Protection des données
Politique de protection des données personnelles du SMIT
Dernière mise à jour : 01/09/2023
Précisions liminaires
Eléments contextuels
Le Service Médical Interentreprises du travail de Nouvelle-Calédonie (ci-après « SMIT »), organisme référent en matière de médecine du travail des salariés du régime CAFAT, attache une attention particulière au respect de la vie privée et de la protection des données à caractère personnel de ces personnes.
Cette politique a pour objectif de renforcer la relation de confiance entre la structure et son public à travers le cadre protecteur mis en œuvre lors du traitement de leurs données à caractère personnel.
L’ensemble des missions réalisées sur la base de vos données personnelles intègrent les exigences des règlementations en vigueur et notamment de la loi n°78-17 dite « Informatique et Libertés » du 6 janvier 1978 modifiée et du Règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (« RGPD ») rendus applicables en Nouvelle-Calédonie.
Article 1 – Terminologie et définitions
La donnée à caractère personnel ou donnée personnelle
La donnée à caractère personnel (ci-après : « donnée personnelle ») est entendue de toute information se rapportant à une personne physique identifiée ou identifiable.
Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Parmi les données personnelles, il y a des catégories de données dites « sensibles » et à risque, notamment les informations relatives à l’origine raciale/ethnique, celles relatives aux opinions politiques/religieuses, les informations concernant l’appartenance syndicale, les données génétiques/biométriques, les données de santé, les données concernant la vie sexuelle/orientation sexuelle. Ces données doivent faire l’objet d’une protection particulière et spécifique.
Le traitement de données personnelles ou traitement
Il s’agit d’une opération, ou d’un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé.
A titre d’illustrations, sont des traitements de données personnelles les opérations suivantes qui portent sur de telles données : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement.
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Un traitement de données personnelles doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation.
En pratique, un traitement de données personnelles est généralement identifié, au sein d’une structure telle que le SMIT, suivant sa finalité : par exemple, la gestion du dossier médical en santé du travail est une finalité pour laquelle plusieurs opérations sur des données sont organisées. Cette finalité est identifiée comme un traitement de données au sein du SMIT.
La finalité d’un traitement
La finalité vise l’objectif, le but pour lequel un traitement de données personnelles est mis en œuvre. Cette finalité doit reposer sur une base juridique, comme une obligation légale qui s’impose au responsable du traitement considéré, un contrat, ou encore par exemple l’obtention du consentement de la personne concernée par le traitement.
Le responsable du traitement
Le responsable du traitement est entendu de la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
Le SMIT est qualifié de responsable du traitement, pour les différents traitements de données mis en œuvre en son sein à des fins de gestion de ses activités propres, comme précisé plus avant dans la présente Politique.
La personne concernée
La personne concernée par un traitement de données personnelles vise la personne physique identifiée ou identifiable à laquelle se rapportent les données qui font l’objet du traitement considéré.
En votre qualité de salarié auprès du SMIT ou d’utilisateur de son site internet, vous êtes une personne concernée au sens de la loi Informatique et Libertés et du RGPD.
Le sous-traitant
Le sous-traitant est entendu de la personne physique ou morale, l'autorité publique, le service ou autre organisme qui traite des données personnelles pour le compte du responsable du traitement et suivant ses instructions.
Par exemple, un prestataire informatique qui traite des données personnelles dans le cadre de la mission qui lui est confiée est considéré comme un sous-traitant au sens de la loi Informatique et Libertés et du RGPD. Cette relation de sous-traitance doit faire l’objet d’un contrat intégrant des clauses obligatoires destinées à protéger les données personnelles impactées.
Le destinataire
Le destinataire est entendu de la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données personnelles. Il peut être interne ou externe au SMIT.
Par exemple, les professionnels de santé confrères ayant un intérêt à connaitre les informations ou à intervenir dans le parcours patient sont des destinataires externes des données personnelles collectées à des fins de gestion des actions de santé au travail.
Le délégué à la Protection des Données, ou « DPO »
Le Délégué à la protection des données ou « DPO » (acronyme du terme anglais Data Protection Officer) s’entend de la personne chargée de piloter et/ou mettre en œuvre la conformité au RGPD au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements que celui-ci met en œuvre.
Il peut être un salarié, ou un prestataire extérieur. Il est soumis à une obligation de confidentialité.
