Confidentialité

Qui est SANO?
Dans ce cadre SANO sera amené à collecter et traiter des données à caractère personnel qui sont nécessaires à l’accomplissement de ses missions prévues à l’article L.4622-2 du Code du travail : « Les services de santé au travail ont pour mission exclusive d’éviter toute altération de la santé des travailleurs du fait de leur travail. »

‍
SANO responsable des traitements de vos données personnelles?
Pour l’ensemble de ces traitements, SANO agit comme responsable de traitement au sens du Règlement Général sur la Protection des Données (RGPD), c’est à dire que SANO détermine les moyens et les finalités des traitements de données.

‍
Principes généraux du RGPD: quelles sont les obligations du responsable des traitements?
Selon le RGPD, le traitement des données personnelles de santé est autorisé et ce, sans consentement préalable de l’utilisateur s’il poursuit notamment une finalité d’appréciation médicale : soins, diagnostics et médecine préventive. C’est le cas de la médecine du travail.
Conformément aux dispositions du RGPD, la collecte et le traitement de vos données personnelles respectent les principes suivants :
- Licéité, loyauté et transparence : la collecte et le traitement des données personnelles ne peuvent reposer que sur une base légale définie au préalable (exécution d’un contrat, obligation légale, consentement, intérêt légitime, préservation des intérêts vitaux)
- Finalités limitées : la collecte et le traitement des données personnelles sont réalisés pour répondre à un ou plusieurs objectifs définis
- Minimisation de la collecte et du traitement de données : seules les données strictement nécessaires à la bonne exécution des objectifs poursuivis sont collectées
- Conservation des données limitée dans le temps : le responsable de traitement est dans l’obligation de définir des durées de conservation concernant les données personnelles traitées
Intégrité et confidentialité des données collectées et traitées : le responsable de traitement s’engage à garantir l’intégrité et la confidentialité des données collectées.

Ce document “Politique de confidentialité” a pour objectif de vous fournir une information, la plus simple et claire possible sur les traitements de données à caractère personnel (vos données)  réalisés par SANO dans le cadre de son activité de SPSTI.

‍
Quels traitements de données personnelles sont mis en oeuvre par SANO?
SANO collecte vos données personnelles pour des finalités déterminées et sur différents fondements juridiques :
- Gestion du suivi santé-travail des collaborateurs dans le cadre de la gestion de la relation associative entre l’entreprise adhérente au SPSTI (en général l’employeur) et SANO;
- Gestion du site internet dans l’intérêt légitime de SANO ;
- Gestion de votre Espace adhérent dans le cadre de la gestion de la relation associative entre l’employeur et SANO ;
- Gestion de vos demandes de droits et d’information selon les obligations légales qui s’imposent à SANO.
‍

Chaque collaborateur est amené à bénéficier d’un suivi individuel de son état de santé par un professionnel de santé. En fonction des risques professionnels particuliers auxquels le travailleur est exposé, le suivi sera renforcé, adapté ou simple.

‍
Le dossier médical de santé au travail (DMST) retrace, dans le strict respect du secret professionnel, les informations relatives à vos rendez-vous santé-travail, à votre état de santé, aux postes occupés, aux expositions auxquelles vous êtes ou avez été soumis ainsi que les éventuels avis et propositions du Médecin du Service de santé au travail en matière d’aménagement du poste de travail, etc.

‍
Pour chaque entreprise adhérente, une étude des conditions de travail pour un poste peut être effectuée. En cas d’identification indirecte du collaborateur ou par illustration, le consentement du collaborateur lui est spécifiquement demandé. Dans la mesure du possible, tout élément permettant l’identification du collaborateur suivi sera dissimulé.

