Politique de Confidentialité

Qui est Paladin ?

Paladin est une plateforme offrant des services de prévention en matière de santé au travail qui édite un logiciel à destination des Service de Prévention et de Santé au Travail Interentreprises (SPSTI) de leurs adhérents et de leurs collaborateurs.

Dans ce cadre Paladin sera amené à collecter et traiter des données à caractère personnel qui sont nécessaires à l'accomplissement des missions de ses clients prévues à l'article L.4622-2 du Code du travail : « Les services de santé au travail ont pour mission exclusive d'éviter toute altération de la santé des travailleurs du fait de leur travail. »

Paladin responsable des traitements de vos données personnelles ?

Pour l'ensemble des traitements de données nécessaires à la réalisation des missions de prévention et santé au travail incombant aux SPSTI utilisateur de la plateforme, Paladin agit sous-traitant au sens du Règlement Général sur la Protection des Données (RGPD), c'est à dire que les services fournis par Paladin comprennent le traitement de certaines données personnelles relatives à des personnes au nom et pour le compte du Responsable de traitement, le SPSTI.

Pour certains traitements de données personnelles, visant notamment à personnaliser les interfaces de gestion et du contenu proposé, Paladin agit comme responsable de traitement.

Principes généraux du RGPD : quelles sont les obligations du responsable des traitements ?

Selon le RGPD, le traitement des données personnelles de santé est autorisé et ce, sans consentement préalable de l'utilisateur s'il poursuit notamment une finalité d'appréciation médicale : soins, diagnostics et médecine préventive. C'est le cas de la médecine du travail.

Conformément aux dispositions du RGPD, la collecte et le traitement de vos données personnelles respectent les principes suivants :

Licéité, loyauté et transparence : la collecte et le traitement des données personnelles ne peuvent reposer que sur une base légale définie au préalable (exécution d'un contrat, obligation légale, consentement, intérêt légitime, préservation des intérêts vitaux)
Finalités limitées : la collecte et le traitement des données personnelles sont réalisés pour répondre à un ou plusieurs objectifs définis
Minimisation de la collecte et du traitement de données : seules les données strictement nécessaires à la bonne exécution des objectifs poursuivis sont collectées
Conservation des données limitée dans le temps : le responsable de traitement est dans l'obligation de définir des durées de conservation concernant les données personnelles traitée
Intégrité et confidentialité des données collectées et traitées : le responsable de traitement s'engage à garantir l'intégrité et la confidentialité des données collectées.

Ce document "Politique de confidentialité" a pour objectif de vous fournir une information, la plus simple et claire possible sur les traitements de données à caractère personnel (vos données) réalisés par Paladin dans le cadre de la mise à disposition de la plateforme au SPSTI et aux utilisateurs (adhérents du SPSTI et collaborateurs des adhérents).

Quels traitements de données personnelles sur Paladin ?

Lorsque vous utilisez Paladin, vos données personnelles font l'objet de traitements pour des finalités déterminées et sur différents fondements juridiques :

Gestion du suivi santé-travail des collaborateurs dans le cadre de la gestion de la relation associative entre l'entreprise adhérente au SPSTI (en général l'employeur) et le SPST;
Gestion du site internet dans l'intérêt légitime de Paladin ;
Gestion de votre Espace adhérent dans le cadre de la gestion de la relation associative entre l'employeur et le SPST ;
Gestion de vos demandes de droits et d'information selon les obligations légales qui s'imposent à Paladin.

Chaque collaborateur est amené à bénéficier d'un suivi individuel de son état de santé par un professionnel de santé. En fonction des risques professionnels particuliers auxquels le travailleur est exposé, le suivi sera renforcé, adapté ou simple.

Le dossier médical de santé au travail (DMST) retrace, dans le strict respect du secret professionnel, les informations relatives à vos rendez-vous santé-travail, à votre état de santé, aux postes occupés, aux expositions auxquelles vous êtes ou avez été soumis ainsi que les éventuels avis et propositions du Médecin du Service de santé au travail en matière d'aménagement du poste de travail, etc.

Pour chaque entreprise adhérente, une étude des conditions de travail pour un poste peut être effectuée. En cas d'identification indirecte du collaborateur ou par illustration, le consentement du collaborateur lui est spécifiquement demandé. Dans la mesure du possible, tout élément permettant l'identification du collaborateur suivi sera dissimulé.