Article 2 – Identité et coordonnées du Responsable du Traitement
Le responsable du traitement est le SMIT (Service Médical Interentreprises du Travail) représenté par son Directeur Xavier MARTIN. Il se situe au Parc d’entreprises de la Yahoué, 2 rue Martial Danton, 98800 Nouméa, Nouvelle-Calédonie.
Article 3 – Finalités des traitements mis en œuvre
La collecte de vos informations personnelles est indispensable dans le cadre de votre prise en charge par les services du SMIT et le suivi de votre dossier santé au travail.
Pour votre information, nous vous informons qu’en tant que salarié, vos données personnelles sont susceptibles de figurer au sein des traitements internes ayant pour finalités :
- Toute(s) opération(s) nécessaire(s) à votre prise en charge et suivi en matière de médecine du travail (notamment votre dossier salarié).
- La réalisation d’études actuarielles, d’analyses internes en matière de médecine du travail. Ces études se font dans le respect des droits et intérêts des salariés. Il s’agit ici d’améliorer la qualité de nos missions et nos accompagnements en constituant des bases d’indicateurs et des modèles statistiques anonymes.
- Le respect de nos obligations légales et règlementaires (en matière de santé, et également pour nous permettre d’être en capacité de défendre nos intérêts en justice en conservant des éléments de preuve, le cas échéant) ;
- La gestion des services proposés sur notre site internet ( https://www.smit.nc), à savoir :
- L’information du public sur nos activités en mettant à disposition de la documentation adéquate
- La création et gestion de son compte personnel « Employeur »
- La réponse au public sur toute question ou démarche administrative via un formulaire de contact
- L’optimisation de votre expérience de navigation et le bon fonctionnement de notre site internet.
Article 4 – Licéité des traitements, bases juridiques
La collecte et le traitement de vos informations personnelles reposent toujours sur une base juridique certaine et conforme à la loi Informatique et Libertés et au RGPD.
Ainsi en matière de médecine du travail, les traitements que nous mettons en œuvre ont pour bases juridiques, suivant le traitement ou les opérations considéré-e-s :
- Le respect d’une obligation légale à laquelle nous sommes soumis (la plupart du temps le Code de la Santé Publique) ;
- La poursuite de nos intérêts légitimes ;
- Ou le recueil de votre consentement.
Article 5 – Données personnelles collectées
Le SMIT collecte et utilise des données personnelles vous concernant qui lui sont nécessaires dans le cadre de la mise en œuvre des traitements susmentionnés, à savoir :
- Des informations d’identification,
- Des informations relatives à la situation personnelle et familiale,
- Des informations relatives à la situation professionnelle,
- Des informations produites par nos services internes lors de votre prise en charge et de votre suivi,
- Des informations de connexion, lors de vos visites sur notre site internet et sur votre espace personnel « Employeur »
Cette liste est exhaustive. De plus, notre activité de médecine du travail fonde le traitement de données de santé. Ces informations dites sensibles font l’objet d’un cadre de protection plus strict. Elles sont demandées lors de votre première visite médicale au sein du SMIT, selon un processus encadré et respectueux du secret médical. Ces informations ne seront traitées qu’avec accord du salarié et destinés exclusivement aux services internes du SMIT soumis au secret médical.
Article 5 – Durées de conservation
Le SMIT conserve vos données personnelles dans un environnement sécurisé pendant une durée en adéquation avec les finalités pour lesquelles elles ont été collectées, ou conformément à des durées issues de la règlementation applicable notamment en matière de médecine du travail et de santé, ou encore respectant les obligations légales et règlementaires applicables au SMIT.
Lorsqu’une durée de conservation est atteinte, les données concernées sont soit effacées de manière irréversible, soit archivées dans des conditions respectueuses des recommandations de la Commission Nationale de l’Informatique et des Libertés (« CNIL ») (accès restreint et limité à des fins de recherches et/ou contentieuses).
En l’état, le SMIT applique les durées de conservation prévues par le Code de la santé publique, le règlement des organismes sociaux tels que la CAFAT ou encore celles du code du travail. De ce fait, dans le cadre de votre prise en charge et suivi en matière de médecine du travail assuré par notre structure, vos données sont conservées pendant une durée de 20 ans à compter de la dernière consultation (sauf cas particuliers tels que l’exposition à des agents biologiques pathogènes : 10 ans à compter de la cessation de l’exposition, ou encore l’exposition à l’amiante : 50 ans après la fin de la période d’exposition).
