Politique de confidentialité

Responsable de traitement : Service de prévention et de santé au travail
CNIL : Commission Nationale de l’Informatique et des Liberté
RGPD : Règlement Général sur la Protection des Données (UE) 2016/679
DPO : Délégué à la Protection des Données
DMST : Dossier Médical en Santé au Travail
Données personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable (article 4.1 du RGPD)
Données de santé : Données relatives à la santé physique ou mentale d’une personne

Dénomination : APST-BTP-RP (Association de Prévention et de Santé au Travail du Bâtiment et des Travaux Publics de la Région Parisienne)
Forme juridique : Association déclarée – W921000263
Adresse du siège social : 110 avenue du Général Leclerc – BP 1 – 92340 BOURG-LA-REINE
SIRET : 775 681 935 00471
NUMERO LEI : 969500TV913MM1A57F46
Téléphone : 01 46 83 50 00
Représentant légal : M. Christian Gonnet, Président du Conseil d’Administration de l’APST-BTP-RP
Délégué à la Protection des Données (DPO) :  dpo@apst.fr
Adresse : Monsieur le Délégué à la protection des données – 110 avenue du Général Leclerc – BP1 – 92340 BOURG-LA-REINE

Pour en savoir plus sur notre organisation, veuillez consulter nos mentions légales

3.1 Qu’est-ce qu’une donnée personnelle ?
En référence à l’article 4.1 du RGPD, une donnée à caractère personnel est toute information qui permet de vous identifier soit directement ou indirectement.

3.2 Principe de minimisation
Nous ne collectons que les données nécessaires à notre mission principale de Service de Santé au Travail. Les données collectées sont adéquates, pertinentes, utiles et limitées au strict minimum nécessaire aux finalités poursuivies.

3.3 Catégories de données collectées
A. Pour le suivi médical des travailleurs
Données personnelles et familiales :

• Nom, prénom, lieu et date de naissance
• Sexe, âge
• Adresse postale et électronique (professionnelle et/ou personnelle)
• Numéro de téléphone (professionnel et/ou personnel)
• Situation de famille, situation maritale, nombre d’enfants
• Identifiant National de Santé (INS) / NIR

Données administratives – Emploi et formation :

• Niveau d’étude, diplômes
• Emploi, poste de travail, nom de l’employeur
• Conditions de travail, horaires, organisation du travail
• Risques professionnels identifiés
• Historique des expositions professionnelles

Informations médicales (en application de la législation en vigueur) :

• Données de santé nécessaires à la prise en charge en santé au travail des salariés
• Type de suivi individuel de l’état de santé déterminé par le médecin du travail (VIP, SIR, SIA)
• Informations médicales nécessaires à la détermination de l’aptitude ou au constat d’une inaptitude
• Conclusions d’examens complémentaires
• Diagnostics médicaux (lorsque nécessaire au suivi)
• Antécédents médicaux personnels, des parents et de la fratrie
• Accidents du travail, maladies professionnelles (taux d’IP)
• Reconnaissance de la qualité de travailleur handicapé (RQTH)
• Situation de grossesse (si pertinent pour le suivi)
• Risques psychosociaux
• Propositions d’aménagement de poste, de temps de travail
• Avis d’aptitude/inaptitude
• Correspondances entre professionnels de santé

B. Dans le cadre du Passeport de prévention
Dans le cadre des formations obligatoires en prévention des risques professionnels, l’APST-BTP-RP collecte le nom de naissance, la date de naissance et le NIR des participants afin d’alimenter le Passeport de prévention, sur le fondement de l’article L4141-5 du Code du travail et des textes en vigueur.
Ce traitement repose sur une obligation légale. Les données sont utilisées exclusivement à cette fin, accessibles aux seules personnes habilitées et conservées selon les durées réglementaires.
L’information des salariés est assurée via le formulaire d’inscription et la politique de confidentialité.

