Politique de confidentialité

Preambule

La présente politique de confidentialité (ci-après la « Politique de confidentialité ») a pour objet de définir et d’expliquer les traitements de données à caractère personnel mis en œuvre dans le cadre de l’expérimentation du suivi individuel de l’état de santé des salariés à domicile par l’Association Paritaire de Préfiguration de l’Organisme de Gestion National de la Prévention et de la Santé au Travail (APPOGN) sur mandat des particuliers employeurs, tel que prévu par accord partiaire du 24 novembre 2016 (ci-après l’ « Expérimentation »).

Conformément à l’article 2.1 du Protocole paritaire du 16 octobre 2018, le territoire concerné par l'Expérimentation est le département du Cher. L’Expérimentation dure 12 mois. Elle débute par une période de mise en œuvre de 9 mois, suivie d’une période de bilan de 3 mois. Le mandat conclu entre le particulier employeur et l’APPOGN a une durée de validité de 3 ans.

Dans le cadre de la Politique de confidentialité, la notion de « donnée à caractère personnel », doit être entendue comme toute donnée permettant d’identifier, de manière directe ou indirecte, des personnes physiques, au sens de l’article 4. 1) du RGPD (ci-après les « Données Personnelles »).

La notion de « traitement » doit être entendue au sens de l’article 4.2) du RGPD, comme toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de Données Personnelles, telle que la collecte, l’enregistrement.

Les traitements de Données Personnelles sont effectués conformément à la réglementation nationale et européenne en vigueur, et notamment la loi Informatique et Libertés (LIL) du 6 janvier 1978, et le Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016.

La Politique de confidentialité comprend l’ensemble des informations devant être délivrées aux personnes concernées, tel que prévu aux articles 13 et 14 du RGPD.

Elle est disponible sur le site www.sante-travail-emploi-domicile.org et peut être adressée par courrier ou courriel, aux personnes concernées qui en font la demande auprès du Délégué à la Protection des Données de l’APPOGN (cf. point 2 de la présente Politique de confidentialité).

Article 1. identite et coordonnees du responsable du traitement

Le Responsable du traitement est l’Association Paritaire de Préfiguration de l’Organisme de Gestion National de la Prévention et de la Santé au Travail (APPOGN), sis au 79 rue de Monceau, 75008 Paris, France.

Article 2. delegue a la protection des donnees

Conformément aux dispositions de l’article 37 du RGPD, l’APPOGN a désigné un Délégué à la Protection des Données (DPD), en charge de veiller notamment, à la conformité des traitements de données mis en œuvre et à l’encadrement des relations avec les sous-traitants.

Pour toutes demandes relatives à leurs Données Personnelles, les personnes concernées peuvent contacter le DPD de l’APPOGN :

  • par courriel, à l’adresse suivante : dpd@sante-travail-emploi-domicile.org ;
  • par courrier, à l’adresse postale suivante : APPOGN, A l’attention du Délégué à la Protection des Données, 79 rue de Monceau, 75008 Paris.

Article 3. personnes concernees et source des donnees

Dans le cadre de l’expérimentation menée, l’APPOGN peut être amenée à collecter et à traiter les Données Personnelles :

Des particuliers employeurs entrant dans le champ territorial de l’Expérimentation

Sont concernés spécifiquement notamment :

  • les particuliers employeurs prenant contact avec l’APPOGN ou ses partenaires pour toute demande relative à l’Expérimentation ;
  • les particuliers employeurs ayant donné mandat à l’APPOGN via le formulaire papier ;
  • les particuliers employeurs s’étant inscrits sur le site internet dédié au mandatement, www.sante-travail-emploi-domicile.org;
  • les particuliers employeurs ayant donné mandat sur le site internet dédié au mandatement www.sante-travail-emploi-domicile.org (mandat donné au moyen d’une signature électronique).

Les Données Personnelles des particuliers employeurs sont collectées directement auprès d’eux par l’APPOGN.

