Politique de confidentialité
Le Règlement Général Européen sur la Protection des Données, ou RGPD, est entré en application le 25 mai 2018. Celui-ci renforce et unifie la protection des données personnelles pour les individus au sein de l'Union européenne.
Dans le cadre de la gestion de votre santé au travail, Santra Plus est ammené à traiter des données personnelles vous concernant.
La présente notice d'information a pour but d'apporter l'ensemble des éléments d'information prévus par la réglementation applicable en matière de protection des données personnelles et notamment par le Règlement sur la Protection des Données (le RGDP" ou GDPR" en anglais)
"Politique de confidentialité" Santra Plus, document complet à télécharger.
Objectifs et champs d'application de la Politique de Confidentialité
SANTRA PLUS accorde la plus grande importance et le plus grand soin à la protection de la vie privée et des Données à caractère personnel, ainsi qu’au respect des dispositions légales en la matière.
Le Règlement Européen n° 2016/679 du 27 avril 2016 relatif à la protection des données personnelles (ci-après « RGPD ») retient que les données personnelles doivent être traitées de façon licite, loyale, et transparente. Ainsi, la présente Politique de confidentialité vie privée a pour objectif de fournir une information simple, claire sur les traitements de données à caractère personnel des personnes concernées, dans le cadre de votre navigation et des opérations de traitement réalisées sur notre site Internet.
Les données personnelles que nous collectons sont nécessaires à l’accomplissement des missions de SANTRA PLUS prévues à l’article L.4622-2 du Code du travail selon lesquelles « Les services de santé au travail ont pour mission exclusive d’éviter toute altération de la santé des travailleurs du fait de leur travail. »
Cette Politique couvre les Traitements réalisés dans le cadre de :
- La gestion des traitements mis en œuvre par SANTRA PLUS ;
- La gestion du recrutement ;
- La gestion des relations adhérents, salariés suivis, prestataires de SANTRA PLUS ;
- La gestion du site internet ;
- La création de votre compte sur l’extranet ;
- La gestion des droits des personnes ;
- La gestion de vos demandes d’information ;
- L’envoi de notre communication ;
Pour l’ensemble de ces Traitements, SANTRA PLUS est l’entité qui détermine les moyens et les finalités et agit ainsi en qualité de Responsable de traitement au sens du Règlement n°2016/679 dit Règlement Général sur la Protection des Données.
Dans cette Politique, « SANTRA PLUS », « nous », « notre » et « nos » font référence à :
SANTRA PLUS, dont le siège est situé au 35 rue de Tourville – 76600 Le Havre.
Généralités applicables à l'ensemble des traitements mis en oeuvre par Santra Plus
SANTRA PLUS veille pour chaque traitement au respect des principes fondamentaux en matière de protection des données à caractère personnel. Cette section informe sur les généralités applicables à l’ensemble des traitements couverts par cette Politique.
2.1 Quelles sont les données collectées par SANTRA PLUS ?
(i) Gestion du recrutement
SANTRA PLUS peut être amené à traiter des Données personnelles vous concernant lorsque vous soumettez une candidature sur notre site internet dans l’onglet " nous recrutons " Pôle emploi, l’APEC, à nos Cabinets de recrutement spécialisés dans la médecine.
Dans ce contexte, des Données personnelles vous concernant sont collectées :
- directement auprès des sites internet sur lesquels vous avez candidaté,
- directement par vos candidatures spontanées,
- indirectement auprès de Tiers pour la vérification de vos diplômes et références, avec votre consentement.
Les Données nécessaires au recrutement sont les suivantes : nom, prénom, adresse email, téléphone, expériences professionnelles ainsi que toutes les informations que vous nous communiquez via la transmission de votre candidature et/ou de votre curriculum vitae et/ou des entretiens : photo, compétences, niveau d’étude, langues parlées, prétentions salariales, adresse personnelle, loisirs, situation familiale etc.
Si vous nous communiquez les coordonnées d’une référence, il vous incombe de vous assurer que celle-ci en est informée et vous a donné son accord.
Ces données ne sont collectées et conservées que dans le cadre de la gestion de votre candidature, sur la base de mesures précontractuelles avec SANTRA PLUS et ne sont utilisées à aucune autre fin, commerciale notamment.
En cas d’issue négative à la candidature, vos Données personnelles sont conservées par SANTRA PLUS pendant une durée de 2 ans. Elles sont conservées en cas d’ouverture de poste correspondant à votre profil. Vous pouvez néanmoins demander la suppression de vos données de candidature selon les modalités d’exercice de vos droits (voir section 3.2). L’effacement de vos données personnel sera pris en compte dans un délai maximum de 1 mois à compter de votre demande.