Ces règles sont applicables quelles que soient le support des données, et quels que soient les destinataires des données.
Article 6 – Destinataires des données et tiers autorisés
Le SMIT s’engage à ne collecter aucune information personnelle à l’insu des personnes concernées. Il s’engage aussi à ne pas céder les données personnelles qui lui sont transmises à des tiers non autorisés.
Les données personnelles collectées et traitées par le SMIT sont, la plupart du temps, réservées à ses différents services habilités, dans la limite de leur « besoin d’en connaître ».
En cas de réalisation de tout ou partie d’un traitement de données personnelles par un sous-traitant (prestataires de service), le SMIT veille à le choisir au regard des garanties qu’il apporte à la mise en œuvre de mesures techniques et organisationnelles appropriées, notamment en termes de sécurité des données.
Le SMIT formalise ses relations de sous-traitance dans le respect de l’article 28 du RGPD, et des recommandations de la CNIL en la matière.
Dans certaines situations, des données personnelles peuvent être communiquées à des partenaires publics ou privés : dans ces situations, les personnes concernées en sont préalablement informées et ont la possibilité, sauf obligation juridique contraire, de s’y opposer pour des raisons tenant à leur situation particulière. Ces « partenariats » font l’objet de toute mesure technique et organisationnelle pertinente, de façon à garantir la protection des données ainsi communiquées.
Enfin, le SMIT peut ponctuellement être amené à devoir communiquer des données personnelles pour se conformer à une obligation juridique, à la demande d’une autorité administrative ou judiciaire dans le cadre d’une mission de contrôle ou d’enquête. Dans ce cas encore, il prend toute disposition, dans la mesure du possible, pour protéger les données qu’il est tenu de communiquer.
Article 7 – Transfert de données hors de l’Union européenne
Dans la mesure du possible, le SMIT ne procède pas à des transferts de données personnelles hors Union européenne (et de l’Espace Economique Européen).
Lorsqu’un tel transfert est réalisé, le SMIT prend toute mesure utile pour protéger les données concernées suivant les exigences applicables à ces transferts, et en particulier les articles 44 et suivants du RGPD et la jurisprudence dégagée par la Cour de justice de l’Union européenne.
Article 8 – Sécurité apportée aux données personnelles
En sa qualité de « Responsable du traitement », il appartient au SMIT de définir et de mettre en œuvre les mesures techniques de sécurité physique, logique, technique et organisationnel qu’il estime appropriées afin de lutter contre la destruction, la perte, l’altération ou la divulgation non autorisée des données personnelles de manière accidentelle ou illicite.
Ainsi, le SMIT s’efforce de prendre les précautions nécessaires compte tenu de l’état des connaissances et des finalités du traitement ; ainsi que l’évolution des technologies, des coûts de mise en œuvre, de la nature des données à protéger et des risques pour les droits et libertés des personnes.
Article 9 – Droit des personnes
Conformément à la législation « Informatique et Libertés » relative à la protection des données à caractère personnel, vous disposez des droits suivants sur vos données : droit d’accès, droit de rectification, droit à l’effacement, droit d’opposition pour des raisons tenant à votre situation particulière, droit à la limitation du traitement, droit à la portabilité de vos données, ainsi que du droit de définir des directives après décès et votre droit de retirer votre consentement à tout moment pour les traitements se fondant sur la base légale du consentement.
L’exercice de ces droits s’effectue auprès du Délégué à la protection des données personnelles du SMIT à l’adresse postale du SMIT à l’attention du Délégué à la protection des données (DPO) ; ou par courriel : dpo@smit.nc
Dans le cadre de l’instruction de votre demande, nous pourrions être amenés à vous demander la photocopie d’un titre d’identité.
Enfin, sous réserve d’un manquement aux dispositions ci-dessus énumérées, vous avez le droit d’introduire une réclamation auprès de la CNIL, par voie postale ou sur son site internet (www.cnil.fr).
Article 10 – Mise à jour de la Politique
La présente Politique de protection des données entre en vigueur à compter du 01/09/2023.
Elle est susceptible d’être mise à jour, notamment à l’occasion de toute évolution législative ou règlementaire l’affectant, de l’adoption de toute nouvelle recommandation de la CNIL, ou encore de la mise en œuvre d’un nouveau traitement de données personnelles vous concernant.
Toute mise à jour substantielle (ajout d’un nouveau traitement principalement) fera toutefois l’objet d’une communication auprès de vous.