• Situation familiale et personnelle
• Difficultés économiques
• Problèmes de logement
• Situation de handicap
• Autres données sociales selon la nature de votre demande

D. Données que nous ne collectons jamais
Conformément à la loi, nous ne collectons AUCUNE donnée relative à :

• Vos origines raciales ou ethniques
• Vos opinions politiques
• Votre religion ou vos convictions philosophiques
• Votre appartenance syndicale
• Vos données génétiques (hors cadre légal spécifique)
• Votre vie ou orientation sexuelle

3.4 Sources de collecte des données
Les données que nous utilisons sont en principe recueillies directement auprès de vous lors des visites médicales et de vos échanges avec nos professionnels.
Cependant, certaines données sont obtenues indirectement :

• Auprès de votre employeur :
  • Informations administratives et d’identification dont notre service de santé au travail doit assurer la prise en charge
  • Données relatives à votre situation professionnelle
  • Signalements des visites de reprise obligatoires
• Auprès de l’URSSAF :
  • Données relatives à votre embauche, transmises automatiquement par l’URSSAF en application de la réglementation en vigueur en matière de déclaration préalable à l’embauche
• Auprès d’autres professionnels de santé (avec votre accord) :
  • Médecin traitant
  • Médecin conseil de l’Assurance Maladie

4.1 Pour quelles raisons utilisons nous vos données ?
Nous collectons vos données personnelles et médicales afin de répondre à nos obligations légales et réglementaires.
C’est pourquoi nous allons utiliser les données personnelles recueillies afin de répondre aux exigences légales qui s’imposent à nous, et notamment dans :

A. L’organisation du suivi en santé au travail

• Constitution, alimentation et mise à jour du Dossier Médical en Santé au Travail (DMST)
• Suivi individuel de l’état de santé des travailleurs (VIP, SIR, visites de reprise, pré-reprise, etc.)
• Traçabilité des expositions professionnelles
• Coordination des soins et continuité du suivi médical

B. La prévention des risques professionnels

• Établissement et mise à jour de la fiche d’entreprise recensant les risques professionnels et les effectifs des salariés exposés
• Évaluation des risques professionnels
• Accompagnement dans l’élaboration du Document Unique d’Évaluation des Risques Professionnels (DUERP)
• Actions de prévention primaire et conseils en aménagement des postes de travail
• Participation aux instances représentatives du personnel (CSE, CSSCT)

C. La prise en charge sociale des salariés de nos adhérents

• Accompagnement des salariés en difficulté
• Prévention de la désinsertion professionnelle et maintien dans l’emploi

D. Les réponses aux demandes officielles
Réponses aux demandes d’autorités publiques ou judiciaires dûment autorisées

E. Le suivi en santé au travail et nos actions de prévention

• Recherches, études et enquêtes, notamment épidémiologiques
• Veille sanitaire
• Actions de prévention collective

F. La sécurité des personnes

G. La cadre de statistiques anonymisées

• Les données traitées peuvent être agrégées en statistiques anonymisées à des fins d’enquêtes et d’études
• Les résultats de ces enquêtes anonymes peuvent être transmis à notre autorité de tutelle

4.2 Quelle est la base légale de nos traitements ?
Le traitement de vos données personnelles est fondé sur :
Obligation légale (article 6.1.c du RGPD) :

• Articles L.4622-2, L.4624-1, L.4624-8 et R.4624-45-3 et suivants du Code du travail
• Obligation de constituer et tenir un DMST
• Obligation d’établir une fiche d’entreprise
• Obligations en matière de suivi de l’état de santé des travailleurs

Intérêt légitime (article 6.1.f du RGPD) :

• Gestion administrative du service
• Amélioration continue de nos prestations
• Prévention collective des risques professionnels au-delà des obligations légales strictes

Consentement (article 6.1.a du RGPD) :

• Télésanté au travail
• Alimentation du volet santé au travail du Dossier Médical Partagé (DMP)
• Accompagnement social lié aux situations personnelles
• Traitements complémentaires non obligatoires

Traitement nécessaire aux fins de la médecine préventive et de la médecine du travail (article 9.2.h du RGPD) :
Collecte et traitement des données de santé dans le DMST

5.1 Principe de confidentialité stricte
Nous apportons la plus grande énergie afin de garantir la confidentialité de vos données. Seul le personnel habilité, déjà soumis au secret professionnel, collecte vos données de santé. Seul le personnel médical aura accès à vos données de santé.

