en charge vos données à des fins de stockage.

Généralement, nous conservons les données personnelles recueillies pour la durée nécessaire à l’accomplissement de nos obligations légales et réglementaires ou pour une autre durée définie en considération de la poursuite de nos intérêts légitimes, de l’exécution de nos engagements, du suivi et de la traçabilité de nos actions de prévention, du suivi de l’exécution du contrat d’adhésion, de nos contraintes opérationnelles et des réponses aux demandes des autorités judiciaires ou administratives.

Catégories de données et durées de conservation :

S’agissant de la gestion de la relation administrative avec les adhérents : conservation pendant la durée de l’adhésion et ensuite pendant 10 ans après la fin de notre relation contractuelle.

S’agissant des salariés suivis par le GIST :
• 40 ans à partir de la dernière visite du salarié (décret 2022-1434 du 15 novembre 2022)
• 40 ans après cessation de l’exposition aux agents biologiques pathogènes (Art. R. 4426-9 du Code du travail)
• 50 ans après la fin de la période d’exposition aux agents chimiques dangereux ou amiante (Art R. 4412-55 du code du Travail)
• Date de naissance du salarié + 75 ans ou au moins 50 ans après la fin de l’exposition aux rayonnements ionisants (Art. R 4451-83 du Code du Travail)

Prise en charge sociale : 2 ans à compter de la fin de la prise en charge sociale
S’agissant des contacts de nos fournisseurs, prestataires et sous-traitants : la majorité des informations sont conservées pendant la durée de notre relation contractuelle et pendant 5 ans après la fin de notre contrat.

Le GIST a mis en place des procédures internes pour la gestion des risques et pour l’organisation de la sécurité des données. Ces procédures sont documentées et adaptées à chaque traitement de données personnelles en fonction des risques qu’ils sont susceptibles de présenter pour la vie privée des personnes concernées. Le GIST prend également les mesures de protection techniques et organisationnelles adéquates, telles que définies dans la réglementation en vigueur, afin de protéger les données personnelles que nous traitons. Le GIST prend notamment des mesures de sécurité appropriées pour les traitements de données personnelles sensibles et des risques associés. Nos mesures de sécurité, applicables à tous les systèmes utilisés dans le traitement des données personnelles, visent à garantir la confidentialité, l’intégrité et la disponibilité de celles-ci, à tout moment et jusqu’à leur suppression de notre système d’information. Ces mesures sont également exigées auprès de nos sous-traitants et fournisseurs dès lors qu’ils agissent en notre nom et selon nos consignes.

Nos garanties :
• rédaction d’une Analyse d’Impact (PIA) au préalable d’un traitement présentant un risque particulier pour les personnes concernées :
– respect du principe du Privacy by Design ;
– intégration du DPO avant tout nouveau projet de traitement de données personnelles.

• une sécurité informatique à la pointe de la technologie
– infrastructure de serveurs sécurisés et hébergés dans des locaux séparés (serveur principal et back-up),
– sauvegardes quotidiennes des serveurs sur disques,
– pare-feu et antivirus sur tous les PC avec une gestion centralisée des mises à jour de licence.
– des outils informatiques dédiées aux SPSTI :
– logiciels Health at Work et Pulse conçus spécifiquement pour les SPSTI avec un accès restreint aux données de santé, aux seules personnes habilitées, qui fait l’objet d’une journalisation,
– connexion cryptée au portail des adhérents (protocole HTTPS),
– hébergement des données dans un environnement HDS en France.

• des bâtiments sécurisés :
– zones d’archivages sécurisées,
– sites équipés de moyens de détection et de lutte contre les incendies (RIA, extincteurs, désenfumage…), vérifiés conformément par des organismes indépendants.

• de la sensibilisation régulière aux risques informatiques :
– plan de Continuité d’Activité avec tests annuels (hébergeur),
– charte informatique distribuée à chaque nouveau collaborateur,
– modification des mots de passe selon les recommandations de la Cnil et de l’ANSSI,
– sensibilisation des collaborateurs via des communications diverses.

• la conformité au RGPD de nos sous-traitants et fournisseurs
– clauses RGPD au contrat,
– clause de confidentialité des collaborateurs du sous-traitant,
– audits.

En application de la réglementation en vigueur, et selon les finalités des traitements, les personnes dont nous recueillons les données peuvent avoir les droits suivants :
• droit d’information et d’accès : droit d’obtenir des informations concernant les traitements des données personnelles les concernant ainsi qu’une copie de ces données personnelles,
• droit à la limitation du traitement : toute personne peut demander que le traitement de ses données personnelles soit limité uniquement à ce qui est strictement nécessaire,
• droit de vérification et de rectification : toute personne peut demander la modification de ses données personnelles lorsqu’elles sont inexactes ou incomplètes,
• droit de définir des directives relatives à la conservation, l’effacement ou la communication des données personnelles, applicables après le décès, dans la limite de ce qui est permis par la législation en vigueur,
• droit au consentement : lorsqu’un consentement est nécessaire pour la mise en œuvre par le GIST d’un traitement des données personnelles, nous procédons à l’information des personnes concernées et demandons leur consentement,
• droit de retirer un consentement : en cas de mise en œuvre d’un traitement de données personnelles nécessitant un consentement de la personne concernée, elle a le droit de retirer ce consentement à tout moment, sous réserve de la réglementation en vigueur,
Les droits suivants sont applicables à l’exception des traitements relevant de l’exécution d’une obligation légale :
• droit à l’effacement : à l’exception de certaines données concernant la traçabilité du suivi et des actions en santé au travail, il est possible de nous demander l’effacement des données personnelles dans les limites et conditions réglementaires en vigueur,
• droit d’opposition : à l’exception des données concernant la traçabilité du suivi et des actions en santé au travail, et sauf autre exception réglementaire, les personnes concernées peuvent s’opposer au traitement de leurs données personnelles pour des motifs liés à leur situation particulière,
• droit à la portabilité des données : lorsqu’il est applicable, il s’agit du droit, pour les personnes concernées, de demander que les données personnelles qu’elles ont fournies leur soient rendues ou, lorsque cela est possible techniquement, de les transférer directement à un tiers.
Les droits listés ci-dessus peuvent être exercés en contactant notre Délégué à la Protection des Données comme indiqué ci-après. Il est à noter que le GIST n’effectue pas de prospection commerciale ni de profilage à des fins commerciales. Conformément à la réglementation applicable, vous êtes également en droit d’introduire une réclamation auprès de la Cnil (Commission nationale de l’informatique et des libertés), autorité de contrôle compétente en France.

Afin de préserver la vie privée et la protection des données à caractère personnel de tous, le GIST a désigné un Délégué à la Protection des Données (DPO) auprès de la CNIL. Le DPO est un gage de confiance, spécialisé dans la protection des données personnelles. Il est chargé de veiller à la préservation de la vie privée et à la bonne application des règles de protection des données personnelles. Il est l’interlocuteur privilégié de la Commission Nationale de l’Informatique et des Libertés, et de toutes personnes concernées par une collecte ou un traitement de données à caractère personnel.
Contact : dpo@gist44.fr
Le DPO tient le registre des activités de traitements de l’association qu’il met, le cas échéant, à la disposition de la CNIL.