‍
Traitements de données ayant pour finalité la “Gestion du suivi des collaborateurs”
Finalités
Données collectées
Base légale
Durée de conservation
Gestion des collaborateurs, Gestion du dossier médical de santé au travail (DMST)

Etudes épidémiologiques
Données d’identification nécessaires à l’enregistrement administratif : nom, prénom, date et lieu de naissance, adresse mail, numéro de téléphone, adresse postale, dossier médical, expositions, poste occupé, antécédents professionnels ;
Données professionnelles nécessaires à l’optimisation des conditions de travail : poste de travail occupé, secteur professionnel, conditions de travail, type de contrat, horaires de travail, date de début de contrat ;
Données de santé pour un suivi adapté : nom du médecin traitant, taille, poids, expositions, résultats des examens complémentaires, comptes-rendus de consultations et d’hospitalisations, ordonnances, recommandations d’aménagements professionnels, certificats médicaux, antécédents médicaux, allergies, etc. ;
Données familiales à des fins de prévention : situation maritale, nombre d’enfants, date de naissance des enfants, état de santé des enfants, antécédents médicaux familiaux ;
Données de gestion : date et heure des convocations, lieu du rendez-vous santé-travail, mode de rendez-vous (sur place ou téléconsultation).
Obligation légale
40 ans, ou 10 ans après le décès de la personne concernée. 50 ans dans des situations particulières.

Focus : Comment SANO collecte ces données à caractère personnel  ?
Indirectement via les entreprises adhérentes: L’employeur adhérent communique uniquement les données nécessaires à la mise en place des convocations aux rendez-vous santé-travail et à l’établissement des factures.
Il s’agit des données suivantes: civilité, nom, prénom, date et lieu de naissance, adresse postale, adresse mail personnelle et professionnelle,  numéro de téléphone personnel et professionnel, poste occupé, date d’embauche, expositions déclarées, type de contrat de travail, nombre d’heures de travail.
Directement par le collaborateur dans le cadre de son suivi santé-travail: Le collaborateur suivi fournit les données personnelles le concernant nécessaires au suivi santé-travail, dont des données de santé.

Traitements de données pour la gestion du site internet et de vos comptes adhérents
Finalité
Données collectées
Base légale
Durée de conservation
Gestion du site internet et formulaires de contact,
Mise à disposition  des comptes adhérents,

Données d’identification : identifiant de connexion, noms et prénoms des collaborateurs suivis ;
Données professionnelles : poste occupé, date d’entrée dans l’entreprise, expositions ;
Données relatives à la personne morale représentée : activité, adresse du Siège social, numéro SIRET ;
Données liées aux rendez-vous santé-travail des collaborateurs suivis : dates des anciens rendez-vous, nature des rendez-vous, notion d’absence;
Données de gestion : pour certaines opérations (exemples : déclaration annuelle d’effectif, ajout ou modification d’un collaborateur, etc.), date et heure de connexion, modifications apportées sur le compte;
Données de connexion

Consentement

ou exécution du contrat d’adhésion
3 ans pour les données issues des formulaires remplis en ligne,
5 ans après la fin de la relation contractuelle (données adhérents),
6 mois données de navigation

Amélioration des services,
Contrôle de l'utilisation du site internet, sécurisation et lutte contre la fraude
Intéret légitime

Focus enquêtes statistiques : SANO réalise également des enquêtes statistiques sur la fréquentation de son site. Ces statistiques anonymes permettent à SANO de contrôler l’affluence et la popularité de ses publications, sans possibilité de vous identifier.
Traitement de données en lien avec vos demandes d’informations
Finalité
Données collectées
Base légale
Durée de conservation
Suivi des demandes d'informations, gestion de la satisfaction, exercice de vos droits
Identité
coordonnées de contact professionnel (cf. minimisation des données)
date de la demande
contenu du message
toute information communiquée ultérieurement lors de nos échanges (peut être des informations de santé, données sensibles)

