Traitement données à caractère personnel

Le respect de la vie privée et de la protection des données à caractère personnel constitue un facteur de confiance. Intermétra, votre service de Prévention et de Santé au travail de la Réunion tient particulièrement à ces valeurs en s’attachant au respect des libertés et droits fondamentaux.
De par sa mission de service de Prévention et de Santé au Travail, Intermétra collecte des données à caractère personnel, les exploite et les conserve, parmi lesquelles des données de santé.
Les traitements de ces données ont toujours été mis en œuvre conformément à la législation et à la réglementation en vigueur, dans des conditions garantissant leur sécurité, pérennité et protection contre toute atteinte et tout accès non autorisés, dans le respect du secret médical ou du secret professionnel auxquels sont assujettis nos professionnels de santé : médecins, infirmiers et les autres membres de l’équipe pluridisciplinaire.
Le présent document définit nos engagements pour la protection de vos données envers nos adhérents et leurs salariés, en tant que responsable ou sous-traitant, ainsi qu’envers nos fournisseurs et partenaires.

I - Les finalités et les fondements juridiques des traitements de données mis en œuvre.

Le traitement de vos données à caractère personnel est soumis au respect du règlement européen n°2016/679 du 27 avril 2016 sur la protection des données, dit « RGPD », et à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée par la loi n°2018-493 du 20 juin 2018.
Selon le règlement européen n°2016/679 du 27 avril 2016 (RGPD), le traitement des données personnelles de santé est autorisé et ce, sans consentement préalable de l’utilisateur, s’il poursuit notamment une finalité d’appréciation médicale : soins, diagnostics et médecine de prévention.
Lorsqu’un consentement est nécessaire pour la mise en œuvre d’un traitement, nous procédons à l’information des personnes concernées et demandons leur consentement.
Les données personnelles que nous collectons sont nécessaires à l’accomplissement des missions d’Intermétra prévues à l’article L.4622-2 du Code du travail qui dispose que « Les services de santé au travail ont pour mission exclusive d’éviter toute altération de la santé des travailleurs du fait de leur travail.
A cette fin conformément à cet article, Intermétra :
  1. conduit les actions de santé au travail dans le but de préserver la santé physique et mentale des travailleurs tout au long de leur parcours professionnel,
  2. conseille les employeurs, les travailleurs et leurs représentants sur les dispositions et mesures nécessaires afin d’éviter ou de diminuer les risques professionnels, d’améliorer les conditions de travail, de prévenir la consommation d’alcool et de drogue sur le lieu de travail, de prévenir le harcèlement sexuel ou moral, de prévenir ou de réduire les effets de l’exposition aux facteurs de risques professionnels mentionnés à l’article L. 4161-1 et la désinsertion professionnelle et de contribuer au maintien dans l’emploi des travailleurs,
  3. assure la surveillance de l’état de santé des travailleurs en fonction des risques concernant leur santé au travail et leur sécurité et celle des tiers, des effets de l’exposition aux facteurs de risques professionnels mentionnés à l’article L. 4161-1 et de leur âge,
  4. participe au suivi et contribuent à la traçabilité des expositions professionnelles et à la veille sanitaire.
Nos traitements de données relèvent ainsi d’une mission d’intérêt public dont est investi Intermétra en application de cet article.

II - Exécution du contrat conclu avec nos adhérents ou avec nos fournisseurs et communication d’informations précontractuelles

Nous utilisons également des données personnelles pour :

  • transmettre des informations relatives à notre offre de service,
  • valider les demandes d’adhésion,
  • assurer le suivi en santé au travail et nos autres actions de prévention pour les bénéficiaires finaux (salariés de nos adhérents),
  • réaliser les autres actions incluses dans notre offre en santé au travail, telles que les réunions de sensibilisation, diffusion de nos publications (plaquette d’information ou de prévention), actions thématiques…,
  • établir et adresser les éléments de facturation et les factures à nos adhérents.

III - Défense de nos intérêts légitimes

Nous pouvons également être amenés à réutiliser les données personnelles recueillies pour développer et adapter notre offre de service et défendre nos intérêts en justice, notamment à des fins de :

  • preuve de nos accords, actions et interventions,
  • gestion et administration de notre système d’information,
  • continuité de notre offre de service,
  • sécurité des personnes,
  • la gestion des impayés et du recouvrement,
  • la gestion des recours, des réclamations et des contentieux,
  • la lutte contre la fraude,
  • la création de base de tests informatiques et de statistiques pour le suivi de notre activité en interne.

Les données traitées peuvent être agrégées en statistiques anonymisées à des fins d’enquêtes et d’études. Les résultats de ces enquêtes anonymes peuvent être transmis à nos partenaires (Présanse, CRAMIF, SAMETH) ou à la DEETS, notre autorité de tutelle.