En cas d’issue positive à une candidature, les données relatives au candidat sont conservées pour le temps de sa présence au sein de SANTRA PLUS et après son départ pour la durée de conservation légale applicable.
Vos Données sont utilisées dans le cadre de la gestion d’une CVthèque et de la gestion administrative du collaborateur.
Ces données sont traitées par les collaborateurs en charge du recrutement au sein de SANTRA PLUS.
(ii) Gestion du suivi des salariés
Dans le cadre de la mission de suivi des salariés de nos entreprises adhérentes, nous collectons les données à caractère personnel indirectement par les entreprises adhérentes et directement par le salarié dans le cadre de son suivi médical.
L’employeur adhérent communique uniquement les données nécessaires aux convocations médicales et à l’établissement des factures à savoir : nom, prénom, date de naissance, poste occupé, date d’embauche.
Le salarié suivi fourni les données personnelles le concernant nécessaires au suivi médical :
- Données d’identification nécessaires à l’enregistrement administratif : nom, prénom, date et lieu de naissance, adresse mail, numéro de téléphone, adresse postale, numéro de sécurité sociale ;
- Données professionnelles nécessaires à l’optimisation des conditions de travail : poste de travail occupé, secteur professionnel, conditions de travail, type de contrat, horaires de travail, date de début de contrat ;
- Données de santé pour un suivi médical adapté : nom du médecin traitant, taille, poids, résultats des tests visuels, auditifs, urinaires, comptes-rendus de consultation, recommandations d’aménagements professionnels, certificats médicaux, antécédents médicaux, allergies ;
- Données familiales à des fins de prévention : situation maritale, nombre d’enfants, date de naissance des enfants, état de santé des enfants, antécédents médicaux familiaux ;
- Données de gestion : date et heure des convocations médicales.
(iii) Gestion du site internet et de vos comptes adhérents extranet
Lorsque vous naviguez sur le site de SANTRA PLUS, vous pouvez être amené(e) à remplir des formulaires de collectes de données. Il peut s’agir par exemple d’un formulaire de contact, d’un formulaire d’inscription à des évènements, un formulaire d’inscription à nos communications etc.
Les données collectées dans le cadre de formulaires sur notre site internet, sont traitées selon les modalités et finalités indiquées dans les mentions d’information inscrites sous chaque formulaire.
Si vous possédez un compte adhérent sur notre site internet (ou extranet), vos données de connexion sont conservées. Il s’agit de :
- Données d’identification : identifiant de connexion, noms et prénoms des salariés suivis ;
- Données professionnelles : poste occupé, date d’entrée dans l’entreprise ;
- Données relatives à la personne morale représentée : organisme, adresse du siège social ;
- Données de gestion : adresse IP, date et heure de connexion, modifications apportées sur votre compte.
Les données du site internet sont conservées selon les mêmes modalités et durées que celles prévues dans la section 4 relative à conservation des données.
Nous vous indiquons également que nous réalisons des statistiques anonymes sur la fréquentation du site de SANTRA PLUS, lesquels ne nous permettent pas de vous identifier. Ces statistiques permettent à SANTRA PLUS de contrôler l’influence et la popularité de ses publications.
(iv) Gestion de vos demandes d’informations et exercice de droits
Vous pouvez être amené(e) à formuler des demandes d’informations sur notre adresse générique de contact (contact site internet santraplus.fr ou santraplus site internet santraplus.fr) et/ou des demandes d’exercice de droits auprès de notre DPO à l’adresse dpo site internet santraplus.fr.
Une mention d’information sur le Traitement de vos Données est insérée à la fin de chacune de nos réponses par l’intermédiaire de ces adresses de contact.
Dans le cadre du suivi de vos demandes, SANTRA PLUS traite et conserve les Données personnelles vous concernant pour répondre à votre demande d’information ou de droit. Il s’agit des informations fournies dans le mail de contact à savoir :
- votre identité,
- vos coordonnées de contact professionnelles (cf. minimisation des données) et, le cas échéant,
- la date de la demande,
- le contenu du message, ainsi que
- toute information communiquée ultérieurement lors de nos échanges.
Ces Données sont communiquées et traitées par le service concerné par votre demande et sont conservées pour une durée n’excédant pas celle nécessaire à cette finalité.
En fonction de votre demande et de la teneur de nos échanges, les Données ainsi collectées sont susceptibles d’être utilisées pour d’autres finalités telles que la gestion de la facturation, la gestion de la relation commerciale, la gestion de vos demandes d’exercice de droits etc. Ces Traitements sont alors soumis aux conditions et modalités y afférent.