Traitements de données ayant pour finalité la "Gestion du suivi des collaborateurs"

Responsable de traitement : SPSTI — Paladin agit comme sous-traitant

Finalités :

Gestion des collaborateur,
Gestion du dossier médical de santé au travail (DMST)
Etudes épidémiologiques

Données collectées :

Données d'identification nécessaires à l'enregistrement administratif : nom, prénom, date et lieu de naissance, adresse mail, numéro de téléphone, adresse postale, dossier médical, expositions, poste occupé, antécédents professionnels ;
Données professionnelles nécessaires à l'optimisation des conditions de travail : poste de travail occupé, secteur professionnel, conditions de travail, type de contrat, horaires de travail, date de début de contrat ;
Données de santé pour un suivi adapté : nom du médecin traitant, taille, poids, expositions, résultats des examens complémentaires, comptes-rendus de consultations et d'hospitalisations, ordonnances, recommandations d'aménagements professionnels, certificats médicaux, antécédents médicaux, allergies, etc. ;
Données familiales à des fins de prévention : situation maritale, nombre d'enfants, date de naissance des enfants, état de santé des enfants, antécédents médicaux familiaux ;
Données de gestion : date et heure des convocations, lieu du rendez-vous santé-travail, mode de rendez-vous (sur place ou téléconsultation).

Base légale

Durée de conservation :

40 ans, ou 10 ans après le décès de la personne concernée.
50 ans dans des situations particulières.

Focus : Comment sont collectées ces données à caractère personnel ?

Indirectement via les entreprises adhérentes de ses clients :

L'employeur adhérent communique uniquement les données nécessaires à la mise en place des convocations aux rendez-vous santé-travail et à l'établissement des factures.

Il s'agit des données suivantes : civilité, nom, prénom, date et lieu de naissance, adresse postale, adresse mail personnelle et professionnelle, numéro de téléphone personnel et professionnel, poste occupé, date d'embauche, expositions déclarées, type de contrat de travail, nombre d'heures de travail.

Directement par le collaborateur dans le cadre de son suivi santé-travail : Le collaborateur suivi fournit les données personnelles le concernant nécessaires au suivi santé-travail, dont des données de santé.

Traitements de données pour la gestion du site internet et de vos comptes adhérents

Responsable de traitement : Paladin

Finalités :

Gestion du site internet et formulaires de contact,
Mise à disposition des comptes adhérents,
Amélioration des services,
Contrôle de l'utilisation du site internet,
Sécurisation et lutte contre la fraude

Données collectées :

Données d'identification : identifiant de connexion, noms et prénoms des collaborateurs suivis ;
Données professionnelles : poste occupé, date d'entrée dans l'entreprise, expositions ;
Données relatives à la personne morale représentée : activité, adresse du Siège social, numéro SIRET ;
Données liées aux rendez-vous santé-travail des collaborateurs suivis : dates des anciens rendez-vous, nature des rendez-vous, notion d'absence;
Données de gestion : pour certaines opérations (exemples : déclaration annuelle d'effectif, ajout ou modification d'un collaborateur, etc.), date et heure de connexion, modifications apportées sur le compte;
Données de connexion

Base légale : obligation légale

Durée de conservation : 40 ans, ou 10 ans après le décès de la personne concernée. 50 ans dans des situations particulières.

Focus enquêtes statistiques

Paladin réalise également des enquêtes statistiques sur la fréquentation de son site. Ces statistiques anonymes permettent à Paladin de contrôler l'affluence et la popularité de ses publications, sans possibilité de vous identifier.

Responsable de traitement : Paladin

Finalités :

Suivi des demandes d'informations,
Gestion de la satisfaction,
Exercice de vos droits

Données collectées :

Identité
Coordonnées de contact professionnel (cf. minimisation des données)
Date de la demande
Contenu du message
Toute information communiquée ultérieurement lors de nos échanges (peut être des informations de santé, données sensibles)

Base légale : exécution du contrat

Durée de conservation : 5 ans après la fin de la relation contractuelle

Qui a accès à vos données ?

Les données du dossier médical en santé au travail (DMST)

Le dossier médical en santé au travail (DMST) est soumis au secret médical. Seuls les professionnels de santé au travail habilités (médecin du travail, infirmier(e) en santé au travail, collaborateur médecin) peuvent y accéder dans le cadre de leurs fonctions.

L'employeur n'a pas accès au DMST. Il ne dispose que des informations strictement nécessaires à la gestion administrative du suivi santé-travail de ses collaborateurs (dates de rendez-vous, aptitude, etc.).

Les données de l'entreprise adhérente

Les données relatives à l'entreprise adhérente sont accessibles par les personnes habilitées au sein du SPSTI dans le cadre de la gestion de la relation associative. L'accès est limité aux données nécessaires à l'exercice de leurs missions respectives.

L'entreprise adhérente peut accéder, via son espace adhérent, aux données la concernant ainsi qu'aux informations de suivi non médicales de ses collaborateurs.

Les tiers

Paladin ne communique pas vos données personnelles à des tiers à des fins commerciales ou publicitaires.