IV - Le responsable des traitements

Intermétra est le responsable des traitements de données mis en œuvre pour les finalités et dans les conditions définies par la présente Politique de sécurité et de confidentialité.
Intermétra est une association déclarée régie par la loi du 1er juillet 1901. Son siège social est situé à la Résidence Halley, 4 rue Camille Vergoz – 97404 SAINT DENIS. Elle est identifiée au SIREN sous le numéro 315 635 078 000 27.

V - La sécurité des données

Intermétra a mis en place des procédures internes pour la gestion des risques et pour l’organisation de la sécurité des données. Ces procédures sont documentées et adaptées à chaque traitement de données personnelles en fonction des risques qu’ils sont susceptibles de présenter pour la vie privée des personnes concernées.
Intermétra prend également les mesures de protection techniques et organisationnelles adéquates, telles que définies dans la réglementation en vigueur afin de protéger les données personnelles que nous traitons. Intermétra prend notamment des mesures de sécurité appropriées pour les traitements de données personnelles sensibles et des risques associés.
Nos mesures de sécurité, applicables à tous les systèmes utilisés dans le traitement des données personnelles, visent à garantir la confidentialité, l’intégrité et la disponibilité de celles-ci, à tout moment et jusqu’à leur suppression de notre système d’information.

VI - Les données traitées

Nous recueillons et utilisons uniquement les données personnelles qui nous sont strictement nécessaires dans le cadre de nos activités statutaires de prévention et de suivi en santé au travail : organisation et gestion du Service de Santé au Travail et mises en œuvre d’actions de prévention.

Pour l’accomplissement de nos missions, nous sommes amenés à collecter différentes catégories de données personnelles :

  • Informations administratives et de contacts : nom, prénom, lieu et date de naissance, sexe, âge, adresse postale et électronique professionnelle et/ou personnelle, numéro de téléphone professionnel et/ou personnel,
  • Informations relatives à la Situation personnelle et familiale : situation familiale, situation maritale, nombre d’enfants, nombre d’enfants à charge, médecin traitant,
  • Informations relatives à l’emploi, à la formation et au poste de travail : niveau d’étude, diplômes, nom de l’employeur, conditions de travail, emploi déclaré par l’employeur, code PCS de l’emploi, type de contrat, date de début de contrat, date de fin de contrat, date de début de poste, date de fin de poste, expositions déclarées par l’employeur, Numéro d’Inscription au Répertoire des personnes physiques (numéro de sécurité sociale), historique des arrêts de travail et absences,
  • Données d’identification et d’authentification lors de l’utilisation des services en ligne proposés par Intermétra : adresse IP, logs techniques, traces informatiques, cookies de navigation,
  • Données relatives à vos demandes d’offres et de contenus proposés par Intermétra : données relatives aux interactions avec nos adhérents et leurs salariés dans nos centres médicaux ou sur le milieu de travail (interventions, enquêtes, participations à des ateliers et actions collectives de prévention), sur nos sites Internet, sur les réseaux sociaux, lors des entretiens et conversations téléphoniques avec nos équipes, dans les courriers électroniques et les publications du service.

Nous sommes également amenés à collecter des données sensibles :

  • Informations médicales en application de la législation en vigueur, dans le respect du secret médical (professionnels de santé) ou du secret professionnel (tous les salariés du service) : données de santé nécessaires à la prise en charge en santé au travail des salariés, notamment le type de suivi individuel de l’état de santé déterminé par le médecin du travail, les informations médicales nécessaires à la détermination de l’aptitude ou au constat d’une inaptitude, conclusions d’examens complémentaires, diagnostics médicaux, antécédents médicaux personnels, des parents et de la fratrie,
  • Informations sociales des salariés pris en charge : statut matrimonial, situation familiale et personnelle, difficultés économiques, problème de logement, situation de handicap, données nécessaires à la lutte contre le surendettement, autres données sociales selon la nature de la demande du salarié.

Les données que nous utilisons sont en principe recueillies directement auprès des personnes concernées (adhérents, salariés suivis, fournisseurs). Par exception, certaines données sont obtenues indirectement :

  • certaines données d’informations administratives et d’identification des salariés dont Intermétra doit assurer la prise en charge ou des données relatives à leur situation professionnelle peuvent être recueillies auprès de leurs employeurs (adhérents d’Intermétra) ;
  • Les données relatives à l’embauche des salariés pris en charge ou à prendre en charge par le Intermétra nous sont automatiquement transmises par la CGSS Réunion en application de la réglementation en vigueur en matière de déclaration préalable à l’embauche, ou par les employeurs.