2.2 Pourquoi collectons-nous vos données ?
SANTRA PLUS dispose d’un agrément délivré par la DIRECCTE Haute-Normandie pour une période de cinq ans depuis le 01/07/2017. Cet agrément autorise SANTRA PLUS à exercer ses missions de médecine du travail selon un cadre défini : couverture géographique assurée, professionnelle ou interprofessionnelle, mise en place de moyens affectés ainsi que mise à disposition des locaux et des équipements dédiés et, le cas échéant, de la mise en œuvre des dispositions du contrat pluriannuel d’objectifs et de moyens par le service de santé au travail interentreprises.
Selon le Règlement général sur la protection des données (RGPD), le traitement des données personnelles de santé est autorisé et ce, sans consentement préalable de l’utilisateur s’il poursuit notamment une finalité d’appréciation médicale : soins, diagnostics, et médecine préventive.
Nous collectons vos données personnelles pour des finalités déterminées et sur différents fondements juridiques. :
- Gestion du recrutement dans le cadre de mesures précontractuelles avec SANTRA PLUS ;
- Gestion du suivi médical des salariés dans le cadre de la gestion de la relation contractuelle entre l’entreprise adhérente à la médecine du travail et SANTRA PLUS ;
- Gestion du site internet dans l’intérêt légitime de SANTRA PLUS ;
- Gestion de vos comptes adhérents sur l’extranet dans le cadre de la gestion de la relation contractuelle entre l’employeur et SANTRA PLUS ;
- Gestion de vos demandes d’informations dans l’intérêt légitime de SANTRA PLUS ;
- Gestion de vos demandes de droits selon les obligations légales qui s’imposent à SANTRA PLUS.
Chaque salarié bénéficie d’un suivi individuel de son état de santé par un professionnel de santé dès son embauche. En fonction des risques professionnels particuliers auxquels le travailleur est exposé, le suivi sera renforcé ou non.
Le DMST retrace, dans le strict respect du secret professionnel, les informations relatives à vos examens médicaux en santé au travail, à votre état de santé, aux postes occupés, aux expositions auxquelles vous êtes ou avez été soumis ainsi que les éventuels avis et propositions du médecin du travail en matière d’aménagement du poste de travail, etc. (Art. L4624-2 du Code du travail).
Pour chaque entreprise adhérente, une étude des conditions de travail pour un poste peut être effectuée. SANTRA PLUS veille à ce que les rapports soient anonymisés. En cas d’identification indirecte du salarié ou par illustration, le consentement du salarié lui est spécifiquement demandé. En tout état de cause, SANTRA PLUS s’efforce de flouter les salariés figurant sur les photographies d’illustration des conditions de travail dans ses rapports.
Dans le cadre de ses relations commerciales, SANTRA PLUS n’utilise que les données personnelles de son interlocuteur chez le prestataire (nom, prénom, adresse mail professionnelle, numéro de téléphone professionnel, entreprise).
SANTRA PLUS tient à jour un registre de traitement et de gestion des demandes de droits conformément aux obligations légales qui s’imposent à lui.
2.3 Comment assurons-nous une sécurisation des données personnelles ?
SANTRA PLUS s’engage à protéger les données personnelles traitées contre toute perte, destruction, altération, accès ou divulgation non autorisée.
Pour cela, SANTRA PLUS met en œuvre des mesures techniques et organisationnelles appropriées, au regard de la nature des données personnelles et des risques que leur traitement comporte. SANTRA PLUS souhaite préserver la sécurité et la confidentialité de vos données personnelles et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Ces mesures peuvent notamment comprendre des pratiques telles qu’un accès limité aux données personnelles par des personnes habilités en raison de leurs fonctions, des garanties contractuelles en cas de recours à un prestataire/partenaire, des études d’impact sur la vie privée, des examens réguliers de nos pratiques et Politiques de respect de la vie privée et/ou des mesures de sécurité physiques et/ou techniques (accès sécurisé, coffre-fort, procédé d’authentification, copies de sauvegarde, logiciel antivirus, pare-feu, chiffrage, etc.).
2.4 Qui a accès à vos données personnelles ?
(i) Les données du dossier médical en santé au travail (DMST)
Le DMST est tenu par le médecin du travail dans le cadre des recommandations de bonnes pratiques définies par la Haute Autorité de Santé.