Exécution du contrat
5 ans après la fin de la relation contractuelle

Qui a accès à vos données?
4.1. Les données du dossier médical en santé au travail (DMST)
Le DMST est constitué dès le premier rendez-vous santé-travail par le Médecin du Service de santé au travail ou par un autre professionnel de santé sous l’autorité de celui-ci dans le cadre des recommandations de bonnes pratiques définies par la Haute Autorité de Santé (HAS).
Il est alimenté et consulté par les collaborateurs du Médecin sous la responsabilité et avec l’accord de celui-ci, dans le respect du secret professionnel et dans la limite de ce qui est strictement nécessaire à l’exercice de leur mission.
Les autorisations et niveaux d’accès au DMST des collaborateurs du Médecin sont établis par ce dernier, sauf avis contraire expressément formulé par le collaborateur dûment informé.
Les accès aux postes de travail et aux outils de gestion du DMST sont sécurisés : ils ne sont autorisés qu’après identification avec mot de passe fort avec définition des profils utilisateurs.
Le dossier médical en santé au travail peut également être consulté par :
Le collaborateur ou, en cas de décès du collaborateur, par toute personne autorisée par la réglementation en vigueur et sur demande d’exercice du droit d’accès (selon les procédures en place) ;
Le médecin inspecteur régional du travail ;
Un autre médecin du service de santé au travail dans la continuité de la prise en charge, sauf refus du collaborateur dûment informé au préalable ;
D’autres médecins désignés par le collaborateur.
4.2. Les données de l’entreprise adhérente
Les données nominatives qui figurent dans les dossiers entreprises (notamment les contacts transmis dans le cadre des déclarations annuelles des effectifs) sont utilisées exclusivement par les personnels SANO dont la fonction le nécessite. Les accès sont sécurisés : ils ne sont autorisés qu’après identification. Les périmètres accessibles sont déterminés par des profils utilisateurs.
4.3. Les tiers
SANO peut être amené, pour certaines finalités de traitement, à partager les données à caractère personnel à ses prestataires et/ou partenaires pour réaliser un ensemble de missions en son nom. Il s’agit notamment des prestataires qui fournissent les outils technologiques nécessaires à la gestion du DMST, ou les prestataires de services d’hébergement des données.
Le partage de données n’est réalisé que lorsque cela est nécessaire à l’exécution de notre mission avec votre employeur et dans le cadre de nos obligations légales. En outre, ne sont communiquées à nos prestataires que les informations dont ils ont besoin pour la réalisation du service. Il leur est également demandé de ne pas consulter, ni utiliser les données pour des finalités autres que celles initialement prévues. Nous mettons tout en œuvre pour nous assurer que ces tiers préservent la confidentialité et la sécurité de vos données.
Vos données peuvent aussi être transmises aux autorités légales ou réglementaires, afin de respecter nos obligations légales.
Dans le cadre d’une transmission aux autorités légales et réglementaires également, seules les données nécessaires sont fournies. Nous mettons tout en œuvre pour conserver leur confidentialité et leur sécurité.
SANO ne procède et ne procèdera à aucune vente, aucune cession, aucune communication de vos données personnelles à des tiers non autorisés.
SANO n’a recours à aucune décision automatisée sur la base de vos données personnelles. Aucun profilage n’est mis en œuvre lors du traitement, et les données que nous collectons ne seront jamais utilisées sans intervention humaine.
Quels sont vos droits au titre du RGPD?
La liste exhaustive de vos droits au titre du RGPD est disponible sur le site de la CNIL. Vous trouverez ci dessous les principaux droits utiles à connaître.
5.1. Principaux droits

Droit à l’information (Art. 15 RGPD)  
Votre droit à l’information vous permet de savoir:  
Qui collecte et utilise vos données, à qui elles sont destinées et les coordonnées du responsable de traitement,
Quelles données sont collectées et pourquoi ,  
Combien de temps elles sont conservées,
Si des transferts en dehors de l’UE sont envisagés,
Quels sont vos droits en matière de protection des données et les coordonnées du Délégué à la Protection des Données (DPO).

Droit d’accès (Art. 15 RGPD et Article L1111-7 CSP)  
Vous avez le droit de savoir si nous utilisons vos données, lesquelles et d’en demander une copie. Nous vous fournirons ces informations après avoir vérifié votre identité.
Droit à la modification de vos informations (Art. 16 RGPD)
Vous avez le droit de modifier les informations inexactes ou d’apporter des précisions sur les informations vous concernant.
Droit à l’effacement (Art. 17 RGPD)
Vous avez le droit de demander à ce que les informations que nous détenons sur vous soient supprimées.  Nous les effacerons après avoir vérifié votre identité. Notez cependant que certaines informations nécessaires à l’exercice de notre mission de SPSTI ne peuvent pas être supprimées.  
Droit à la limitation (Art. 18 RGPD)
Vous avez le droit de demander à ce que le traitement et l’utilisation de vos données soient limités dans certains cas, par exemple si vos données ne sont plus à jour.
Droit d’opposition (Art. 21 RGPD)
Vous avez le droit de vous opposer à tout moment, en fonction de votre situation particulière, au traitement de vos données pour une finalité spécifique. Cependant, nous pourrons refuser d’appliquer ce droit dans certains situations, notamment si nous avons l'obligation de continuer à traiter vos données.  
5.2. Exercice de vos droits
Auprès de l’équipe juridique à l’adresse privacy@sano-sante.fr ou du DPO à l’adresse dpo@sano-sante.fr  
Auprès de la CNIL, autorité de contrôle en France, notamment si vous considérez que le traitement de vos données à caractère personnel vous concernant ne respecte pas les règles posées par le RGPD.

