1. Propos introductifs
Dans le cadre de son activité de service de santé au travail, l’APST18 est amené à collecter et
traiter des données à caractère personnel sur ses Adhérents, leurs salariés, et les visiteurs de son
site internet.
La protection des données à caractère personnel est l’une des préoccupations majeures de
l’ APST18. A travers ce document l’APST18 renouvelle son engagement à assurer la protection, la
confidentialité et la sécurité des données à caractère personnel qu’il traite.
La présente charte énonce les grands principes et principales lignes directrices de
l’APST18 en matière de protection des données à caractère personnel sans que ces derniers ne s’y
limitent. En effet nous pouvons être amenés à vous informer de façon plus précise ou spécifique lors
de la collecte effective de données pour un traitement en particulier (par exemple par le biais de
mentions sous les formulaires de nos sites internet).
L’objectif de cette Charte est également d’informer en toute transparence les personnes de
la manière dont leurs données sont traitées par l’APST18
Afin que notre charte soit la plus accessible et lisible, l’APST18 vous offre la possibilité d’en
lire une version condensée « La charte en bref ».
1.1 Définitions
Avant de vous expliquer de quelle façon l’APST18 traite vos données, veuillez trouver ci-dessous la
définition des termes essentiels dégagés par le Règlement Général sur la Protection des Données
(RGPD).
Règlement Général relatif à la Protection des Données (RGPD) : réglementation applicable
aux organismes privés et publics traitant des données à caractère personnel.
Données à caractère personnel : Toute information se rapportant à une personne physique
identifiée ou identifiable (dénommée « personne concernée »). Pour exemple, peuvent être des données
à caractère personnel :
- Les noms, les prénoms
- Adresses postales des logements
- Adresses mails
- Les téléphones personnels, etc…
Délégué à la protection des données (DPD) : Personne chargée d’assurer la protection des données à
caractère personnel au sein de l’APST18 Vous pouvez, si besoin est, la contacter : dpo@apst18.com .
Responsable de traitement : Sauf désignation expresse par les dispositions législatives ou
réglementaires relatives à ce traitement, il s’agit de la personne physique ou morale, l'autorité
publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les
finalités et les moyens du traitement.
Sous-traitant : Il s’agit de la personne physique ou morale, autorité publique, service ou
autre organisme qui traite des données à caractère personnel pour le compte du responsable de
traitement.
2. La charte en bref
Si vous n’avez pas le temps de lire l’ensemble de notre Charte, veuillez trouver ci-dessous un résumé de cette dernière.
2.1 Pourquoi l’APST18 traite vos données ?
Dans le cadre de ses missions de service de santé au travail, l’APST18 est amené à collecter des
données personnelles par le biais des de ses différentes interactions avec ses adhérents, leurs
salariés ou encore les visiteurs de son site internet.
L’APST18 en tant que responsable de traitement est amené à traiter des données aussi bien
dans le cadre de la gestion administrative de ses adhérents (instruction des demandes d’adhésion,
facturation, etc.) que pour répondre aux obligations de suivi de l’état de santé au travail des
salariés de ses adhérents (envoi des convocations, suivi du Dossier Médical de Santé au Travail
(DMST), étude de poste, mise en place d’action de prévention de la santé au travail, traitement des
mails et téléphones personnels pour l’envoi des convocations et l’accès au portail salarié, etc.).
De même, lors de votre navigation sur notre site internet et nos applications, vos données
sont collectées. Elles sont traitées dans le but de gérer les demandes adressées via les formulaires
de contact, ou encore pour établir des statistiques de fréquentation.
Que vous soyez salarié des entreprises adhérentes ou bien visiteur du site internet, vos
données personnelles seront traitées par l’APST18 pour diverses raisons.
Ce peut être pour exécuter le contrat d’adhésion conclu avec ses adhérents ou pour respecter
les obligations légales de suivi de la santé au travail des salariés. Par ailleurs, certains
traitements à la marge sont nécessaires à la poursuite des intérêts légitimes de l’APST18. Cela
concerne en majorité des traitements nécessaires au suivi de l’activité sur l’APST18, à
l’amélioration de la qualité de ses services, à la mise en place de pôles territoriaux de prévention
(ex : établissement de statistique).
