Face à la nécessaire mise en conformité au RGPD, les services de prévention et de santé au travail se tournent vers un Délégué à la protection des données (DPO). Acteur clé, il garantit que les services de santé au travail traitent les données de manière éthique et légale, tout en protégeant la vie privée des salariés.
Julianna Révi, Déléguée à la protection des données chez AGS Records Management, nous explique son rôle et ses missions quotidiennes.
La mise en conformité des services de prévention et de santé au travail (SPST) impose la désignation d’un Délégué à la Protection des Données (DPO) auprès de la CNIL. Et pour cause : ces services traitent des données personnelles particulièrement sensibles qui nécessitent une vigilance accrue en matière de protection de ces dernières.
Le DPO joue un rôle essentiel, en assurant la conformité avec la réglementation sur la protection des données, notamment le RGPD. Julianna Révi, Déléguée à la protection des données chez AGS Records Management, apporte son expertise au quotidien auprès du deuxième plus important service de santé au travail de France et de plusieurs SPST dans les Pays de la Loire.
Cette expertise, valorisée à l’occasion d’évènements comme les journées nationales de santé au travail ou des salons comme Preventica, lui permet de conseiller les clients dans les moindres détails. Conformité réglementaire, sensibilisation et formation, évaluation des risques ou encore suivi des incidents font partie de son quotidien.
Une maîtrise parfaite de la réglementation du secteur
Grâce à son expérience, de plus en plus de services se rapprochent d’AGS Records Management pour ses prestations de mise en conformité au RGPD, entre autres. Sa connaissance des textes réglementaires, des procédures obligatoires et son expérience lui permettent d’accélérer les process de mise en conformité dans les SPST.
« Ce qui est une problématique dans un service résonne bien souvent avec la difficulté d’un autre. Une bonne partie des préconisations sont duplicables d’un service à l’autre », assure Julianna Révi.
Lorsqu’un service de santé au travail fait appel à AGS Records Management, la DPO débute toujours le projet par un audit, d’une durée moyenne de trois jours pour un service comptant un petit nombre de salariés et d’adhérents et jusqu’à cinq jours pour les plus grands services.
« J’interviens soit quand un service veut se mettre en conformité et se faire accompagner dans la certification, soit quand il y a un important changement organisationnel en interne, par exemple lors d’une fusion de deux services », assure Julianna Révi.
Un audit complet et détaillé
Durant cette période d’audit, la Déléguée analyse tout : si les portes des bureaux sont bien fermées à clé lors des pauses déjeuner, si les données médicales sont bien broyées et non juste jetées dans une corbeille ou encore si un document sensible traîne dans le scan. Elle interroge l’ensemble de l’équipe pluridisciplinaire du service ainsi que les responsables des différents départements tels que la comptabilité, la direction et l’informatique sur leurs processus. L’objectif est de vérifier que les procédures et pratiques respectent le RGPD, d’évaluer comment les données de santé et autres données sensibles sont collectées, stockées et traitées ou encore de vérifier si les mesures de sécurité sont adéquates pour protéger les données.
Après la phase d’audit, Julianna Révi édite un livrable (rapport d’audit) qui sert de plan d’action pour le service.
« J’indique dedans les non-conformités majeures qu’il est nécessaire de régler rapidement, les moyennes et les mineures, et je n’oublie pas aussi de préciser tout ce qui est déjà bien conforme », souligne-t-elle.
L’analyse de la moindre action
Sur cette check-list apparaissent par exemple la sécurisation de l’hébergement des données, la vérification et le renforcement du cloisonnement des accès aux données par métiers et par profils, la mise à jour de la charte informatique, le déploiement d’une messagerie sécurisée ou encore des procédures comme celle du recueil de consentement ou de non-opposition. Le DPO veille également à ce que les échanges entre les membres de l’équipe pluridisciplinaire et d’autres experts extérieurs (psychologue, assistante sociale…) soient sécurisés.
Le suivi des services de prévention et de santé au travail se fait de près, puisque Julianna Révi se rend dans chacun d’entre eux toutes les trois semaines environ. Cette proximité élevée permet de pointer ce qui n’avance pas et de créer des réflexes dans l’esprit des collaborateurs des services.
« L’idée est de faire comprendre à mes interlocuteurs et à l’équipe que tous les sujets peuvent être sujets au RGPD, souligne-t-elle. Il faut y penser tout le temps. La moindre action peut avoir des conséquences sur une non-conformité ».
Pédagogie et diplomatie de mise
À chaque non-conformité, elle réfléchit à la solution la plus adaptée au service et prévient des risques en cas de non-application de ses recommandations. Par exemple, en cas d’absence de clause RGPD dans un contrat de travail, elle propose un modèle à intégrer. C’est ensuite au dirigeant du service de trancher sur l’intégration ou non de la clause. La qualité première d’un bon DPO doit être la diplomatie.
« Il faut expliquer que le service doit mettre en place des process qui peuvent ralentir les projets, qui peuvent être contraignants, mais faire comprendre surtout qu’une fois que la démarche est acquise, tout est plus simple », explique-t-elle.
Le DPO fait le pont entre le service et la CNIL, qui est en charge des contrôles et peut émettre des avertissements ou mener des contrôles pour vérifier la conformité au RGPD.
Un accompagnement pour une sécurisation optimale dans le temps
Julianna Révi insiste sur l’importance de la sensibilisation des salariés. Elle reprend avec les collaborateurs les bases du RGPD et son importance en termes de sécurité. Par exemple, elle mise sur le jeu pour inculquer la définition d’une donnée personnelle ou explique la différence entre une donnée anonyme et pseudonyme. Autant de réflexes qu’elle crée dans la tête des salariés qui seront alors plus à même à « penser RGPD » lorsque cela sera nécessaire dans le quotidien.
« Je suis là pour qu’on réfléchisse avec le service à la sécurisation optimale de toutes les données, c’est pourquoi j’ai besoin d’être au courant de tous les projets et d’y être intégrée au plus tôt ».
La présence d’un DPO externe comme Julianna Révi est nécessaire même après les trois ans d’accompagnement initial. Et pour cause : il assure la veille juridique et technique liée au RGPD, adapte les process aux nouvelles législations européennes sur l’intelligence artificielle par exemple ou fait part des nouvelles normes en matière de sécurité informatique.
Assurez la protection des données de votre service de prévention et santé au travail avec l’expertise d’un DPO dédié. Contactez-nous dès aujourd’hui pour un accompagnement personnalisé et 100 % conforme au RGPD ! ✅