5.2 Accès au Dossier Médical en Santé au Travail (DMST)
INFORMATION ESSENTIELLE : Votre employeur n’a JAMAIS accès à votre DMST.
Peuvent accéder à l’ensemble du DMST :

• Les médecins du travail
• Les collaborateurs médecins
• Les internes en médecine du travail
• Les infirmiers en santé au travail
• Les médecins praticiens correspondants (MPC) avec votre accord

Peuvent accéder à certaines parties du DMST (sous supervision du médecin du travail) :

• Les autres membres de l’équipe pluridisciplinaire (ergonomes, toxicologues, psychologues du travail, assistants de service de santé au travail)
• Accès limité aux données d’identité, médico-administratives et informations sur les risques professionnels

N’ont AUCUN accès au DMST :

• Le personnel de direction du SPST
• Le personnel administratif
• Votre employeur
• Les représentants du personnel

5.3 Communication d’informations issues du DMST
Afin d’accomplir notre mission telle que définie par la loi, nous transmettons les données personnelles recueillies uniquement :

À nos professionnels :
Pour les données qui les concernent, au vu de la finalité poursuivie

À votre employeur (dans le respect strict du secret médical) :

• Les avis d’aptitude ou d’inaptitude
• Les propositions d’aménagement de poste ou de temps de travail
• Les propositions de mesures individuelles d’aménagement des conditions de travail
• Les propositions de mesures de reclassement
• La fiche d’entreprise (données anonymisées ou pseudonymisées)

Les informations médicales justifiant ces avis ne sont JAMAIS communiquées à l’employeur.
À nos partenaires et sous-traitants :

• Réalisant des prestations avec l’accord exprès du salarié pris en charge
• Hébergeur de données de santé certifié HDS : Microsoft Azure : hébergeur de données de santé – HDS
• PADOA – 33, Avenue de Wagram, 75017 Paris – Padoa est certifié HDS (y compris ISO 27001) ce qui lui permet de réaliser les actions d’infogérance sur les serveurs des hébergeurs.

À certaines professions réglementées :
Avocats ou notaires, à la demande du salarié ou de ses ayants droit

Aux autorités compétentes :
Autorités financières, judiciaires ou administrations et organismes publics sur demande et dans la limite de ce qui est permis par la loi

À vous-même et vos proches :

• Transmission directe du dossier médical au salarié concerné ou au médecin de son choix
• Transmission à vos ayants droit dans les cas légalement prévus (à votre demande)

Aux autorités de santé :

• Médecin inspecteur du travail (s’il en fait la demande)
• Groupe d’Alerte en Santé Travail (GAST) en cas d’événement sanitaire inhabituel

5.4 Absence de transmission des données sensibles
Il est à noter que nous n’effectuons aucune transmission des données sensibles (médicales ou sociales) recueillies par les professionnels habilités, sauf exception légale ou réglementaire expressément prévue ci-dessus.

Nous ne transférons aucune donnée personnelle en dehors de l’Union européenne, sauf exceptions prévues par la loi.

Nous stockons vos données de façon à garantir leur sauvegarde, leur sécurité et leur pérennité sur des serveurs localisés en France.

En cas d’évolution nécessitant un tel transfert, vous en seriez informé préalablement et les garanties appropriées prévues par le RGPD seraient mises en place (clauses contractuelles types, décision d’adéquation de la Commission européenne, etc.).

