La protection des données à caractère personnel a toujours été une préoccupation majeure pour notre service de santé au travail et ce en raison de notre mission et de la sensibilité des données à caractère personnel que nous gérons.
Le présent courrier a pour objet de vous fournir des informations sur les actions de protection des données à caractère personnel des salariés de votre entreprise, mises en place par le Service de Santé au Travail en Savoie, dont le siège social est au Bourget du Lac (73370), Savoie Technolac, 19 allée du Lac St André, dans le cadre de notre activité.
Nous sommes amenés à traiter des données à caractère personnel relatives à vos salariés pour nous permettre d’exercer notre activité réglementée, c’est-à-dire éviter toute altération de la santé des travailleurs du fait de leur travail en application des dispositions de l'article L4622-2 du code du travail. Nous utilisons également des données personnelles pour conclure et exécuter nos contrats (dossiers d'adhésion et facturation….), et défendre nos intérêts légitimes.
Les données que nous utilisons nous sont communiquées par votre entreprise (déclaration des effectifs, demandes d’examens médicaux). Elles sont également recueillies directement auprès des salariés lors du suivi médicoprofessionnel. Par exception, certaines données sont obtenues indirectement, ainsi les données relatives à l’embauche des salariés pris en charge ou à prendre en charge par le SST73 nous sont automatiquement transmises par l’Urssaf en application de la réglementation en vigueur en matière de déclaration préalable à l’embauche.
Au sein de notre service de santé au travail, seules ont accès aux données à caractère personnel relatives aux salariés, les personnes ayant besoin d’en connaître dans le cadre de la réalisation de nos missions. Cet accès est réalisé dans le respect du secret professionnel auquel le personnel du SST73 est soumis. En outre, l’accès aux informations contenues dans le dossier médical est réalisé dans le respect du secret médical auquel sont soumis les médecins du travail.
En vue d’accomplir les finalités précitées et selon la mission qui leur est confiée, les prestataires de services, les délégataires et les sous-traitants agissant pour notre compte sont également susceptibles d’avoir accès aux données à caractère personnel relatives aux salariés de votre entreprise.
Dans le cadre de nos missions, nous sommes également susceptibles de communiquer les données à caractère personnel relatives aux salariés aux autorités judicaires et/ou administratives ou agence d’Etat, organismes publics (sur demande et dans la limite de ce qui est permis par la réglementation).
Le SST73 met en place des mesures organisationnelles et techniques pour préserver la sécurité des données à caractère personnel qui lui sont confiées et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Les données sensibles, et en particulier les données contenues dans le dossier médical du salarié font l’objet de mesures de sécurité spécifiques.
Pour renforcer la sécurité et la confidentialité des données, nous avons mis en place des dispositifs d’accès restreint aux données. Ainsi, vos données sont uniquement visibles par un personnel habilité et sensibilisé aux questions de protection des données à caractère personnel et limité aux seules personnes ayant besoin d’en connaître dans le cadre de la réalisation de leurs missions.
Les données à caractère personnel ne peuvent être conservées que pour une durée limitée appelée « durée de conservation », déterminée en fonction de la finalité du traitement mis en œuvre. Actuellement, il n’existe pas de texte définissant de manière générale la durée et les conditions de la conservation du dossier médical pour les services de santé au travail.
Néanmoins, le Code du travail a fixé certaines durées de conservation auxquelles nous nous conformons.
En application des dispositions des articles 33 et 34 du RGPD, en cas de violation de données à caractère personnel, nous nous engageons à notifier celle-ci auprès de la CNIL, autorité de contrôle compétente, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Si la violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, nous communiquerons auprès de la personne et/ou structure concernées dans les meilleurs délais.