VII - Les destinataires des données personnelles

Afin d’accomplir les finalités précitées, nous transmettons les données personnelles recueillies uniquement :

  • aux personnels de notre service, dûment habilités selon la finalité du traitement poursuivi,
  • aux professionnels de santé en charge du Dossier Médical en Santé au Travail (DMST),
  • à nos prestataires de services et sous-traitants réalisant des prestations pour notre compte,
  • à nos partenaires dans le cadre d’enquêtes et d’études réalisées par notre service. Les données traitées étant alors agrégées en statistiques anonymisées,
  • aux administrations, organismes publics, autorités judiciaires sur demande et dans la limite de ce qui est permis par la réglementation.

Il est à noter que nous n’effectuons aucune transmission externe de données sensibles – médicales ou sociales – recueillies par nos professionnels habilités sauf exception légale ou réglementaire :

  • transmission directe du dossier médical au salarié concerné ou au médecin de son choix, ainsi qu’à ses ayants droits dans les cas légalement prévus,
  • transmission du dossier médical au médecin inspecteur du travail s’il en fait la demande,
  • informations sociales à la demande de nos partenaires lorsque ces derniers ont été saisis directement par le salarié suivi dans le cadre de sa prise en charge sociale,
  • communications d’éléments médicaux et/ou sociaux aux autorités judiciaires, sur demande, et dans la limite de ce qui est permis par la réglementation.

VIII - Transfert des données hors de l'Union européenne

Intermétra ne transfère pas de données personnelles en dehors de l’Union européenne.

IX - Les délais de conservation des données personnelles

Intermétra conserve les données personnelles recueillies pour la durée nécessaire à l’accomplissement de ses obligations légales et réglementaires ou pour une autre durée définie en considération de la poursuite de ses intérêts légitimes, de l’exécution de ses engagements, du suivi et de la traçabilité des actions de prévention, du suivi de l’exécution du contrat d’adhésion, de ses contraintes opérationnelles et des réponses aux demandes des autorités judiciaires ou administratives.
S’agissant des contacts des adhérents, la majorité des informations sont conservées pendant la durée du contrat d’adhésion et pendant 10 ans après la fin de la relation contractuelle.
S’agissant des salariés suivis, les informations concernant leur prise en charge médicale sont conservées, conformément à la législation en vigueur : 30 ans pour les salariés n’étant exposés à aucun risque professionnel et 50 ans pour les salariés exposés à des risques professionnels à compter de la fin de la prise en charge par Intermétra. Les informations pour la prise en charge sociale des salariés surveillés sont conservées 2 ans à compter de la fin de la prise en charge sociale. S’agissant des contacts des fournisseurs, prestataires et sous-traitants d’Intermétra, la majorité des informations sont conservées pendant la durée de notre relation contractuelle et pendant 5 ans après la fin du contrat.

X - Les droits des personnes concernées et leur exercice

En application de la réglementation en vigueur, les personnes dont nous recueillons les données ont les droits suivants :
  • droit d’information et d’accès : droit d’obtenir des informations concernant les traitements des données personnelles les concernant ainsi qu’une copie de ces données personnelles,
  • droit à la limitation du traitement : toute personne peut demander que le traitement de ses données personnelles soit limité uniquement à ce qui est strictement nécessaire,
  • droit de vérification et de rectification : toute personne peut demander la modification de ses données personnelles lorsqu’elles sont inexactes ou incomplètes,
  • droit à l’effacement : à l’exception de certaines données concernant la traçabilité du suivi et des actions en santé au travail, il est possible de nous demander l’effacement des données personnelles dans les limites et conditions réglementaires en vigueur,
  • droit d’opposition : à l’exception des données concernant la traçabilité du suivi et des actions en santé au travail, et sauf autre exception réglementaire, les personnes concernées peuvent s’opposer au traitement de leurs données personnelles pour des motifs liés à leur situation particulière,
  • droit au consentement : lorsqu’un consentement est nécessaire pour la mise en œuvre par le Intermétra d’un traitement des données personnelles, nous procédons à l’information des personnes concernées et demandons leur consentement,
  • droit de retirer un consentement : en cas de mise en œuvre d’un traitement de données personnelles nécessitant un consentement de la personne concernée, elle a le droit de retirer ce consentement à tout moment, sous réserve de la réglementation en vigueur,
  • droit de définir des directives relatives à la conservation, l’effacement ou la communication des données personnelles, applicables après le décès, dans la limite de ce qui est permis par la législation en vigueur,
  • droit à la portabilité des données : lorsqu’il est applicable, il s’agit du droit, pour les personnes concernées, de demander que les données personnelles qu’elles ont fournies leur soient rendues ou, lorsque cela est possible techniquement, de les transférer directement à un tiers.
Les droits listés ci-dessus peuvent être exercés en contactant notre DPO comme indiqué ci-après.
Il est à noter qu’Intermétra n’effectue pas de prospection commerciale ni de profilage à des fins commerciales.
Conformément à la réglementation applicable, vous êtes également en droit d’introduire une réclamation auprès de la CNIL (Commission nationale de l’informatique et des libertés), autorité de contrôle compétente en France.