Bien avant la mise en place de la nouvelle réglementation RGPD, nous apportions un soin particulier à ce que soit garantie l’intégrité de vos données. C’est pourquoi nous ne conservons vos données que dans le cadre strict de la loi. Toutes les données superflues sont effacées selon nos obligations légales.

Nous conservons les données personnelles recueillies pour la durée nécessaire à l’accomplissement de nos obligations légales et réglementaires ou pour une autre durée définie en considération de la poursuite de nos intérêts légitimes, de l’exécution de nos engagements, du suivi et de la traçabilité de nos actions de prévention, du suivi de l’exécution du contrat d’adhésion, de nos contraintes opérationnelles et des réponses aux demandes des autorités judiciaires.

7.1 Dossier Médical en Santé au Travail (DMST)
Durée générale : 40 ans à compter de la dernière visite ou examen médical, dans la limite de 10 ans après votre décès (art. R.4624-45-9 du Code du travail).

Durées spécifiques pour les travailleurs exposés à des risques particuliers :

7.2 Autres traitements

• Fiche d’entreprise : durée de l’adhésion + délais légaux
• Actions de prévention : selon obligations légales de traçabilité
• Recherches, études et enquêtes : jusqu’à 2 ans après publication ou rapport final, puis archivage sécurisé 20 ans maximum
• Données administratives : selon obligations comptables et légales
• Données de gestion RH (salariés du SPST) : conformément au Code du travail

7.3 Destruction des données
À l’issue des durées de conservation, vos données sont détruites de manière sécurisée ou anonymisées de façon irréversible.

Notre service de santé au travail utilise des procédures internes strictes pour la gestion des risques et principalement pour l’organisation de la sécurité des données. Toutes nos procédures sont documentées et adaptées pour chacun de nos traitements de données personnelles et/ou médicales, elles sont auditées et validées par un Délégué à la Protection des données indépendant.

8.1 Mesures de sécurité mises en œuvre
Nous avons mis en place des mesures afin de garantir la confidentialité et l’intégrité de vos données personnelles :

Protection des infrastructures :

• Hébergement des données de santé chez un hébergeur certifié HDS : Microsoft Azure : hébergeur de données de santé
• Stockage des données sur des serveurs 100% français respectant les sécurités techniques maximales
• Chiffrement des données sensibles
• Utilisation de protocoles sécurisés (HTTPS/TLS)
• Pare-feu et systèmes de détection d’intrusion
• Antivirus et anti-malwares régulièrement mis à jour
• Sauvegardes régulières et sécurisées
• Plan de continuité d’activité

Protection des accès :

• Authentification forte des utilisateurs
• Politique de gestion des mots de passe conforme aux directives de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)
• Gestion rigoureuse des habilitations et des accès
• Le médecin du travail est administrateur et gère les habilitations au DMST
• Traçabilité et journalisation des accès au DMST
• Déconnexion automatique en cas d’inactivité

Protection physique :

• Les accès physiques des locaux sont sécurisés et contrôlés périodiquement
• Contrôles de conformité des installations électriques et de lutte contre l’incendie

Mesures organisationnelles :

• Respect du principe de Privacy by Design : chaque projet implique une étude de conformité au RGPD
• Procédures de gestion des incidents et violations de données
• Chaque membre connaît la marche à suivre pour éviter et limiter les conséquences préjudiciables
• Formation régulière du personnel à la protection des données
• Sensibilisation au secret professionnel et médical
• Contrats de sous-traitance conformes à l’article 28 du RGPD

Conformité aux référentiels :

• Référentiel de certification AFNOR SPEC 2217 des SPSTI
• Référentiels d’interopérabilité et de sécurité de l’Agence du Numérique en Santé
• Référentiel Identifiant National de Santé (INS)
• Messagerie sécurisée de santé (MSS)

8.2 Notification des violations de données
En cas de violation de données susceptible d’engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais (72 heures maximum après en avoir pris connaissance), conformément aux articles 33 et 34 du RGPD.