2.2 Quelles données personnelles traitons-nous ?
Les informations que nous traitons sont principalement fournies par les entreprises elles-mêmes (vos
employeurs) notamment au moment de leur adhésion ou lors de l’embauche de nouveaux collaborateurs.
Dès lors, selon le but poursuivi nous pouvons être amenés à collecter les informations
suivantes :
- Données d’identification : nom, prénom, adresse email, etc.
- Données sur la vie professionnelle : fonction, type de poste, environnement de travail, etc.
- Données sur la santé du salarié (uniquement dans le cadre de la gestion du Dossier Médical de Santé au Travail (DMST)) : pathologie, antécédents, ressenti au travail, etc.
- Données de connexion (pour les visiteurs de notre site internet)
2.3 Quels sont vos droits ?
Lorsque vos données font l’objet d’un traitement vous disposez de droit sur ces dernières.
En effet, vous disposez d’un droit d’accès, de rectification, d’opposition, de limitation du
traitement, de portabilité et d’effacement de vos données dans les conditions prévues dans le
règlement 2016/679 du 27 avril 2016. Vous disposez également du droit de définir des directives
relatives au sort de vos données à caractère personnel après votre décès en application de la Loi
pour une république numérique n°2016-1321 du 7 octobre 2016. Vous pouvez exercer ces droits en vous
adressant à notre délégué à la protection des données dpo@apst18.com par courrier à l’attention du
délégué à la protection des données –8 rue Maurice ROY 18022 BOURGES CEDEX.
Certaines demandes de droits ne sont parfois pas recevables, de nombreuses données étant
collectées de droit pour la mission du service de santé. Notre DPO vous le précisera le cas échéant.
2.4 A qui pouvons-nous communiquer vos données personnelles ?
L’ensemble des collaborateurs l’APST18 sont soumis au secret médical et à une obligation de
confidentialité selon les fonctions exercées. De même l’ensemble des prestataires avec lesquels
travaille l’APST18 sont soumis à une obligation de confidentialité.
Selon les cas, l’accès à vos données est strictement limité :
- Au personnel habilité de l’APST18 dans le cadre de l’exercice de ses fonctions
- Aux prestataires dans la limite de l’exécution de leur mission (par exemple pour de la maintenance du logiciel métier de gestion des dossiers médicaux que nous utilisons)
- Aux organismes et autorités légalement autorisés à connaître vos informations
2.5 Combien de temps conservons-nous vos données personnelles ?
Nous conservons vos données durant le temps n’excédant pas le but poursuivi (gestion administrative
des adhérents, suivi du DMST, etc.). Le plus souvent, entre 20 et 50 ans pour les dossiers médicaux
après la fin de votre prise en charge. Nous tenons compte également des délais légaux applicables
ainsi que des recommandations de la CNIL.
Les éléments exposés ci-dessus constituent un condensé de notre charte de confidentialité,
si vous souhaitez en savoir d’avantage sur la manière dont l’APST18 traite vos données à caractère
personnel, nous vous invitons à poursuivre votre lecture.
