Blog

Conformité légale et réglementaire

Rédigé par Équipe padoa | Apr 23, 2025 12:52:51 PM

Padoa a intégré une approche proactive et rigoureuse pour assurer une conformité totale avec le RGPD. En se basant sur les recommandations de la CNIL et grâce aux certifications HDS, ISO 27001 et ISO 27701, padoa garantit aux SPST que leurs données sont traitées avec le plus haut niveau de sécurité et de confidentialité. Padoa fournit des outils intégrés de gestion de l’information, des consentements et oppositions. Un Pack Conformité est également mis à jour en permanence et mis à disposition des SPST. Padoa offre ainsi à ses clients la sérénité nécessaire pour se concentrer sur leur cœur de métier, tout en restant pleinement conformes aux obligations légales et réglementaires applicables. 

Margaux Jaumot, Responsable Juridique et Déléguée à la Protection des Données chez padoa

 

 

👉 SOMMAIRE

Un cadre légal pour le traitement des données RGPD

Un cadre légal spécifique au secteur de la santé au travail

La certification HDS en propre

Des certifications complémentaires

 

Une conformité légale et réglementaire à tous les niveaux pour les Services de Prévention et de Santé au Travail

La stabilité de padoa est garantie par une équipe SRE (Site Reliability Engineering) interne de 18 personnes, dédiée à développer et à maintenir une architecture fiable et évolutive. Cette organisation permet non seulement de gérer un nombre croissant de requêtes, mais elle assure également un excellent taux de disponibilité, au service de la santé au travail. Cette synergie entre expertise humaine et technologie avancée permet à padoa d’assurer un traitement efficace et une sécurité des données traitées par les SPST.

+38* documents de conformité mis à disposition des clients
en 2024

*Donnée issue du “Pack Conformité”, mis à disposition de nos clients et créé en juin 2023

 

Un cadre légal pour le traitement des données régi par le Règlement Général sur la Protection des Données

En s’appuyant sur le guide de la CNIL à destination des Services de Prévention et de Santé au Travail, le SPST doit mettre en place une procédure garantissant la conformité au RGPD concernant :

  • L’information complète des employeurs et des salariés dont les données personnelles sont traitées
  • Le recueil formalisé des oppositions ou consentements individuels
  • Le traitement des réclamations éventuelles relatives à l’utilisation des données personnelles
  • Les aspects du RGPD qui font l’objet de la procédure

Padoa est entièrement conforme au RGPD et permet de facto à ses clients d’assurer leur propre conformité RGPD, grâce à des ressources complètes mises à disposition :

  • Des éléments directement intégrés dans l’application
    Recueil et traçabilité des consentements/oppositions, information des employeurs et des salariés

  • La tenue d’un registre de traitement en qualité de sous-traitant
    Finalité et sous finalité de traitement, données à caractère personnel concernées, personnes concernées, destinataires de données, sous-traitant(s) utilisé(s), transfert de données, durées de conservation, mesures de sécurité techniques et organisationnelles, base légale de traitement, processus de collecte de la donnée

  • Une vérification méticuleuse des garanties de conformité RGPD de nos sous-traitants (sous-traitants ultérieurs)

  • Une procédure de gestion des incidents en lien avec les données à caractère personnel et procédure de notification au client

Cette approche globale garantit que nous respectons les exigences du RGPD, offrant à nos clients une confiance totale dans la sécurité et la confidentialité de leurs données.

 

Un cadre légal et réglementaire spécifique au secteur de la santé au travail

Le logiciel padoa est entièrement conforme à la réglementation française en matière de santé au travail, notamment au Code du Travail et au Code de la Santé Publique. Nous sommes contractuellement tenus de maintenir cette conformité auprès de nos clients.

Plus spécifiquement, les dossiers médicaux respectent strictement le Code du Travail et les recommandations de la CNIL, garantissant ainsi la protection des données et la conformité légale des DMST.

La CNIL a d’ailleurs mis à disposition un guide dédié aux SPST pour s’assurer de la conformité RGPD de leur logiciel de santé au travail. Padoa, en ce sens, le remplit intégralement.