Des salariés du particulier employeur (ci-après les « Salariés ») entrant dans le champ territorial de l’expérimentation

Sont concernés spécifiquement :

  • les Salariés prenant contact avec l’APPOGN ou ses partenaires pour toute demande relative à l’expérimentation ;
  • les Salariés, dont les particuliers employeurs ont donné mandat à l’APPOGN via le formulaire papier ;
  • les Salariés dont les particuliers employeurs ont donné mandat à l’APPOGN sur le site internet dédié au mandatement (mandat donné au moyen d’une signature électronique) ;
  • les Salariés dont les particuliers employeurs ont commencé à compléter le mandat sur le site internet dédié au mandatement sans avoir apposé leur signature électronique sur le document, étant entendu, que la durée de conservation des Données Personnelles, dans ce cas particulier, sera réduite si le mandat n’est pas donné (cf. point 5 de la Politique de confidentialité).

Les Données Personnelles des Salariés sont collectées, indirectement par l’APPOGN. Elles sont communiquées à l’APPOGN par les particuliers employeurs des Salariés concernés.

En vue de s’assurer du respect des droits de ces personnes, l’APPOGN :

  • vérifie que les particuliers employeurs ont recueilli le consentement de leur(s) Salarié(s) pour le traitement de leurs Données Personnelles ;
  • fournit aux particuliers employeurs, les moyens permettant de délivrer à leur(s) Salariés une information complète quant aux traitements de Données Personnelles mis en œuvre dans le cadre du mandat, pour que le consentement recueilli soit éclairé.

L’APPOGN dispose par ailleurs d’un intérêt légitime à traiter les Données Personnelles des Salariés dont les particuliers employeurs ont donné mandat (cf. point 8 de la Politique de confidentialité).

Article 4. donnees personnelles collectees et traitees

La nature des Données Personnelles collectées est fonction du statut de la personne concernée.

Dans tous les formulaires papiers ou numériques fournis par l’APPOGN , les champs signalés par le symbole * doivent obligatoirement être complétés et les Données Personnelles obligatoirement fournies pour l’accès aux services.

Notamment s’agissant du mandat, il ne saurait produire aucun effet, ni engager l’APPOGN si les Données Personnelles mentionnées comme obligatoires ne sont pas transmises, sont incomplètes ou erronées. L’APPOGN ne peut mettre en œuvre les formalités pour le suivi individuel de l’état de santé du salarié en lieu et place du particulier employeur, si elle ne dispose pas des informations demandées ou ne détient pas des Données Personnelles complètes et exactes.

Sont collectées par le biais du mandat ou dans le cadre de l’expérimentation, les Données Personnelles suivantes :

Particuliers employeurs :

  • Identité : civilité*, nom*, prénom* ;
  • Contact : adresse postale*, courriel, numéro de téléphone* (portable ou fixe) ;
  • Identifiant : numéro employeur Cesu, Pajemploi ou Urssaf*.

En outre, pour les particuliers employeurs donnant mandat sur le site dédié au mandatement, leur signature électronique est enregistrée.

Salariés :

  • Identité : civilité*, nom*, prénom* ;
  • Etat civil : date de naissance* ;
  • Contact : adresse postale*, courriel, numéro de téléphone portable* (ou fixe à défaut) ;
  • Vie professionnelle : emploi exercé pour le particulier employeur mandant*, date de prise de poste.

Les Données Personnelles des Salariés, ci-dessus mentionnées, sont fournies à l’APPOGN par le particulier employeur.

En outre l’APPOGN collecte auprès du Service de Santé au Travail Interentreprise dont dépend le Salarié, des informations relatives au suivi individuel de l’état de santé mis en œuvre : date de convocation aux visites, présence aux visites, avis rendus à l’issue des visites ...

Aucune information médicale n’est transmise par les SSTI à l’APPOGN, de sorte que celle-ci ne dispose d’aucune information relative à l’état de santé des salariés.

En outre, pour obtenir le défraiement prévu dans le cadre de l’Expérimentation pour les heures consacrées à la médecine du travail et le cas échéant les déplacements, les Salariés doivent fournir à l’IRCEM Prévoyance un Relevé d’Identité Bancaire (RIB). L’IRCEM prévoyance peut utiliser les données bancaires déjà enregistrées par les salariés sur leur compte IRCEM. La non-fourniture de ce document et des données d’ordre économique et financier qu’il comprend, empêche le salarié d’obtenir le remboursement de frais par l’IRCEM Prévoyance.

L’APPOGN n’est pas destinataire des données d’ordre économique et financier du Salarié.

Pour les particuliers employeurs et Salariés consentant à participer au bilan de l’Expérimentation, d’autres Données Personnelles pourront être collectées et notamment des données relatives à leur vie personnelle ou professionnelle.