Il est alimenté et consulté par les collaborateurs du Médecin (infirmiers en santé au travail, assistants médicaux) sous la responsabilité et avec l’accord du médecin du travail, dans le respect du secret professionnel et dans la limite de ce qui est strictement nécessaire à l’exercice de leur mission.
Les autorisations et niveaux d’accès au DMST des collaborateurs du médecin du travail sont établis par le médecin du travail puis par la Direction Générale, sauf avis contraire expressément formulé par le salarié dûment informé.
Les accès aux postes de travail et aux outils de gestion du DMST sont sécurisés : ils ne sont autorisés qu’après identification avec mot de passe fort avec définition des profils utilisateurs.
Le dossier médical en santé au travail peut également être consulté par :
- Le salarié ou, en cas de décès du salarié, par toute personne autorisée par la réglementation en vigueur et sur demande d’exercice du droit d’accès ;
- Le médecin inspecteur régional du travail ;
- Un autre médecin du travail dans la continuité de la prise en charge, sauf refus du salarié dûment informé au préalable ;
- D’autres médecins désignés par le salarié
La demande d’accès ou de transposition du dossier par un salarié doit être formulée par écrit avec la preuve de l’identité du salarié.
(ii) Les données de l’entreprise adhérente
Les données nominatives qui figurent dans les dossiers entreprises (notamment les contacts transmis dans le cadre des déclarations annuelles des effectifs) sont utilisées exclusivement par les collaborateurs dont la fonction le nécessite. Les accès sont sécurisés : ils ne sont autorisés qu’après identification. Les périmètres accessibles sont déterminés par des profils utilisateurs.
(iii) Les tiers
SANTRA PLUS peut être amené, pour certaines finalités de traitement, à partager les données à caractère personnel à ses prestataires et/ou partenaires pour réaliser un ensemble de missions en son nom. Il s’agit notamment des prestataires qui fournissent l’outil de gestion du DMST, des sociétés d’archivages, des partenaires évènementiels etc.
Vos données peuvent aussi être transmises aux autorités légales ou réglementaires, afin de respecter nos obligations légales
Le partage de données n’est réalisé que lorsque cela est nécessaire à l’exécution de notre contrat avec votre employeur et dans le cadre de nos obligations légales. En outre, ne sont communiquées à nos prestataires que les informations dont ils ont besoin pour la réalisation du service. Il leur est également demandé de ne pas consulter ni utiliser les données pour des finalités autres que celles initialement prévues (à savoir la maintenance informatique, l’organisation d’évènements, l’archivage de dossiers papiers etc.). Nous mettons tout en œuvre pour nous assurer que ces tiers préservent la confidentialité et la sécurité de vos données.
Tout comme les prestataires, dans le cadre d’une transmission aux autorités légales et réglementaires, seules les données nécessaires sont fournies. Nous mettons tout en œuvre pour conserver leur confidentialité et leur sécurité.
Nous ne vendons pas vos données.
2.5 Les données personnelles sont-elles transférées vers des pays tiers ?
SANTRA PLUS s’efforce de conserver les données personnelles en France, et a minima au sein de l’Espace Économique Européen (EEE).
En cas de transfert, nous garantissons que le transfert est effectué :
- Soit vers un pays assurant un niveau de protection adéquat, c’est-à-dire un niveau de protection équivalent à ce que les réglementations européennes exigent ;
- Soit qu’il est encadré par des clauses contractuelles types ;
- Soit qu’il est encadré par des règles internes d’entreprise.
Les droits des personnes concernés
Lorsque vous nous transmettez une demande d’exercice de droit, il vous est demandé de préciser autant que possible le périmètre de la demande, le type de droit exercé, le traitement de données personnelles concerné, et tout autre élément utile, afin de faciliter l’examen de votre demande. En outre, il peut vous être demandé de justifier de votre identité en cas de doute raisonnable sur l’identité du demandeur.
Lorsque vous exercez vos droits, notre Délégué à la protection des données traite vos Données personnelles à des fins de gestion de votre demande (civilité, nom, prénom, copie de la pièce d’identité si nécessaire, date et nature de la demande, date et réponse apportée).
Les Données relatives à l’exercice de vos droits sont conservées pendant une durée de 3 ans dans notre registre de gestion des demandes, à l’exception de la copie de votre pièce d’identité, laquelle est conservée 1 mois.
