Les Services de Prévention et de Santé au Travail Interentreprises (SPSTI) jouent un rôle clé dans la santé des salariés en France. Pourtant, un défi de taille se dresse devant eux : garantir leur conformité au RGPD d’ici le 1er mai 2025. Quelles sont leurs obligations spécifiques ? Comment peuvent-ils y répondre efficacement ? Décryptage.

SPSTI : Un cadre réglementaire renforcé

Avec plus de 15 millions de salariés couverts en France, les SPSTI ne sont pas des entreprises comme les autres. Leur mission de santé publique leur impose non seulement de respecter le RGPD (Règlement Général sur la Protection des Données), mais aussi des exigences spécifiques prévues par l’article L.4622-9-3 du Code du travail.
Cet article rend la certification des SPSTI obligatoire, sur la base d’un référentiel défini par l’AFNOR (AFNOR SPEC 2217). L’objectif : s’assurer de la qualité des services, de la continuité de l’organisation et, surtout, de la gestion conforme des données personnelles.

RGPD et certification : Un binôme indissociable

Pour être certifié, un SPSTI doit démontrer sa maîtrise des exigences liées au RGPD, notamment :

1. Information et transparence : Les employeurs et salariés dont les données sont traitées par un SPSTI doivent être clairement informés de la mise en oeuvre des traitements. Cette information passe par la rédaction de politiques de confidentialité appropriées
2.  Collecte et consentement : Les consentements doivent être formalisés, en particulier pour les données de santé.
3.  Sécurité des données : Cela inclut la réalisation d’analyses d’impact et des mesures de protection adaptées
4.  Sous-traitants : Tous les prestataires IT doivent être clairement identifiés et avoir accepté des engagements précise (data privacy agreement)

Bien que le référentiel AFNOR distingue trois niveaux de certification, le respect du RGPD reste obligatoire quel que soit le niveau visé.

Les défis spécifiques des SPSTI

Les données de santé, considérées comme particulièrement sensibles (article 9 du RGPD), ajoutent une complexité supplémentaire. Voici les points d’attention :

1. Qualification des responsabilités : Un SPSTI doit clairement définir son rôle (responsable de traitement, co-responsable ou sous-traitant) vis-à-vis des entreprises adhérentes.
2. Désignation d’un DPO : Pour les SPSTI traitant des données de santé à grande échelle, la nomination d’un délégué à la protection des données est indispensable pour les autres elle est vivement conseillée pour assurer le maintien de la stratégie RGPD dans le temps.
3. Traitements particuliers : Certaines situations, comme des études multicentriques, peuvent nécessiter une autorisation préalable de la CNIL.

Un calendrier à respecter : Objectif mai 2025

Les SPSTI doivent être certifiés d’ici le 1er mai 2025. Pour y parvenir, ils doivent travailler simultanément sur plusieurs chantiers :

1. La documentation : Qualification des rôles et rédaction des politiques de confidentialité.
2.  La gouvernance : Création et maintien des registres de traitement.
3.  La sécurité : Mise en oeuvre des analyses d’impact et des procédures en cas de violation.

Pourquoi se préparer dès maintenant ?

Outre l’enjeu de la certification, se conformer au RGPD est un gage de confiance pour les entreprises adhérentes et les salariés. Cela permet également de réduire les risques juridiques et financiers liés à un éventuel non-respect des règles.
Les SPSTI ont une responsabilité majeure : protéger non seulement la santé des salariés, mais aussi leurs données personnelles. Une démarche proactive, soutenue par une analyse rigoureuse et des actions concrètes, est essentielle pour atteindre ces objectifs. Si vous êtes un SPSTI ou une entreprise adhérente, notre équipe spécialisée en IP/IT & Data Protection est là pour vous accompagner.

Dernière actualité : Eric Barbry co-animera la conférence « NIS 2 : Une cybersécurité augmentée » organisée par l’Acsel – L’association de l’économie numérique, le 4 février (8h30-10h) : Lien d’inscription