Enfin, des cookies sont susceptibles d’être déposés sur le site santé-travail-emploi-domicile, pouvant conduire notamment, avec leur consentement, à l’enregistrement des données de connexion des particuliers employeurs. Pour plus d’information à ce sujet, les personnes concernées peuvent consulter la Politique de gestion des cookies disponible sur le site santé-travail-emploi-domicile.

Article 5. duree de conservation

Les Données Personnelles des particuliers employeurs et Salariés ayant contacté l’APPOGN ou ses partenaires sont conservées pendant une durée de 3 ans à compter du dernier contact par la personne concernée, conformément aux préconisations de la CNIL.

Les Données Personnelles des particuliers employeurs ayant donné mandat et des Salariés participant à l’expérimentation, sont conservées pendant toute la durée du mandat (3 ans), en base active, puis pour une durée de 5 ans à compter de la date de fin du mandat en base intermédiaire (accès et traitement restreints). Cette durée de conservation au-delà de la date de validité du mandat se justifie par les délais de prescription en matière civile.

Les Données Personnelles des particuliers employeurs inscrits sur le site de mandatement mais n’ayant pas donné mandat à l’APPOGN sont conservées 3 mois à compter de l’inscription.

Les Données Personnelles des Salariés renseignées sur le site dédié au mandatement, sans qu’un mandat signé électroniquement n’ait été délivré, sont conservées 3 mois à compter de la date de création du formulaire en ligne. Passé ce délai, les données sont supprimées définitivement du site internet dédié au mandatement.

Article 6. finalités de traitement

Les traitements de Données Personnelles sont effectués pour l’une ou plusieurs des finalités suivantes :

1 - Collecter les mandats des particuliers employeurs permettant la délégation à l’APPOGN des formalités liées au suivi individuel de l’état de santé des salariés à domicile.

2 - Constituer une base de données des particuliers employeurs mandants et de leurs Salariés en vue de mettre en œuvre les démarches administratives qui incombent à l’APPOGN en vertu du mandat.

3 - Mettre en œuvre les formalités liées au suivi individuel de l’état de santé des salariés à domicile impliquant notamment :

  • la transmission des données collectées à l’IRCEM Prévoyance, pour la vérification de l’exactitude des Données Personnelles des Salariés et le cas échéant leur correction, le défraiement des salariés et la déclaration des sommes versées aux organismes de recouvrement des cotisations.
    La fiabilisation des Données Personnelles a pour but d’assurer l’exactitude de la base de données nouvellement créée, conformément aux exigences de la réglementation en vigueur s’agissant de la qualité des données traitées.
  • la transmission aux Services de Santé au Travail Interprofessionnel (SSTI) concernés, de la liste des salariés à domicile pour lesquels mandat a été donné en vue de leur inscription au SSTI et de la mise en œuvre par les SSTI des formalités liées au suivi médical (convocation aux visites, envoi des avis d’aptitude ou d’inaptitude ...).
  • l’information des particuliers employeurs s’agissant des formalités mises en œuvre en leur nom et pour leur compte par l’APPOGN et des étapes du suivi individuel de leur(s) Salarié(s).

4 - Répondre aux questions relatives à l’Expérimentation des personnes concernées (par téléphone ou courriel).

5 - Adresser par courrier ou courriel aux participants des informations non commerciales sur l’Expérimentation et son bilan.

6 - Permettre à la Fédération des Particuliers Employeurs de France (FEPEM) d’adresser par courrier ou courriel, aux particuliers employeurs, s’étant volontairement inscrits, des informations sur la réglementation applicable à l’emploi à domicile entre particuliers.

7 - Réaliser des bilans quantitatifs et qualitatifs de l’Expérimentation par le biais d’entretiens physiques ou d’échanges par téléphone, courrier ou courriel, avec les participants à l’Expérimentation (particuliers employeurs, Salariés, professionnels ayant contribués à l’Expérimentation) ayant accepté spécifiquement de participer aux études.

Article 7. Destinataires des données

Les services internes de l’APPOGN sont les destinataires principaux des Données Personnelles collectées.