En application de la réglementation en vigueur, le RGPD vous donne les droits suivants :

9.1 Droit d’information et d’accès
Vous avez le droit d’obtenir :

• La confirmation que des données vous concernant sont traitées
• Des informations concernant les traitements des données personnelles vous concernant
• Une copie de ces données personnelles

9.2 Droit de vérification et de rectification
Vous pouvez demander la modification de vos données personnelles lorsqu’elles sont inexactes ou incomplètes.

9.3 Droit à l’effacement
À l’exception de certaines données concernant la traçabilité du suivi et des actions en santé au travail, il est possible de nous demander l’effacement des données personnelles dans les limites et conditions réglementaires en vigueur.

LIMITATION IMPORTANTE pour le DMST :
Le droit à l’effacement est limité concernant le DMST car sa conservation répond à une obligation légale (Code du travail) et à un motif d’intérêt public dans le domaine de la santé publique (articles 17.3.b et c du RGPD).

9.4 Droit à la limitation du traitement
Vous pouvez demander que le traitement de vos données personnelles soit limité uniquement à ce qui est strictement nécessaire. À noter que nous ne traitons déjà pas de données superflues.

9.5 Droit d’opposition
À l’exception des données concernant la traçabilité du suivi et des actions en santé au travail, et sauf autre exception réglementaire, vous pouvez vous opposer au traitement de vos données personnelles pour des motifs liés à une situation particulière.

9.6 Droit de retirer un consentement
En cas de mise en œuvre d’un traitement de données personnelles nécessitant un consentement (télésanté, volet DMP, accompagnement social), vous avez le droit de retirer ce consentement à tout moment, sous réserve de la réglementation en vigueur.

Le retrait de votre consentement ne constitue pas une faute et n’est pas communiqué à votre employeur.

9.7 Droit de définir des directives post-mortem
Vous avez le droit de définir des directives relatives à la conservation, l’effacement ou la communication des données personnelles, applicables après le décès, dans la limite de ce qui est permis par la législation en vigueur.

9.8 Droit à la portabilité des données
Lorsqu’il est applicable, il s’agit du droit, pour les personnes concernées, de demander que les données personnelles fournies leur soient rendues ou, lorsque cela est possible techniquement, de les transférer directement à un tiers.

9.9 Comment exercer vos droits ?
A. Pour les demandes concernant votre dossier médical en santé au travail

À NOTER : En matière de demande d’accès au dossier médical santé au travail, pour l’exercice des droits prévus par le RGPD et la loi Informatique et Libertés, les dispositions prévues par le cadre législatif imposent que vos demandes soient adressées au médecin du travail en charge de votre suivi en santé au travail.

Les demandes d’exercice des droits en matière de DMST peuvent être formulées :

• Par mail : en écrivant directement à votre médecin du travail
• Par courrier postal : en écrivant au centre médical

B. Pour les autres demandes

Par courrier postal :
APST-BTP-RP
À l’attention du Délégué à la Protection des Données
110 avenue du Général Leclerc BP 1
92340 Bourg-la-Reine

Par email : dpo@apst.fr

Pièces à fournir :
Veuillez joindre à chacune de vos demandes la copie de votre pièce d’identité. Cette démarche, fondamentale dans le cadre de l’exercice de vos droits, permet de procéder à la vérification de votre identité. À noter que le document sera supprimé dès lors que votre identité sera confirmée.

Délai de réponse :
Nous nous engageons à vous répondre dans un délai maximum d’un mois à compter de la réception de votre demande.

