.png?width=226&height=226&name=Design%20sans%20titre%20(3).png)
|
|
L'essentiel à retenir suite à l'intervention de Maître Marguerite Brac de la Perrière, avocate associée chez Fieldfisher, lors de la conférence sur la protection des données.
Les réglementations applicables
La donnée à caractère personnel est définie comme toute information se rapportant à une personne physique identifiée ou identifiable. En médecine du travail, plusieurs réglementations encadrent les conditions de traitement : d'une part le RGPD et la loi Informatique et Libertés, lesquelles sont des réglementations propres à la protection des données personnelles, et d'autre part des dispositions spécifiques à la santé et à la santé au travail relevant du code de la santé publique et le code du travail.
Dans certaines hypothèses, ces différents textes ne s'articulent pas parfaitement entre eux.
La loi du 2 août 2021 a initié un décloisonnement de la santé publique et de la santé au travail, et une harmonisation notamment sur les conditions de traitement de données et la conformité des systèmes d'information et des services numériques à des référentiels d'interopérabilité et de sécurité.
Ce que ça change concrètement
Comment cette homogénéisation vous impacte-t-elle ? Elle impose à tous les acteurs du secteur un niveau de maturité élevé en matière de protection des données. Ces exigences sont désormais intégrées aux critères de certification des SPST démontrant politique volontariste en France en matière de protection des données. |
Cette ambition d'homogénéisation impose à l’ensemble des acteurs du secteur, quels que soient leurs profils, d’atteindre un niveau de maturité élevé en matière de protection des données.
|
S'agissant de l'articulation des textes entre eux, des situations peuvent être difficiles à arbitrer. Par exemple, quand vous êtes face à une demande d’accès : s’agit-il d’une demande d'accès au dossier médical, qui relève du code de la santé publique, ou d’une demande d'accès au titre du RGPD ? Les délais de réponse ne sont pas les mêmes pour donner accès aux informations : 8 jours pour le dossier médical, et jusqu'à 1 mois au titre RGPD, avec la possibilité de renouveler ce délai si la demande présente une complexité.
Et là, on touche à une contradiction, car au final, ce sont les mêmes données !
Adopter les bons réflexes
D'où viennent ces données ? Sont-elles collectées au titre d'une obligation légale, comme le dossier médical, ou au titre des intérêts légitimes ?
Cette base de licéité détermine les droits dont disposent les salariés sur ces données. Si elles sont traitées dans le cadre d'une obligation légale, elles ne peuvent pas être supprimées. Si elles sont traitées dans le cadre des intérêts légitimes, il convient de répondre favorablement à une demande d'effacement.
Plusieurs réglementations se chevauchent, supposant parfois des arbitrages. Ces arbitrages doivent être documentés, en partant du choix de la base de licéité, pour limiter les risques.
Sur ce sujet, il y a peu de jurisprudences, avec en conséquence peu d'éclairage sur les contradictions.
Reste qu'il est rassurant qu'il n'y ait pas de contentieux à ce jour.
Il est essentiel que ces choix relatifs aux traitements de données, documentés notamment dans vos registres, soient en cohérence avec votre politique de confidentialité. En cas de demande d’accès, vous devrez être en mesure de fournir les données demandées, dans le respect de cette politique.
La clé ici, c’est la cohérence entre vos arbitrages et votre documentation.
.png?width=1200&length=1200&name=Design%20sans%20titre%20(5).png)
.png?width=1200&length=1200&name=Design%20sans%20titre%20(6).png)
.png?width=1200&length=1200&name=Design%20sans%20titre%20(7).png)
-1.png?width=1200&length=1200&name=Design%20sans%20titre%20(4)-1.png)
← Retour accueil