Dans la limite de leurs besoins respectifs dans le cadre de l’Expérimentation et son évaluation, en fonction des finalités poursuivies et s’il constitue le fondement juridique du traitement, sous réserve de l’obtention préalable du consentement des personnes concernées, les autres destinataires des Données Personnelles collectées sont :

  • Le partenaire assurant pour l’APPOGN la collecte des mandats, la réalisation et la maintenance du site sante-travail-emploi-domicile.fr et la réponse, par téléphone, courriel ou courrier, aux demandes d’information sur le dispositif.
  • le partenaire en charge :
    • de la création et de la tenue à jour de la base de données des particuliers employeurs et Salariés participant à l’expérimentation.
    • des opérations sur la base de données et notamment des transferts des Données Personnelles aux autres partenaires en vue de permettre le suivi individuel de l’état de santé des Salariés et l’information des particuliers employeurs quant aux formalités effectuées.
  • l’IRCEM Prévoyance en charge de la vérification des Données Personnelles des Salariés dont les particuliers employeurs ont donné mandat, du défraiement des Salariés et de la déclaration des sommes versées aux organismes de recouvrement des cotisations.
    L’IRCEM Prévoyance intervient (i) en qualité de responsable conjoint du traitement pour la fiabilisation des Données Personnelles des Salariés et les déclarations aux organismes de recouvrement des cotisations et (ii) en qualité de responsable du traitement pour le défraiement des Salariés.
  • la SSTI intervenant dans le cadre de l’Expérimentation : APST 18 pour le département du Cher.
    Les SSTI interviennent (i) en qualité de responsables conjoints de traitement s’agissant des traitements des Données Personnelles des salariés mis en œuvre pour les finalités prévues à l’article 6 et (ii) en qualité de responsable du traitement pour tout ce qui a trait à la santé des salariés ;
  • La Fédération des Particuliers Employeurs de France (FEPEM) s’agissant des Données Personnelles des particuliers employeurs souhaitant recevoir de l’information sur la réglementation applicable à l’emploi à domicile entre particuliers (consentement spécifique recueilli).
    La FEPEM agit en qualité de responsable du traitement pour les traitements mis en œuvre pour cette finalité.
  • le partenaire en charge d’établir le bilan de l’expérimentation, si les particuliers employeurs et Salariés acceptent de participer aux études non anonymes, menées pour celui-ci (consentement spécifique recueilli).

L’APPOGN ne communique à chaque partenaire que les Données Personnelles strictement nécessaires aux traitements de données spécifiques qui sont mis en œuvre par chacun, conformément à la règlementation applicable.

L’APPOGN veille au respect de la réglementation relative à la protection des données par ses partenaires, et le cas échéant par leurs sous-traitants ultérieurs, et conclut avec chacun, un acte juridique formalisant les engagements de chacune des parties s’agissant des traitements de Données Personnelles mis en œuvre, conformément aux dispositions des articles 26 ou 28 du RGPD.

Article 8. bases legales de traitement

- Traitements des Données Personnelles des particuliers employeurs

Les traitements des données des particuliers employeurs visant à atteindre les finalités 1 à 3 du point 6 de la Politique de confidentialité, sont nécessaires à l’exécution du mandat (contrat) conclu entre l’APPOGN et le particulier employeur. Ils ont en conséquence pour fondement juridique une obligation contractuelle (article 6, b) du RGPD).

Les traitements de données n’étant pas obligatoires pour la mise en œuvre du mandat (traitements réalisés pour les finalités 4 à 7 du point 6 de la Politique de confidentialité), sont effectués sur le fondement du consentement des particuliers employeurs, recherché spécifiquement pour chaque finalité (article 6, a) du RGPD).

- Traitements des Données Personnelles des Salariés

Le traitement des Données Personnelles des Salariés sont effectués sur la base de leur consentement.

Pour tous les traitements nécessaires à l’exécution du mandat (finalité 1 à 3 du point 6 de la Politique de confidentialité), il appartient aux particuliers employeurs de recueillir le consentement de leur(s) Salarié(s) en s’assurant que celui-ci soit libre, spécifique et éclairé conformément aux exigences de l’article 4, point 11) du RGPD notamment au moyen des documents mis à leur disposition par l’APPOGN et d’en conserver la preuve.

Par ailleurs, les traitements des données, mis en œuvre pour l’exécution du mandat, sont nécessaires aux fins des intérêts légitimes de l’APPOGN et du particulier employeur mandant. L’APPOGN ne peut mettre en œuvre les obligations qui lui incombent dans le cadre du mandat, sans effectuer les traitements de données susmentionnés. Ces traitements sont indispensables pour assurer le suivi individuel de l’état de santé des Salariés, tel que cela est prévu par la loi et la convention collective des salariés du particulier employeur, dans le cadre de l’Expérimentation.