SANO tient un registre pour le suivi des demandes de droits.

Comment SANO assure la sécurité des données personnelles?
SANO s’engage à protéger les données personnelles contre toute perte, destruction, altération, accès ou divulgation non autorisée.
Pour cela, SANO met en œuvre des mesures techniques et organisationnelles appropriées, au regard de la nature des données personnelles et des risques que leur traitement comporte. SANO souhaite préserver la sécurité et la confidentialité de vos données personnelles, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Ces mesures incluent notamment des pratiques telles que la gestion de profils d’habilitation en raison des fonctions, des garanties contractuelles en cas de recours à un prestataire/partenaire, des études d’impact sur la vie privée, des examens réguliers de nos pratiques et politiques de respect de la vie privée et/ou des mesures de sécurité physiques et/ou logistiques.
Cette obligation de sécurité est une obligation de moyen c’est-à-dire que nous mettons tout en œuvre pour garantir la confidentialité et l’intégrité de vos données personnelles mais nous ne pouvons garantir que le risque ne se réalisera pas.
L’ensemble des personnes ayant accès à vos données personnelles :
a été sensibilisé aux bonnes pratiques en matière de protection des données,
n’accède aux données que lorsque cela est nécessaire pour leurs missions,
sont tenues par une obligation de confidentialité, et
s’exposent en cas de non-respect de cette disposition à des sanctions disciplinaires.
Y a t il des transferts de données vers des pays tiers hors Union européenne ?
SANO s’efforce de conserver les données personnelles en France, et a minima au sein de l’Espace Économique Européen (EEE).
En cas de transfert, nous garantissons que le transfert est :
Effectué vers un pays assurant un niveau de protection adéquat, c’est-à-dire un niveau de protection équivalent au RGPD ; ou
Encadré par des clauses contractuelles types ; ou
Encadré par des règles internes d’entreprise.
L’hébergement des données est réalisé sur des serveurs situés en France métropolitaine.
Les cookies :
SANO collecte également des données à caractère personnel résultant de votre navigation sur son site internet par le biais des cookies.
Les cookies sont de petits fichiers textes, qui ne peuvent pas cacher de virus ou être exécutés. Ils sont déposés sur votre ordinateur, votre tablette ou votre smartphone lors de sa consultation. Ils permettent d’enregistrer des informations relatives à votre navigation afin de permettre la fluidité de la navigation ainsi que certaines fonctionnalités.
SANO dépose des cookies techniques indispensables à la fourniture du service demandé, c’est-à-dire la navigation sur le site internet. Ils permettent de connaître certaines informations pour adapter votre dispositif (ordinateur, tablette, smartphone…) et faciliter la navigation sur celui-ci. Vous pouvez désactiver ces cookies par le biais de votre navigateur, cependant si vous les désactivez, il est possible que le site internet ne fonctionne plus correctement.
SANO dépose également des cookies provenant de services tiers. Pour le dépôt de ces cookies tiers, votre consentement est indispensable. A votre première connexion sur le site, un bandeau d’information vous indique leur présence. Vous pouvez gérer le dépôt des cookies en cliquant sur « Personnaliser ». Vous pouvez choisir de les accepter ou les refuser pour tout le site ou service par service. Si vous les refusez, ils ne se déposeront pas sur votre terminal.
Vos contacts :
Pour toutes demandes d’informations concernant vos données et la présente politique, vous pouvez contacter le DPO par email à l’adresse suivante : dpo@sano-sante.fr
Modifications et mises à jour
Cette politique sera mise à jour en fonction des évolutions de la réglementation et des pratiques internes. Il est recommandé de la consulter régulièrement afin de vous tenir informé des éventuelles modifications.

‍