Retour
DPO SPST : quelles obligations RGPD pour les services de prévention et de santé au travail ?

DPO SPST : quelles obligations RGPD pour les services de prévention et de santé au travail ?

DPO SPST : obligations RGPD et intérêt d’un DPO externe pour les services de prévention et de santé au travail.

March 31, 2026

Les services de prévention et de santé au travail (SPST) traitent quotidiennement des données parmi les plus sensibles au sens du RGPD : données de santé, données relatives aux risques professionnels, données sociales, éléments liés à l’aptitude des salariés.

Dans ce contexte, la désignation d’un DPO SPST n’est pas une formalité administrative.
Elle constitue une obligation juridique structurante et un levier stratégique de sécurisation.

Les contrôles récents de la CNIL montrent une vigilance accrue à l’égard des organismes traitant des données de santé.

Pour sécuriser leur conformité, de nombreux SPST font aujourd’hui le choix d’un DPO externe spécialisé en santé au travail.

Le DPO est-il obligatoire pour un SPST ?

Oui, dans la quasi-totalité des cas.

Conformément à l’article 37 du RGPD, la désignation d’un DPO est obligatoire lorsque :

  • l’organisme exerce une mission d’intérêt public ;
  • les activités principales impliquent un traitement de données sensibles à grande échelle ;
  • il existe un suivi régulier et systématique des personnes concernées.

Un SPST interentreprises ou autonome traite :

  • des données de santé (article 9 RGPD),
  • des données relatives à l’aptitude professionnelle,
  • des données issues de visites médicales,
  • des informations liées aux risques psychosociaux,
  • des données administratives de salariés.

La désignation d’un DPO SPST est donc juridiquement incontournable.

Quelles données un SPST traite-t-il au regard du RGPD ?

Les SPST manipulent notamment :

  • données médicales individuelles,
  • dossiers médicaux en santé au travail,
  • données relatives aux expositions professionnelles,
  • données RH transmises par les employeurs,
  • informations relatives à des situations de vulnérabilité.

Ces données sont qualifiées de données sensibles, bénéficiant d’un régime renforcé.

L’article 9 du RGPD impose des garanties spécifiques, notamment en matière de sécurité et de confidentialité.

Articulation entre RGPD, Code du travail et secret médical

Un DPO SPST doit maîtriser l’articulation entre :

  • le RGPD,
  • le Code du travail,
  • les règles relatives au secret médical.

Les médecins du travail sont soumis au secret médical.
Cependant, le SPST en tant qu’organisme demeure responsable de traitement au sens du RGPD.

Cela implique :

  • une organisation stricte des habilitations,
  • un cloisonnement des accès,
  • une séparation des données médicales et administratives,
  • une gouvernance documentée.

La fonction de DPO SPST exige donc une double compétence : RGPD et environnement santé au travail.

Quelles sont les missions spécifiques d’un DPO SPST ?

Au-delà des missions classiques (article 39 RGPD), le DPO SPST doit :

Superviser les AIPD

Les outils métiers utilisés par les SPST (logiciels de suivi médical, plateformes de gestion des adhérents) nécessitent fréquemment une analyse d’impact relative à la protection des données (AIPD).

La CNIL considère les traitements de données de santé à grande échelle comme présentant un risque élevé.

Encadrer les relations avec les éditeurs et hébergeurs

Le DPO SPST doit vérifier :

  • les clauses de sous-traitance,
  • les garanties de sécurité,
  • la conformité HDS le cas échéant,
  • les transferts hors UE.

Structurer la gestion des violations de données

Une violation impliquant des données médicales impose :

  • une analyse rapide du risque,
  • une éventuelle notification à la CNIL sous 72 heures,
  • une information des personnes concernées si nécessaire.

Garantir l’indépendance et l’absence de conflit d’intérêts

Le DPO SPST ne peut pas être :

  • le directeur général,
  • le responsable informatique,
  • le responsable des traitements médicaux.