9.10 Précisions sur l’exercice de certains droits
Pour une demande de droit d’accès :

• Veuillez préciser sur quelles données ou quelles opérations de traitement porte votre demande
• Vos données vous seront transmises par voie électronique ou par courrier postal, en recommandé avec accusé de réception
• Nous pouvons exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée (article 15.3 du RGPD)
• En cas de demandes manifestement infondées ou excessives, nous pouvons exiger le paiement de frais raisonnables ou refuser de donner suite (article 12.5 du RGPD)

Pour une demande de droit de rectification :

• Indiquez précisément les données inexactes ou incomplètes vous concernant
• Fournissez toutes informations permettant de les corriger ou de les compléter (article 16 du RGPD)

Pour une demande de droit d’effacement :

• Indiquez précisément les données dont vous demandez l’effacement
• Précisez les raisons de votre demande (article 17 du RGPD)
• À noter : ce droit n’est pas absolu, nous pouvons être dans l’obligation de conserver des informations vous concernant, notamment dans le cadre de la gestion du DMST, de la relation avec les adhérents et dans le cadre de la fourniture de preuve relative à l’exercice de vos droits

Pour une demande de limitation du traitement :

• Indiquez précisément les données dont vous demandez la limitation
• Précisez les raisons de votre demande
• À noter : ce droit n’est pas absolu, nous pouvons décider de poursuivre le traitement (article 18.3 du RGPD)
• La limitation peut se traduire par la suspension de certains services

Pour une demande de droit d’opposition :

• Indiquez précisément le traitement auquel vous souhaitez vous opposer
• Précisez les raisons de votre demande liées à votre situation particulière (article 21 du RGPD)
• À noter : ce droit n’est pas absolu

Pour une demande de droit à la portabilité :
Vous pouvez récupérer les données personnelles que nous avons collectées sur vous dans le cadre des traitements fondés sur le consentement ou sur la base d’un contrat

Lorsqu’une visite à distance par vidéotransmission est envisagée, les règles suivantes s’appliquent :

10.1 Conditions de mise en œuvre

• La télésanté peut être proposée par le professionnel de santé ou demandée par vous
• Le professionnel de santé apprécie la pertinence de la réalisation à distance
• Si un examen physique est nécessaire, une consultation en présentiel sera programmée

10.2 Votre consentement

• Votre consentement préalable est systématiquement recueilli pour chaque acte de télésanté
• Ce consentement est consigné dans votre DMST
• Vous pouvez refuser sans que cela constitue une faute
• Votre refus n’est pas communiqué à votre employeur

10.3 Garanties

• Les échanges se déroulent dans des conditions garantissant la confidentialité
• Les outils respectent les référentiels de sécurité de l’Agence du Numérique en Santé
• Les données sont traitées conformément au RGPD

Depuis le 1er janvier 2024, votre Dossier Médical Partagé peut comporter un volet « santé au travail ».

11.1 Principe
Ce volet permet de partager certaines informations entre le médecin du travail et votre médecin traitant pour améliorer la coordination des soins et la prévention.

11.2 Votre consentement obligatoire
L’alimentation et l’accès au volet santé au travail nécessitent votre consentement exprès :

• Consentement à la création du volet
• Consentement à l’accès du médecin du travail à votre DMP
• Consentement à l’accès de vos professionnels de santé au volet santé au travail

11.3 Vos droits

• Vous pouvez vous opposer à tout moment
• Vous pouvez restreindre l’accès à certaines informations
• Votre refus ne constitue pas une faute et n’est pas communiqué à votre employeur
• Vous pouvez demander la suppression du volet

Le médecin du travail participe, notamment en liaison avec le médecin inspecteur du travail, à toutes recherches, études et enquêtes, en particulier à caractère épidémiologique, entrant dans le cadre de ses missions.