3. Charte de protection des données personnelles
3.1 De quelle manière vos données à caractère personnelles sont-elles traitées ?
3.1.1 Traitements réalisés dans le cadre de la gestion des relations Adhérents/Prospects
| Quelles données à caractère personnel sont collectées ? | Pour quelles finalités ? | Qui a accès à vos données ? | Sur quel fondement juridique se base le traitement ? |
|---|---|---|---|
|
• Données d’identification (nom, prénom, coordonnées professionnelles, etc.) • Vie professionnelle (fonction exercée) • Données de connexion au Portail Adhérent |
• Enregistrement et instruction des demandes d’adhésion • Gestion administrative des adhérents (facturation, gestion des réclamations, gestion des impayés, etc.) • Réalisation de nos prestations de santé au travail (suivi des salarié, actions de prévention, Dossier Unique, tenue du Dossier d’entreprise, réalisation d’études, veille sanitaire, etc.) • Mise à disposition de l’espace Adhérent |
• Personnel habilité de l’APST18 dans la limite de leurs fonctions (Service gestion des
Adhérent, Pôle Prévention, Pôle médical, Secrétariat, etc.) • Sous-traitants/ Prestataires APST18 dans la limite de l’exécution de leur mission (ex : prestataire en charge de la fourniture et maintenance du logiciel métier de suivi de santé au travail) • Organisme ou autorité légalement autorisé à connaitre vos informations |
• Conclusion et/ou exécution du contrat d’adhésion |
3.1.2 Traitements réalisés dans le cadre du suivi de la santé au travail des salariés
| Quelles données à caractère personnel sont collectées ? | Pour quelles finalités ? | Qui a accès à vos données ? | Sur quel fondement juridique se base le traitement ? |
|---|---|---|---|
| • Données d’identification détaillées (nom, prénom, date de naissance, nationalité, adresse
postale, téléphone, adresse e-mail, etc.) • Situation familiale et vie personnelle : (statut marital, nombre d’enfant, etc.) • Vie professionnelle (emploi actuel, historique professionnel, risques liés à l’activité exercée, etc.) • Données médicales (antécédents, résultats des tests effectués par l’APST18, recommandations du médecin, ensemble des informations partagées avec les médecins et autre professionnel en charge du suivi du salarié • Habitudes de vie ayant une influence sur la santé au travail (tabac, alcool, stress etc.) • Données d’identification détaillées (nom, prénom, date de naissance, nationalité, adresse postale, téléphone, adresse e-mail, etc.) • Situation familiale et vie personnelle : (statut marital, nombre d’enfant, etc.) • Vie professionnelle (emploi actuel, historique professionnel, risques liés à l’activité exercée, etc.) • Données sensibles pertinentes dans le cadre de l’accompagnement social • Informations permettant d’apprécier les difficultés sociales rencontrées • Tout type de données sous la forme anonymisée ou pseudonymisée. |
• Gestion administrative des salariés suivi (envoi des convocations, suivi des visites,
rappels des prochaines visites etc.) • Gestion et suivi du Dossier Médical Santé-Travail (DMST) • Mise en place d’action de prévention en milieu de travail (étude de poste, session de sensibilisation/formation, etc.) • Orientation des salariés vers d’autres professionnels de santé le cas échéant • Archivage des dossiers médicaux • Diagnostic territorial pour la mise en place d’actions de prévention et d’actions en santé publique • Accompagnement et suivi social des salariés • Etablissement de statistiques anonymisées pour le suivi de notre activité de Service de Santé au travail |
• Personnel habilité de l’APST18 dans la limite de leurs fonctions (Service gestion des
Adhérent, Pôle Prévention, Pôle médical, Secrétariat, etc.) • Sous-traitants/ Prestataires APST18 dans la limite de l’exécution de leur mission (ex-prestataire en charge de la fourniture et maintenance du logiciel métier de suivi de santé au travail) • Organisme ou autorité légalement autorisé à connaitre vos informations |
• Obligation légale de suivi de la santé au travail des salariés de ses adhérents
Consentement du salarié • Intérêt légitime de l’APST18 |
3.1.3 Traitements réalisés via le site internet
| Quelles données à caractère personnel sont collectées ? | Pour quelles finalités ? | Qui a accès à vos données ? | Sur quel fondement juridique se base le traitement ? |
|---|---|---|---|
| • Données d’identification (nom, prénom, coordonnées, etc.) • Données fournies via les formulaires |
• Répondre aux sollicitations des visiteurs | • Personnel habilité de l’APST18 dans la limite de leurs fonctions • Sous-traitants/ Prestataires APST18 dans la limite de l’exécution de leur mission |
• Intérêt légitime de l’APST18 |
| • Données de connexion (Adresses IP, journaux d’événements…) • Données relatives aux mesures d’audience (statistiques sur les pages vues, le temps passé sur une page, etc.) |
• Sécurisation, analyse et développement de l’efficacité du contenu de notre site et de nos
apparitions. Les données sont exploitées sous une forme anonymisée. |
• Personnel habilité de l’APST18 dans la limite de leurs fonctions • Sous-traitants/ Prestataires APST18 dans la limite de l’exécution de leur mission |