3.1 Quels sont les droits que vous pouvez exercer sur vos données personnelles ?
Conformément à la règlementation en vigueur, vous disposez de droits sur les données personnelles vous concernant que nous détenons :
- Un droit d’accès : tout salarié peut accéder à son dossier médical après demande écrite de sa part accompagnée d’un justificatif d’identité. Le médecin du travail le transmet au salarié (ou à son médecin traitant) dans un délai de 8 jours. Ce délai est porté à 2 mois si les données datent de plus de 5 ans. Ne sont toutefois pas communicables les éléments dits “subjectifs” : informations sans relation avec l’action de prévention, les échanges entre l’employeur et le médecin du travail, les notes personnelles du médecin du travail, les informations confidentielles concernant l’entreprise, etc. (Loi 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé Art. L1111-7 et R1111-1 à R1111-8 du Code de la santé publique).;
- Un droit de rectification : vous pouvez demander une rectification de toute donnée inexacte vous concernant. Il peut s’agir par exemple de la mise à jour de vos données administratives. Le droit de rectification ne s’applique pas sur les données de santé nécessaires à l’action de prévention et au suivi médical ;
- Un droit de suppression : vous pouvez demander la suppression de vos données personnelles dans certaines circonstances ;
- Un droit à la portabilité : sous certaines conditions, vous pouvez recevoir toutes les données personnelles vous concernant que vous nous avez fournies, dans un format structuré. Vous avez aussi le droit d’exiger que nous les transmettions, dans la mesure du possible, à un autre organisme de santé au travail. Une copie du dossier informatique sera conservé en cas de réclamation et/ou procédure ;
- Un droit de s’opposer au traitement en invoquant des intérêts légitimes ;
- Un droit de retirer son consentement à tout moment uniquement pour les données utilisées dans le cadre de traitements basés sur le consentement ;
- Un droit à la limitation du traitement : vous avez le droit d’apporter des restrictions au traitement de vos données si :
- Vous contestez l’exactitude de vos données, jusqu’à ce que nous vérifiions leur exactitude ;
- Le traitement est illégal mais vous ne souhaitez pas que nous supprimions vos données ;
- Nous n’avons plus besoin de vos données personnelles aux fins du traitement mais vous avez besoin de ses données afin d’intenter, de faire valoir ou de vous défendre contre des demandes en justice.
3.2 Quelles sont les modalités d’exercice des demandes de droit sur vos données personnelles ?
Vous pouvez exercer ces droits ou poser toute question relative à la gestion de vos données personnelles par SANTRA PLUS vous adressant à :
- Courriel : dpo site internet santraplus.fr
- Courrier : SANTRA PLUS – A l’attention du service qualité/DPO - 35 rue de Tourville – 76600 Le Havre.
Vous disposez également du droit de saisir la Commission Nationale de l’Informatique et des Libertés (CNIL), 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07, de toute réclamation se rapportant à la manière dont collecte et traite vos données.
Conservation des données
Les données à caractère personnel sont conservées en base active pendant toute la durée de vie professionnelle du salarié suivi. Les données personnelles sont ensuite archivées par SANTRA PLUS dans son service archivage et chez son prestataire d’archivage.
Les données personnelles médicales des DMST sont conservées entre 20 ans pour les salariés simples et 50 ans pour les salariés à risques lorsqu’ils ont été exposés à des substances dangereuses.
Les données nominatives qui figurent dans les dossiers entreprises (notamment les contacts transmis dans le cadre des déclarations annuelles des effectifs) sont conservées 10 ans après que l’entreprise ne soit plus adhérente à SANTRA PLUS.
Les cookies
Un " cookie " est un petit fichier texte qui peut être enregistré dans un espace dédié du disque dur de votre terminal (ordinateur, tablette, smartphone, etc.) lorsque vous consultez le site Web. Un cookie permet à son émetteur (nous ou nos fournisseurs) de mesurer l'audience, d'identifier et de reconnaître le terminal sur lequel il est enregistré, pendant toute la durée de validité ou d'enregistrement du cookie (13 mois maximum).
Nous utilisons différents types de cookies :
- Cookies fonctionnels : permettent une utilisation et une navigation optimales sur notre site internet et l’envoi de vos informations lorsque vous remplissez un formulaire en ligne ;
- Cookies de mesure d’audience : permet d’établir de manière anonyme des statistiques de navigation sur notre site internet avec l’utilisation de Google Analytics ;
Le paramétrage des cookies n’est pas possible dans la mesure où ils sont indispensables au bon fonctionnement de notre site. Pour en savoir plus sur la configuration à suivre, consultez la page dédiée sur le site de la CNIL (https://www.cnil.fr/fr/cookies-les-outils-pour-les-maitriser).
Mise à jour de la présente Politique
La présente politique peut régulièrement être mise à jour afin de tenir compte des évolutions de la réglementation relative aux données personnelles.
Date de dernière mise à jour : 15 juin 2020.