12.1 Études internes
Lorsque les études sont réalisées au sein du service, à partir de votre DMST, par les professionnels qui assurent votre suivi et pour leur usage exclusif :

• Vous êtes informé de la réutilisation de vos données
• Vous pouvez vous opposer
• Vos données sont pseudonymisées

12.2 Études multicentriques ou externes
Lorsque les études impliquent plusieurs centres ou organismes externes :

• Vous êtes informé individuellement
• Des formalités auprès de la CNIL sont effectuées
• Vos données sont pseudonymisées ou codées
• Vous disposez d’un droit d’opposition
• Les résultats sont toujours anonymisés

12.3 Statistiques anonymisées
En effet, les données traitées peuvent être agrégées en statistiques anonymisées à des fins d’enquêtes et d’études. Les résultats de ces enquêtes anonymes peuvent être transmis à notre autorité de tutelle.

Notre site respecte votre choix.
Pour plus d’informations, consultez notre politique d’utilisation des cookies

Lorsqu’un consentement est nécessaire pour la mise en œuvre d’un traitement des données personnelles, nous procédons à votre information et demandons votre consentement de manière :

• Claire et compréhensible
• Spécifique pour chaque finalité
• Libre (vous pouvez refuser sans conséquence négative)
• Documentée et traçable

Vous pouvez retirer votre consentement à tout moment.

15.1 Conformité au RGPD
Nous sommes engagés dans le respect du Règlement Général sur la Protection des Données (RGPD) entré en vigueur le 25 mai 2018, de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles (LIL3) et de l’ordonnance n° 2018-1125 du 12 décembre 2018.

15.2 Documentation de la conformité
Nous tenons à jour :

• Un registre des activités de traitement
• Des analyses d’impact pour les traitements à risque élevé
• Des procédures de gestion des violations de données
• Des contrats de sous-traitance conformes au RGPD

15.3 Certification des SPSTI
Notre service fait l’objet d’une procédure de certification conformément à l’article L. 4622-9-3 du Code du travail et au référentiel AFNOR SPEC 2217, portant notamment sur :

• La qualité et l’effectivité des services rendus
• L’organisation et la continuité du service
• La gestion financière et la tarification
• La conformité du traitement des données personnelles au RGPD
• La conformité des systèmes d’information aux référentiels d’interopérabilité et de sécurité

15.4 Audits et contrôles
Toutes nos procédures sont documentées et adaptées pour chacun de nos traitements de données personnelles et/ou médicales. Elles sont auditées et validées par un Délégué à la Protection des Données indépendant.

Conformément à la réglementation applicable, vous êtes également en droit d’introduire une réclamation auprès de la CNIL, autorité de contrôle compétente en France.

16.1 Les voies de recours
En cas de difficulté en lien avec la gestion de vos données personnelles, vous pouvez adresser une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :

En ligne : https://www.cnil.fr/plaintes

Par courrier postal :
Commission Nationale de l’Informatique et des Libertés (CNIL)
3 Place de Fontenoy – TSA 80715
75334 Paris Cedex 07

Téléphone : 01 53 73 22 22

Site internet : www.cnil.fr

Pour toute question concernant les données personnelles et/ou médicales que nous traitons, vous pouvez contacter notre Délégué à la Protection des Données (DPO) :

Par courrier postal :
APST-BTP-RP
À l’attention du Délégué à la Protection des Données (DPO)
110 avenue du Général Leclerc BP 1 92340 Bourg-la-Reine

Par email : dpo@apst.fr

Le DPO est votre interlocuteur privilégié pour :

• Toute question sur le traitement de vos données
• L’exercice de vos droits
• Toute préoccupation concernant la protection de vos données

ATTENTION : Pour toute demande concernant votre dossier médical en santé au travail, contactez directement le médecin du travail en charge de votre suivi en santé au travail.

Nous actualiserons régulièrement le présent document afin d’être en conformité en matière de protection des données personnelles et de nous adapter aux évolutions techniques, juridiques et organisationnelles.

En cas de modification substantielle, vous en serez informé par les moyens appropriés (information sur notre site internet, information lors d’une visite médicale, email, etc.).