XI - Le Délégué à la Protection des Données (DPD) / Date Protection Officer (DPO)

Afin de préserver la vie privée et la protection des données à caractère personnel de tous, Intermétra a désigné un Délégué à la Protection des Données/Data Protection Officer (DPD/DPO). Le DPO est un gage de confiance, spécialisé dans la protection des données personnelles. Il est chargé de veiller à la préservation de la vie privée et à la bonne application des règles de protection des données personnelles.
Il est l’interlocuteur privilégié de la Commission Nationale de l’Informatique et des Libertés (CNIL), et de toutes personnes concernées par une collecte ou un traitement de données à caractère personnel.
Pour contacter le DPO : écrire à Intermétra – A l’attention du DPO – Résidence Halley, 4 rue Camille Vergoz – CS 41105 97404 SAINT DENIS CEDEX ou par mail à informatiqueetlibertes@intermetra.asso.fr.
Le DPO tient le registre des activités de traitements de l’association qu’il met, le cas échéant, à la disposition de la CNIL.

XII - Modifications des présents engagements

La présente politique de protection des données à caractère personnel témoigne des engagements mis en œuvre par l’association Intermétra et de l’ensemble de ses collaborateurs dans le cadre de ses activités quotidiennes pour une utilisation responsable des données personnelles. Cette politique est susceptible d’être mise à jour pour prendre en compte les évolutions législatives et réglementaires, et tout changement dans l’organisation d’Intermétra ou dans les offres et services proposés.
Nous vous invitons à consulter régulièrement notre site internet afin de prendre connaissance de sa dernière version en vigueur.
Nos adhérents, leurs salariés, ainsi que nos fournisseurs et prestataires, seront informés, par nos modes de communication habituels, de toute modification importante.

XIII - Formulaires

Des formulaires sont à votre disposition. Vous pouvez les télécharger et les envoyer à informatiqueetlibertes@intermetra.asso.fr.

Télécharger le formulaire droits d'accès
Télécharger le formulaire droit de l'effacement
Télécharger le formulaire droit de rectification
Télécharger le formulaire retrait de consentement Salariés Adhérents

XIV - Cadre légal CNIL et RGPD

Les informations recueillies font l’objet d’un traitement informatique destiné au traitement de votre demande. Le destinataire des données est l’éditeur du site. Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004 et en 2018 par le RGPD (Règlement Général de Protection de Données), vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à l’éditeur du site. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

XV - Utilisation de Cookies

Un ou plusieurs cookies (petits fichiers textes) peuvent éventuellement s’installer sur le disque dur de votre ordinateur lors de votre visite sur notre site Internet. Ces cookies permettront notamment d’assurer le bon fonctionnement des chaînes de navigation globale, et de personnaliser votre accès à tout ou partie de notre site Internet. Vous avez la possibilité de supprimer les cookies installés lors de votre visite sur notre site Internet à l’aide de la barre d’outils de votre navigateur. La suppression des cookies devra intervenir une fois votre navigation sur le site terminée. Vous êtes informé du fait que l’usage de notre site Internet, ainsi que les services qui y sont proposés, pourraient être perturbés, voire empêchés. La durée de rétentions du consentement pour les cookies à une limite de validité de 13 mois.
Le consentement obligatoire et explicite de l’internaute pour tout service utilisé sur le site web tels que Google Analytics, Adsense, Adwords, partages sur les réseaux sociaux, etc. n’a pas de limite de validité.

XVI - Formulaires et données personnelles

Les formulaires de ce site qui demandent des informations personnelles de l’internaute (immatriculation, localisation, email, numéro de téléphone, date de naissance, etc… ) et qui les stockent en base de données, réclament le consentement explicite de celui-ci sans limite de durée de validité. Les données récoltées par ces formulaires ont une limite de durée d’un an maximum après la fin de la relation entre la structure et l’internaute. Après ces délais, ces données sont effacées du site.

XVII - Lettres d'informations

L’inscription aux listes de diffusion pour la réception des lettres d’information est soumise aux mêmes règles de consentement explicite. Les données sont conservées jusqu’au désabonnement de l’utilisateur. Un lien de désabonnement est présent dans toutes les lettres d’informations envoyées. Dans le souci de mieux servir nos abonnés, les statistiques de suivi de campagne permettent de savoir si tel ou tel abonné à ouvert ou cliqué sur tel ou tel lien.

XVIII - Accès et portabilité des données personnelles

Vous pouvez, à tout moment, au travers de notre formulaire de contact, demander la consultation et suppression de vos données soumises. Un export de ces données au format excel vous sera remis.