• Intérêt légitime de l’APST18 |
3.2 Combien de temps conservons-nous vos données à caractère personnel ?
| Documents locataires | Durée de conservation |
|---|---|
| DMST des salariés occupant des postes non exposés à des risques particuliers | 20 ans à compter de la fin de la prise en charge |
| DMST salarié exposé à des agents biologiques pathogènes | 10 à 40 ans compter de la dernière exposition |
| DMST salarié exposé à des agents chimiques dangereux et agents chimiques dangereux cancérogènes, mutagènes et toxiques pour la reproduction | 50 ans à compter de la dernière exposition |
| DMST salarié exposé à des rayonnements ionisants | 50 ans à compter de la dernière exposition |
| DMST salarié exposé à de l'amiante | 50 ans à compter de la dernière exposition |
| DMST salarié travaillant en milieu hyperbare | 20 ans à compter de la dernière exposition |
| Dossier de suivi social | 2 ans à compter de la fin de l’accompagnement |
| Ensemble des éléments constituants des pièces comptables | 10 ans |
| Dossier Client/ Adhérent | 5 ans à compter de la fin de la relation contractuelle |
| Eléments du Dossier d’entreprise (DU, fiche d’entreprise, liste des salariés suivis, etc.) | 10 à compter de la fin de la relation contractuelle > |
| Dossier de contentieux et gestion des réclamations adhérents en dehors de toute procédure judiciaire | 5 ans à compter du règlement du litige et versement des indemnisations |
| Données relatives aux demandes d’exercice de droit | 1 an à compter de la réception des demandes |
| Données de connexion (adresses IP, journaux d’événements…) | 1 an |
Les données permettant d’établir la preuve d’un droit ou conservées au titre du respect d’une obligation légale, peuvent faire l’objet d’une politique d’archivage intermédiaire pour une période correspondant aux durées de prescription légale (et notamment le délai de droit commun de 5 ans).
3.3 Quels sont vos droits et comment les exercer ?
Comme énoncé précédemment, lorsque vos données font l’objet d’un traitement vous disposez de droit sur ces dernières.
3.3.1 Le droit d’accès et de rectification de vos données personnelles
Vous avez le droit de demander à l’APST18 s’il traite vos données et de vous transmettre les
informations vous concernant
A ce titre, vous pouvez :
- Accéder à l’ensemble des données vous concernant
- Connaître l’origine des données vous concernant ainsi que les destinataires de celles-ci
- Accéder aux données sur lesquelles l’APST18 s’est fondé pour prendre une décision vous concernant
- Obtenir une copie de vos données
Enfin, vous disposer du droit de rectifier vos données lorsque celles-ci sont incomplètes ou inexactes. Par exemple si votre situation familiale a changé, vous pouvez demander la correction de vos informations personnelles.
3.3.2 Le droit d’opposition au traitement de vos données personnelles
Ce droit vous permet de vous opposer à ce que vos données soient utilisées par l’APST18. Pour ce
faire, vous devez mettre en avant des raisons tenant à votre situation particulière.
Vous avez le droit de vous opposer à l’utilisation de vos données personnelles si celles-ci
sont traitées sur la base de l’intérêt légitime de l’APST18. Il vous sera donc possible de vous
opposer au traitement à tout moment.
3.3.3 Le droit à la portabilité de vos données personnelles
Si vous avez donné votre consentement pour le traitement de vos données ou si le traitement de vos
données est nécessaire à l’exécution d’un contrat conclu avec l’APST18, vous avez le droit à la
portabilité de vos données.
Ce droit vous permet :
- De récupérer vos données personnelles traitées par l’APST18 et de les stocker sur un appareil ou un cloud privé par exemple. Ce droit vous permet de gérer plus facilement et par vous-même vos données personnelles.
- De transférer vos données personnelles de votre portail salarié à un autre organisme.
Toutefois ce droit ne concerne que les données gérées de manière automatisée (les fichiers papiers ne sont pas concernés) et les données fournies par vous-même.
3.3.4 Le droit à la limitation du traitement de vos données personnelles
Ce droit vous permet de geler temporairement l’utilisation de vos données. Il peut être exercé en
parallèle d’une autre demande de droit comme le droit d’opposition ou rectification par exemple.