Nous vous invitons à consulter régulièrement cette page pour prendre connaissance des éventuelles modifications.

19.1 Pour les entreprises adhérentes
Des politiques de confidentialité spécifiques peuvent être consultées :

• Politique de confidentialité à destination des adhérents : Règlement Intérieur Du Service Mis à Jour Et Modifié Conformément à La Délibération Du CA Du 25 04 2024
• Informations sur la gestion des données dans le cadre de l’adhésion et de la relation contractuelle

19.2 Documentation disponible
Pour plus d’informations sur notre organisation et nos engagements :

• Mentions légales
• Politique des cookies
• Règlement intérieur
• Projet de service

Annexe 1 : Glossaire des termes techniques

AIPD : Analyse d’Impact relative à la Protection des Données
ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information
CSE : Comité Social et Économique
CSSCT : Commission Santé, Sécurité et Conditions de Travail
DMST : Dossier Médical en Santé au Travail
DMP : Dossier Médical Partagé
DPO : Délégué à la Protection des Données (Data Protection Officer)
DRIEETS : Direction Régionale et Interdépartementale de l’Économie, de l’Emploi, du Travail et des Solidarités
DUERP : Document Unique d’Évaluation des Risques Professionnels
GAST : Groupe d’Alerte en Santé Travail
HDS : Hébergement de Données de Santé
INS : Identifiant National de Santé
MPC : Médecin Praticien Correspondant
NIR : Numéro d’Inscription au Répertoire (numéro de sécurité sociale)
RGPD : Règlement Général sur la Protection des Données
SIR : Suivi Individuel Renforcé
SPST : Service de Prévention et de Santé au Travail
VIP : Visite d’Information et de Prévention

Annexe 2 : Textes de référence

Textes européens :
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD)

Textes nationaux :

• Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée)
• Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
• Loi n° 2021-1018 du 2 août 2021 pour renforcer la prévention en santé au travail

Code du travail :

• Articles L.4622-1 et suivants (missions des SPST)
• Articles L.4624-1 et suivants (suivi de l’état de santé)
• Articles R.4624-45-3 et suivants (DMST)
• Articles R.4412-55, R.4426-9, R.4451-83 (durées de conservation spécifiques)

Code de la santé publique :

• Articles L.1111-8 et suivants (hébergement de données de santé)
• Articles R.4127-4 et suivants (déontologie médicale)

Décrets :

• Décret n° 2022-653 du 25 avril 2022 (ensemble socle de services)
• Décret n° 2022-1031 du 20 juillet 2022 (certification des SPSTI)
• Décret n° 2022-1434 du 15 novembre 2022 (DMST)
• Décret n° 2022-679 du 26 avril 2022 (télésanté au travail)

Référentiels :

• AFNOR SPEC 2217 (certification des SPSTI)
• Référentiels de l’Agence du Numérique en Santé

Annexe 3 : Contacts utiles

Notre service :

• Accueil téléphonique : 01 46 83 50 00

Notre DPO :

• Email : dpo@apst.fr
• Courrier : APST-BTP-RP – 110 avenue du Général Leclerc BP 1 92340 Bourg-la-Reine

Autorité de contrôle :

• CNIL : www.cnil.fr
• Téléphone : 01 53 73 22 22
• Réclamations : www.cnil.fr/plaintes

Informations sur vos droits :

• Guide CNIL pour les SPST : www.cnil.fr
• Fiches pratiques RGPD : www.cnil.fr

MENTIONS FINALES

Document établi conformément au RGPD et à la loi Informatique et Libertés
Version : 2
Date de mise à jour : 12/01/2026
Date d’entrée en vigueur : 12/01/2026
Prochaine révision prévue : 12/01/2027

Validé par :

• Le Directeur général : M. Christian Perrin
• Le Délégué à la Protection des Données : M. Laurent De Cavel

Pour toute question concernant cette politique de confidentialité, n’hésitez pas à nous contacter.