RGPD : Le rôle clé du DPO dans les services de prévention et santé au travail

3 Apr, 2025
  1. Home
  2. /
  3. RGPD
  4. /
  5. RGPD : Le rôle clé du DPO dans les services de prévention et santé au travail

Julianna Révi, Déléguée à la protection des données chez AGS Records Management, nous explique son rôle et ses missions quotidiennes.

La mise en conformité des services de prévention et de santé au travail (SPST) impose la désignation d’un Délégué à la Protection des Données (DPO) auprès de la CNIL. Et pour cause : ces services traitent des données personnelles particulièrement sensibles qui nécessitent une vigilance accrue en matière de protection de ces dernières.

Le DPO joue un rôle essentiel, en assurant la conformité avec la réglementation sur la protection des données, notamment le RGPD. Julianna Révi, Déléguée à la protection des données chez AGS Records Management, apporte son expertise au quotidien auprès du deuxième plus important service de santé au travail de France et de plusieurs SPST dans les Pays de la Loire.

Cette expertise, valorisée à l’occasion d’évènements comme les journées nationales de santé au travail ou des salons comme Preventica, lui permet de conseiller les clients dans les moindres détails. Conformité réglementaire, sensibilisation et formation, évaluation des risques ou encore suivi des incidents font partie de son quotidien.

Grâce à son expérience, de plus en plus de services se rapprochent d’AGS Records Management pour ses prestations de mise en conformité au RGPD, entre autres. Sa connaissance des textes réglementaires, des procédures obligatoires et son expérience lui permettent d’accélérer les process de mise en conformité dans les SPST. 

« Ce qui est une problématique dans un service résonne bien souvent avec la difficulté d’un autre. Une bonne partie des préconisations sont duplicables d’un service à l’autre », assure Julianna Révi.

DPO externalisé: accompagnement et conseil pour la mise en conformité au RGPD.

Lorsqu’un service de santé au travail fait appel à AGS Records Management, la DPO débute toujours le projet par un audit, d’une durée moyenne de trois jours pour un service comptant un petit nombre de salariés et d’adhérents et jusqu’à cinq jours pour les plus grands services.

« J’interviens soit quand un service veut se mettre en conformité et se faire accompagner dans la certification, soit quand il y a un important changement organisationnel en interne, par exemple lors d’une fusion de deux services », assure Julianna Révi.

Durant cette période d’audit, la Déléguée analyse tout : si les portes des bureaux sont bien fermées à clé lors des pauses déjeuner, si les données médicales sont bien broyées et non juste jetées dans une corbeille ou encore si un document sensible traîne dans le scan. Elle interroge l’ensemble de l’équipe pluridisciplinaire du service ainsi que les responsables des différents départements tels que la comptabilité, la direction et l’informatique sur leurs processus. L’objectif est de vérifier que les procédures et pratiques respectent le RGPD, d’évaluer comment les données de santé et autres données sensibles sont collectées, stockées et traitées ou encore de vérifier si les mesures de sécurité sont adéquates pour protéger les données.

Après la phase d’audit, Julianna Révi édite un livrable (rapport d’audit) qui sert de plan d’action pour le service.

« J’indique dedans les non-conformités majeures qu’il est nécessaire de régler rapidement, les moyennes et les mineures, et je n’oublie pas aussi de préciser tout ce qui est déjà bien conforme », souligne-t-elle.

Sur cette check-list apparaissent par exemple la sécurisation de l’hébergement des données, la vérification et le renforcement du cloisonnement des accès aux données par métiers et par profils, la mise à jour de la charte informatique, le déploiement d’une messagerie sécurisée ou encore des procédures comme celle du recueil de consentement ou de non-opposition. Le DPO veille également à ce que les échanges entre les membres de l’équipe pluridisciplinaire et d’autres experts extérieurs (psychologue, assistante sociale…) soient sécurisés.

Le suivi des services de prévention et de santé au travail se fait de près, puisque Julianna Révi se rend dans chacun d’entre eux toutes les trois semaines environ. Cette proximité élevée permet de pointer ce qui n’avance pas et de créer des réflexes dans l’esprit des collaborateurs des services.

« L’idée est de faire comprendre à mes interlocuteurs et à l’équipe que tous les sujets peuvent être sujets au RGPD, souligne-t-elle. Il faut y penser tout le temps. La moindre action peut avoir des conséquences sur une non-conformité ».

À chaque non-conformité, elle réfléchit à la solution la plus adaptée au service et prévient des risques en cas de non-application de ses recommandations. Par exemple, en cas d’absence de clause RGPD dans un contrat de travail, elle propose un modèle à intégrer. C’est ensuite au dirigeant du service de trancher sur l’intégration ou non de la clause. La qualité première d’un bon DPO doit être la diplomatie.

« Il faut expliquer que le service doit mettre en place des process qui peuvent ralentir les projets, qui peuvent être contraignants, mais faire comprendre surtout qu’une fois que la démarche est acquise, tout est plus simple », explique-t-elle.

Processus d’audit RGPD dans les SPSTi.

Le DPO fait le pont entre le service et la CNIL, qui est en charge des contrôles et peut émettre des avertissements ou mener des contrôles pour vérifier la conformité au RGPD.

Julianna Révi insiste sur l’importance de la sensibilisation des salariés. Elle reprend avec les collaborateurs les bases du RGPD et son importance en termes de sécurité. Par exemple, elle mise sur le jeu pour inculquer la définition d’une donnée personnelle ou explique la différence entre une donnée anonyme et pseudonyme. Autant de réflexes qu’elle crée dans la tête des salariés qui seront alors plus à même à « penser RGPD » lorsque cela sera nécessaire dans le quotidien.

« Je suis là pour qu’on réfléchisse avec le service à la sécurisation optimale de toutes les données, c’est pourquoi j’ai besoin d’être au courant de tous les projets et d’y être intégrée au plus tôt ».

La présence d’un DPO externe comme Julianna Révi est nécessaire même après les trois ans d’accompagnement initial. Et pour cause : il assure la veille juridique et technique liée au RGPD, adapte les process aux nouvelles législations européennes sur l’intelligence artificielle par exemple ou fait part des nouvelles normes en matière de sécurité informatique.

Assurez la protection des données de votre service de prévention et santé au travail avec l’expertise d’un DPO dédié. Contactez-nous dès aujourd’hui pour un accompagnement personnalisé et 100 % conforme au RGPD ! ✅

Articles connexes