Cela vous permet de « mettre en pause » l’utilisation de vos données pendant l’étude de votre
demande d’exercice de droit.
Dès lors, une fois le traitement de vos données mis en pause, celles-ci ne pourront être
utilisées que dans les cas suivants :
- Vous avez donné votre accord
- Pour la constatation, l’exercice ou la défense de droits en justice,
- Pour la protection des droits d’une autre personne physique ou morale
- Pour des motifs importants d’intérêt public de l’Union ou d’un Etat membre.
3.3.5 Le droit à l’effacement de vos données personnelles
Ce droit vous permet tout simplement d’obtenir la suppression de vos données personnelles.
Vous pouvez demander l’effacement de vos données si :
- Vos données sont utilisées à des fins de prospection
- Les données ne sont pas ou plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées
- Vous retirez votre consentement à l’utilisation de vos données
- Vos données font l’objet d’un traitement illicite
- Vos données ont été collectées lorsque vous étiez mineurs dans le cadre de la société de l’information
- Vos données doivent être effacées pour respecter une obligation légale
- Vous vous êtes opposé au traitement de vos données et l’APST18 pas de motif impérieux de ne pas donner suite à votre demande.
Dans certains cas, l’APST18 ne pourra faire droit à votre demande en particulier si l’APST18 est dans
l’obligation légale de conserver vos données (ex : obligation légale de concerner les Dossiers
Médicaux entre 20 et 50 ans selon le risque d’exposition des personnes) ou encore
si vos données sont nécessaires pour la constatation, de l’exercice ou de la défense de
droits en justice (ex : données utilisées dans le cadre de la gestion d’un contentieux)
3.3.6 Contacter notre DPO
Pour exercer vos droits ou tout autre question relative au traitement de vos données vous pouvez
contacter notre DPO par courrier à l’adresse 8 rue Maurice ROY 18022 BOURGES CEDEX ou par mail à
l’adresse dpo@apst18.com . Si vous le souhaitez-vous pouvez également exercer vos droits sur place
en vous présentant à l’accueil, votre demande sera ensuite relayée à notre DPO.
Toutefois, il est précisé que quel que soit le mode d’exercice de droit choisi, chacune de
vos demandes doit être accompagnée d’éléments permettant de justifier votre identité.
Une fois votre demande reçue, sachez que nous disposons d’un délai d’un mois pour vous
répondre. Ce délai pourra être suspendu si votre demande nécessite des éléments complémentaires.
3.4 Vos données sont-elles transférées en dehors de l’Union Européenne ?
Vos données ne font l’objet d’aucun transfert en dehors de l’Union Européenne.
Dans l’hypothèse où l’APST18 aurait recours à des sous-traitants situés en dehors de l’Union
Européenne, nous nous engageons à s’assurer que les sous-traitants présentent des mesures techniques
et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent
règlement et garantisse la protection des droits de la personne concernée.
3.5 Quelles mesures de sécurité mettons-nous en œuvre pour protéger vos données ?
L’APST18 met en œuvre toutes les mesures de sécurité techniques et organisationnelles nécessaires afin de protéger les données traitées contre toute divulgation, perte, modification non désirée, accès non autorisé et notamment :
- Des mesures de sécurité physiques : Sécurité des accès aux locaux, chiffrement des postes de travail mobiles, etc.
- Des mesures de sécurité informatiques : politique de mots de passe, double authentification pour l’accès à notre logiciel de suivi de la santé au travail, antivirus, etc.
- Des mesures de sécurité organisationnelles : gestion des habilitations, désignation d’un DPO, plan de sauvegarde, etc.
3.6 Modification et accessibilité de la charte de la présente charte.
La présente charte est la seule opposable jusqu’à ce qu’une nouvelle version la remplace.
Elle est susceptible d’évolution, l’APST18 se réserve le droit de la mettre à jour ou de la
modifier à tout moment et sans préavis.
Il vous est donc conseillé de la consulter régulièrement. Si vous continuez à utilisation
nos services après modification de la présente charte, cela constitue acceptation de votre part
desdits changements.
De plus, cette charte peut être consultable sur le site de l'APST18 et Il vous est également
possible d’en réclamer une copie auprès de l’accueil de l'APST18.