 

La certification Hébergeur de Données de Santé en propre

Est considéré comme une activité d’hébergement de données de santé à caractère personnel sur support numérique au sens du II de l’article L. 1111-8 le fait d’assurer pour le compte du responsable de traitement […] :
1-4° [...]
L’administration et l’exploitation du système d’information contenant les données de santé.
6° [...]


 

 

Les éditeurs de solution traitant des données de santé doivent être certifiés HDS (Hébergeur de Données de Santé), dès lors qu'ils réalisent eux-mêmes un certain nombre d'activités, même s’ils s’appuient sur un autre hébergeur physique, lui-même certifié HDS.

Padoa, en étant certifié en propre HDS, dispose des capacités techniques et des connaissances pour héberger les données des SPST. Cependant, nous avons stratégiquement choisi de ne pas gérer directement l'hébergement. Cette approche nous permet de concentrer notre expertise sur la fourniture d'une plateforme de santé et de sécurité au travail de qualité, tout en confiant l'hébergement à un fournisseur dédié et spécialisé. Cela ne signifie pas pour autant que nous renonçons à la responsabilité de la sécurité. Nous sélectionnons et supervisons soigneusement notre partenaire d'hébergement pour garantir le respect des normes de sécurité les plus élevées.

De par sa certification HDS en propre, padoa est par ailleurs autonome vis à vis de l’hébergeur de données pour assurer les activités de conception et d’exploitation du logiciel sans intermédiaire, aux bénéfices des utilisateurs (pilotage de l’ensemble des systèmes d’information, contrôle des niveaux de performance et intervention immédiate pour garantir la disponibilité de la plateforme en toute circonstance, création de nouveaux systèmes, en toute autonomie et sans délai).

Cette capacité d’autonomie dans nos activités nous permet une agilité avérée.

En savoir plus
En étant certifié HDS en propre, padoa est autonome sur ses activités, notamment lors de la signature d’un nouveau client pour lequel nombre de dispositifs sont à mettre en place dans un temps record.

 

Des certifications complémentaires

La plateforme est certifiée en propre ISO 27001 et ISO 27701.

La norme ISO 27001 est la référence en matière de système de management de la sécurisation des données informatiques dans le monde ; tandis que la norme ISO 27701 est relative à la gouvernance et à la mise en place des mesures de protection de la vie privée pour les traitements de données personnelles.

L’ISO 27001 s’adresse à toutes les entreprises qui gèrent des données sensibles, même pour le compte d’un tiers et instaure un ensemble de règles et bonnes pratiques à respecter pour maximiser la sécurité des systèmes d’information.

La norme ISO 27701 atteste du soin apporté à la protection et à la confidentialité des données personnelles, engagement de padoa dès la conception du logiciel, sur le principe du “Privacy by Design”. Elle est un élément de preuve fort de notre conformité au RGPD.

Le « Pack Conformité » padoa, mis à jour en permanence, offre à nos clients un accès direct à la documentation relative au traitement des données, aux procédures de consentement et aux rapports d'incidents, garantissant ainsi une conformité réglementaire totale. Il comprend :

  • Des éléments RGPD
    • Modèle de PIA (étude d’impact sur la vie privée)
    • Notices d’information / consentement : téléconsultation, info salarié sur accès DMST, consentement maintien en emploi
    • Fonctionnement des consentements / oppositions dans padoa
    • CGU
    • Documents de conformités sous-traitants ultérieurs
    • Conformité DMST par rapport au guide CNIL
  • Des éléments de sécurité
    • Résultat des tests de pénétration périodiques
    • Plan d’assurance sécurité
  • Des éléments de conformité
    • Certifications ISO 27001 et HDS de padoa
    • Certification HDS de l’hébergeur
    • Certification 27701 de padoa
    • Documentation signature électronique
    • Référentiel force probante
    • Plan d’action PGSSI-S commenté lorsque padoa est concerné

 

💡 FAQ
Voir l'article complet