Pour les finalités 4, 5 et 7, le consentement spécifique des Salariés est recueilli par l’APPOGN (article 6. a) du RGPD).

Article 9. SECURITE

L’APPOGN prend les mesures technologiques et organisationnelles nécessaires et appropriées pour assurer la sécurité des Données Personnelles qu’elle collecte. L’APPOGN s’assure que ses partenaires mettent en œuvre les mesures et procédures adéquates et proportionnées, propres à assurer la confidentialité, la sécurité et l’intégrité des Données Personnelles qu’ils traitent pour le compte de l’APPOGN.

L’APPOGN prend notamment les engagements suivants :

  • les Données Personnelles sont hébergées en France, à l’exclusion de tout transfert vers des pays situés hors de l’Union européenne ;
  • le site internet dédié au mandatement est sécurisé et accessible en https ;
  • les mandats complétés en ligne sont stockés dans un coffre numérique et des mesures de sécurité physique sont prises pour la conservation des mandats papiers ;
  • les transferts de Données Personnelles entre l’APPOGN et ses partenaires ainsi que ceux opérés entre partenaires, sont effectués via des serveurs FTP sécurisés et des mesures de chiffrement des Données Personnelles sont mises en œuvre.

Article 10. droits des personnes concernees et exercice d’un droit

Vis-à-vis de leurs Données Personnelles, les personnes concernées disposent d’un :

  • droit d’accès, c’est-à-dire le droit de recevoir une copie des Données Personnelles en possession de l’APPOGN ;
  • droit de rectification, c’est-à-dire le droit de demander la modification des Données Personnelles erronées, incomplètes ou obsolètes ;
  • droit à l’effacement, c’est-à-dire le droit de demander l’effacement des Données Personnelles en possession de l’APPOGN. Le responsable du traitement est susceptible de conserver certaines informations lorsque la loi l’impose ou lorsqu’il dispose d’un motif légitime de le faire ;
  • droit à la limitation, c’est-à-dire le droit de demander la limitation des traitements effectués sur les Données Personnelles sous réserve que la personne concernée justifie de l’un des motifs prévus par l’article 18 du RGPD 1 ;
    • droit à la portabilité, c’est-à-dire le droit de recevoir les Données Personnelles collectées dans un format structuré, couramment utilisé et lisible par la machine et le droit de transmettre ces Données Personnelles à un autre responsable du traitement ;
  • droit d’opposition, c’est-à-dire le droit de s’opposer à tout moment pour des raisons tenant à la situation particulière de la personne concernée, aux traitements des Données Personnelles ;
  • droit de définir des directives relatives au sort de ses Données Personnelles après sa mort ;
  • droit d’introduire une réclamation auprès de l’autorité de contrôle compétente, à savoir la Commission Nationale de l’Informatique et des Libertés (CNIL) ou d’obtenir réparation auprès des tribunaux compétents si la personne concernée considère que l’APPOGN n’a pas respecté ses droits.

Pour l’exercice de l’un des droits susvisés, la personne concernée adresse au Délégué à la Protection des Données (DPD) de l’APPOGN, un courrier ou courriel précisant l’objet de sa demande, et accompagné d’un justificatif d’identité qui comporte sa signature.

Les coordonnées du DPD sont celles mentionnées au point 3 de la Politique de confidentialité.

Article 11. modification de la presente politique de confidentialite

La Politique de confidentialité peut être modifiée.

Une information et/ou une demande d’acceptation sera transmise aux personnes concernées si cette mesure apparait nécessaire eu égard aux modifications opérées.

Il est conseillé aux personnes concernées de consulter régulièrement la Politique de Confidentialité pour prendre connaissance des éventuelles modifications ou mises à jour apportées, sur le site www.sante-travail-emploi-domicile.org ou en demandant un exemplaire auprès du Délégué à la Protection des Données de l’APPOGN.

1 La personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement lorsque l'un des éléments suivants s’applique :
a) l'exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données à caractère personnel ;
b) le traitement est illicite et la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation ;
c) le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice ;
d) la personne concernée s'est opposée au traitement en vertu de l'article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

Retour à l'accueil