Le RGPD impose l’absence de conflit d’intérêts.

Quels risques pour un SPST en cas de non-conformité ?

Les risques sont particulièrement élevés :

  • sanction administrative,
  • publicité de la décision,
  • atteinte à la confiance des entreprises adhérentes,
  • responsabilité institutionnelle.

La CNIL est particulièrement vigilante sur :

  • la sécurité des logiciels de santé,
  • la journalisation des accès,
  • l’existence d’AIPD,
  • la gouvernance effective.

Un DPO formel mais non opérationnel expose la structure.

DPO interne ou DPO externe pour un SPST ?

DPO interne : limites constatées

  • cumul de fonctions,
  • dépendance hiérarchique,
  • manque de spécialisation juridique,
  • difficulté à imposer des arbitrages.

DPO externe SPST : solution structurante

Un DPO externe SPST permet :

  • indépendance garantie,
  • expertise RGPD santé,
  • audit objectif,
  • préparation aux contrôles,
  • sécurisation contractuelle.

👉 Dans un environnement aussi sensible, le recours à un DPO externe constitue souvent la solution la plus sécurisante.

Comment choisir un DPO SPST ?

Un SPST doit vérifier :

  • maîtrise du RGPD appliqué aux données de santé,
  • connaissance du Code du travail,
  • compréhension du secret médical,
  • expérience des contrôles CNIL,
  • capacité à structurer une gouvernance.

Le choix du DPO engage la responsabilité de la structure.

Pourquoi confier la mission de DPO SPST à un avocat spécialisé ?

Un avocat intervenant comme DPO SPST apporte :

  • expertise juridique approfondie,
  • articulation RGPD / droit social / droit de la santé,
  • capacité stratégique en cas de contentieux,
  • secret professionnel,
  • gestion des crises.

Barbour Avocat accompagne les SPST dans :

  • la mission de DPO externe,
  • la réalisation d’AIPD,
  • la gestion des violations,
  • la structuration RGPD,
  • la préparation aux contrôles.

FAQ – DPO SPST

Le DPO est-il obligatoire pour tous les SPST ?

Oui, dès lors que les traitements impliquent des données de santé à grande échelle.

Un SPST peut-il mutualiser son DPO ?

Oui, sous réserve de garanties d’accessibilité et d’indépendance.

Le DPO peut-il être un médecin du travail ?

Non s’il détermine les finalités ou les moyens des traitements.

Une AIPD est-elle systématique ?

Très souvent oui pour les logiciels médicaux.

Conclusion

Le DPO SPST constitue un acteur central de la conformité des services de prévention et de santé au travail.

Dans un environnement juridique et médical sensible, la gouvernance RGPD doit être structurée, indépendante et documentée.

Le recours à un DPO externe spécialisé SPST, tel que Barbour Avocat, permet de sécuriser durablement la conformité et d’anticiper les risques.

Vous envisagez de solliciter un Avocat RGPD / Data / e-santé ?

Contactez-nous pour nous partager votre besoin, vous serez recontacté dans les meilleurs délais.

👉 Décrire mon besoin

More Articles

Tous les articles
DPO établissement public : obligations, responsabilités et choix d’un DPO externe spécialisé

DPO établissement public : obligations, responsabilités et choix d’un DPO externe spécialisé

DPO établissement public : obligations RGPD et intérêt d’un DPO externe spécialisé secteur public.

Lire L'article
February 17, 2026
Quelles obligations RGPD pour les éditeurs de logiciels utilisés par les établissements publics (action sociale, santé, MDPH) ?
Consultez tous nos articles

Quelles obligations RGPD pour les éditeurs de logiciels utilisés par les établissements publics (action sociale, santé, MDPH) ?

CNIL SAN-2025-015 : obligations RGPD et sécurité des logiciels utilisés par le secteur public.

Lire L'article
February 3, 2026