Comme expliqué dans notre article (Certification des SPSTI et Protection des données : cap sur 2025 !), l’ensemble des SPSTI doit avoir obtenu la certification liée à l’article L 4622-9-3 du Code du travail, au 1ᵉʳ mai 2025.

Parmi l’ensemble des critères de la norme SPEC 2217, certains concernent la conformité au RGPD, et plus généralement aux principes de la protection des données.

Les SPSTI sont donc tenus de respecter l’ensemble des principes du RGPD, et de démontrer leur application dans le cadre de leur certification.

La CNIL a par ailleurs publié un référentiel consacré à la conformité des SPSTI au RGPD et contient notamment des outils pratiques permettant d’évaluer sa conformité et des exemples concrets.

Quels sont les principaux prérequis ?

Tout d’abord la norme prévoit la mise en œuvre d’une « une procédure garantissant la conformité au RGPD concernant :

• Les aspects du RGPD qui font l’objet de la procédure
• L’information complète des employeurs et des salariés sur les actions menées par le SPSTI utilisant ou générant des données personnelles, y compris pour la pratique de la télésanté
• Le recueil formalisé des consentements individuels
• Le traitement des réclamations éventuelles relatives à l’utilisation des données personnelles. »

Les SPSTI sont donc tenus de formaliser une procédure globale démontrant leur application du RGPD, qui implique une mise en conformité générale du service (recueil des consentements, registres de demandes de droits, information des personnes, durées de conservation, procédures, etc.).

La sécurité des données est par ailleurs un sujet important de la certification. Les SPSTI sont en effet tenus de garantir sa conformité à plusieurs référentiels de sécurité (PGSSI-S, CI-SIS, etc.). La mise en œuvre d’une Politique de Sécurité des Systèmes d’Information (PSSI) est un bon moyen de démontrer sa conformité aux règles applicables en centralisant l’information en matière de sécurité des systèmes en un seul document complet.

 

SRC Solution accompagne depuis de nombreuses années les services de santé au travail dans le maintien de leur conformité au RGPD

N’hésitez pas à contacter SRC Solution pour plus d’information sur la mise en conformité RGPD et SSI des SPSTI.

Contact : contact@src-solution.com