Des tiers peuvent être amenés à accéder à vos données dans les cas suivants :

Les sous-traitants de Paladin, dans le cadre strict des prestations qui leur sont confiées et sous réserve de garanties contractuelles appropriées ;
Les autorités compétentes, sur demande et dans le cadre de dispositions légales ou réglementaires ;
Les organismes publics, dans le cadre de leurs missions et conformément à la réglementation applicable.

Des clauses contractuelles sont mises en place avec chaque sous-traitant afin de garantir la sécurité et la confidentialité de vos données personnelles.

Quels sont vos droits au titre du RGPD ?

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :

a. Vos droits à l'information

Vous avez le droit d'être informé(e) de manière transparente sur la collecte et l'utilisation de vos données personnelles. Cette politique de confidentialité a pour objectif de répondre à cette obligation.

b. Droits d'accès

Vous pouvez demander à accéder aux données personnelles vous concernant qui sont traitées par Paladin ou le SPSTI.

c. Droit à la modification (Art. 16 RGPD)

Vous avez le droit de demander la rectification des données inexactes ou incomplètes vous concernant.

d. Droit à l'effacement (Art. 17 RGPD)

Vous pouvez demander l'effacement de vos données personnelles dans les conditions prévues par le RGPD. Ce droit est toutefois limité par les obligations légales de conservation applicables, notamment en matière de dossier médical de santé au travail.

e. Droit à la limitation (Art. 18 RGPD)

Vous pouvez demander la limitation du traitement de vos données dans certains cas prévus par le RGPD (contestation de l'exactitude des données, traitement illicite, etc.).

f. Droit d'opposition (Art. 21 RGPD)

Vous pouvez vous opposer au traitement de vos données personnelles lorsque le traitement est fondé sur l'intérêt légitime du responsable de traitement, sauf si celui-ci démontre l'existence de motifs légitimes et impérieux.

Exercice de vos droits

Pour exercer vos droits, vous pouvez contacter le Délégué à la Protection des Données (DPO) de Paladin par email à l'adresse suivante : dpo@paladin.fr

Votre demande sera traitée dans un délai d'un mois à compter de la réception de celle-ci. Ce délai pourra être prolongé de deux mois supplémentaires en fonction de la complexité et du nombre de demandes.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr

Comment est assurée la sécurité de vos données personnelles ?

Paladin met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément aux exigences du RGPD.

Ces mesures comprennent notamment :

Le chiffrement des données sensibles ;
La mise en place de contrôles d'accès stricts basés sur les rôles et les habilitations ;
La journalisation des accès et des actions réalisées sur les données ;
La réalisation régulière d'audits de sécurité et de tests d'intrusion ;
La sensibilisation et la formation du personnel aux bonnes pratiques de sécurité des données.

Paladin s'engage à une obligation de moyen concernant la sécurité des données personnelles. L'accès aux données est strictement limité aux personnes habilitées, dans le cadre de leurs fonctions et selon le principe du moindre privilège.

Y a-t-il des transferts de données vers des pays tiers hors Union européenne ?

Paladin privilégie l'hébergement et le traitement des données au sein de l'Espace Économique Européen (EEE), et plus spécifiquement en France.

Dans le cas où un transfert de données vers un pays tiers serait nécessaire, Paladin s'engage à mettre en place les garanties appropriées conformément au RGPD, notamment par le biais de clauses contractuelles types approuvées par la Commission européenne.

Les serveurs hébergeant les données sont situés en France, dans des centres de données certifiés et conformes aux normes de sécurité en vigueur.

Cookies

Lors de votre navigation sur le site Paladin, des cookies peuvent être déposés sur votre terminal (ordinateur, tablette, smartphone).

Cookies techniques : Ces cookies sont strictement nécessaires au fonctionnement du site et ne nécessitent pas votre consentement préalable. Ils permettent notamment de maintenir votre session de navigation et de mémoriser vos préférences d'affichage.

Cookies tiers : Certains cookies tiers peuvent être déposés à des fins de mesure d'audience et d'analyse statistique. Ces cookies ne sont déposés qu'avec votre consentement préalable.

Vous pouvez à tout moment gérer vos préférences en matière de cookies. Vous pouvez également paramétrer votre navigateur pour refuser tout ou partie des cookies. Veuillez noter que la désactivation de certains cookies peut affecter votre expérience de navigation.

Vos contacts

Pour toutes demandes d'informations concernant vos données et la présente politique, vous pouvez contacter le DPO par email à l'adresse suivante : dpo@paladin.fr

Modification et mise à jour

Cette politique sera mise à jour en fonction des évolutions de la réglementation et des pratiques internes. Il est recommandé de la consulter régulièrement afin de vous tenir informé des éventuelles modifications.