Depuis l’entrée en vigueur de la loi du 2 août 2021 et son décret d’application de juillet 2022, les services de prévention et de santé au travail (SPST) doivent répondre à de nouvelles obligations autour de trois grands objectifs.
« Le premier est d’harmoniser les pratiques, car en amont de la réforme, chaque service de santé au travail avait des fonctionnements différents sans indicateurs », souligne Julianna Révi, spécialiste de la conformité au RGPD chez AGS Records Management.
La réforme vise également à renforcer la prévention primaire pour agir en amont afin d’éviter les risques professionnels et de la désinsertion, plutôt que de simplement traiter les problèmes de santé une fois qu’ils sont apparus. Enfin, troisième et dernier objectif : les SPSTi doivent répondre de manière équitable à l’ensemble des adhérents, quelle que soit la taille des entreprises, dans leur offre de prestations.
Structurer les pratiques de Services de Prévention et Santé au Travail
Pour atteindre ces objectifs, les SPSTi doivent passer la certification SPEC 2217, avant mai 2025. Délivrée par un organisme certificateur indépendant, tel que AFNOR, elle est valable pour cinq ans renouvelables et s’obtient par trois niveaux.
Le principal intérêt de la SPEC 2217 est de s’assurer que les services de prévention et de santé au travail offrent des prestations conformes aux normes de qualité et aux exigences réglementaires en matière de santé au travail. Il s’agit de structurer les pratiques autour de critères définis, tout en garantissant la transparence des processus et l’efficacité des actions menées.
Trois niveaux pour obtenir la certification SPEC 2217
Le niveau 1, dit « engagement », consiste à mettre à l’écrit toutes les actions menées au service du SPSTi. Il permet de vérifier que celui-ci respecte les exigences réglementaires minimales imposées par le Code du travail.
Notamment, le service doit prouver qu’une équipe pluridisciplinaire (professionnels de santé, ergonomes, psychologues du travail, intervenants en prévention des risques professionnels, assistants sociaux) est bien présente, qu’un logiciel métier pour gérer et conserver les dossiers numériques de santé au travail est en place au sein du service et qu’une documentation précise du projet, de son offre socle et du RGPD est disponible.
« Ce niveau de certification permet de valider une prise en charge globale des problématiques liées à la santé et à la sécurité au travail, explique Julianna Révi. Cette interdisciplinarité favorise aussi des interventions préventives plus variées et adaptées aux contextes spécifiques des entreprises ».
La nécessaire utilité des indicateurs de performance
Le deuxième niveau, intitulé « maitrise » concerne l’amélioration de la qualité des services fournis par les services de prévention et de santé au travail. L’objectif est d’aller plus loin que les simples obligations légales avec l’instauration de processus plus performants. Il impose, par exemple, la mise en place d’indicateurs de performance chiffrés permettant la maitrise des procédures, des outils et l’effectivité des résultats des actions mises en place.
« Ces indicateurs sont utiles pour mesurer par exemple les actions de prévention », souligne Julianna Révi.
Entre autres, la gestion des risques professionnels doit être proactive, grâce à des outils plus élaborés pour évaluer les dangers en entreprise. Ce niveau nécessite une harmonisation des pratiques en interne dans les SPSTi sur des sujets parfois très détaillés, comme la saisie des informations dans le logiciel métier ou la dénomination des documents scannés et classés.
L’amélioration constante de l’ensemble des services
Le troisième niveau, dit de conformité, incarne le summum des standards de qualité en prévention et santé au travail. Il vérifie que l’ensemble des mesures prévues a été mis en œuvre. Les exigences de ce niveau reposent sur le recours d’outils innovants pour améliorer la prévention et le suivi individuel de l’état de santé, comme des plateformes de télémédecine ou des outils numériques performants et sécurisés. L’intégration de bonnes pratiques et une vision anticipative sont aussi requises pour l’obtention de ce niveau. Ce niveau pousse les services à l’avant-garde de la prévention des risques professionnels, en faisant preuve d’une réactivité maximale, grâce à des démarches équitables entre tous les adhérents et en anticipant les futures problématiques du travail.
L’importance du respect du RGPD
« Obtenir ce niveau 3 de la certification sera obligatoire pour les SPST », explique Julianna Révi.
Il garantit un haut niveau de qualité et de conformité aux contraintes légales, il améliore la relation de confiance avec les adhérents et les salariés suivis et assure une meilleure organisation des services de santé au travail avec des procédures plus rigoureuses et uniformisées.
« Outre l’obtention de la certification, les services doivent respecter le RGPD, la vie privée des usagers et assurer la sécurité des données. Ces mesures permettent d’éviter des sanctions de la CNIL en cas d’un éventuel contrôle », détaille Julianna Révi.
L’enjeu est de taille pour les SPST, car, en tant qu’entités qui gèrent des données personnelles sensibles, elles doivent être en conformité avec le RGPD. En cas de non-respect de la certification, le SPST risque de ne pas renouveler son agrément délivré par le directeur régional des entreprises, de la concurrence, de la consommation, du travail et de l’emploi (DREETS). L’activité des SPST peut alors être mise en danger.
Une collaboration étroite entre éditeurs, hébergeurs et SPST
Les éditeurs et les hébergeurs jouent un rôle clé dans l’obtention de la certification, car ils soutiennent les services de prévention et de santé au travail dans la gestion des données, la digitalisation des processus, et la sécurité des informations. À travers la conception de logiciels spécialisés, les éditeurs permettent aux SPST de suivre les dossiers médicaux des salariés de manière centralisée et sécurisée et d’évaluer les risques professionnels. Ils travaillent avec les SPST dans la mise en conformité des outils en termes de protection des données personnelles et de confidentialité des informations de santé.
Quant aux hébergeurs, ils sont essentiels à la garantie de la sécurité et à la disponibilité des données de santé. Dotés de la certification HDS (Hébergeur de données de santé), ils assurent la sécurisation des infrastructures d’hébergement contre les cyberattaques et mettent en place des protocoles de chiffrement pour les données stockées. Ils garantissent également la disponibilité des informations de santé afin que les SPST y aient accès à n’importe quel moment.
La question centrale de la cybersécurité
« L’obtention de la certification SPEC 2217 passe donc par une étroite collaboration entre SPST, éditeurs et hébergeurs, précise Julianna Révi. Les logiciels développés par les éditeurs doivent répondre aux besoins des SPST tout en étant interopérables avec d’autres outils numériques facilitant l’échange de données avec les adhérents, les autres SPST et les partenaires. Enfin, les SPST doivent s’assurer que les solutions numériques soient en phase avec leurs processus internes ».
Reste qu’à ce stade, de nombreux services de santé doivent mobiliser des moyens considérables pour obtenir un hébergement sécurisé et cloisonné. Mais la question de la cybersécurité reste centrale. Outre les contrôles d’accès aux données sensibles, la gestion des droits et la détection des menaces, le facteur humain apparaît parfois comme le maillon faible en termes de cybersécurité. Les SPST doivent ainsi former leurs collaborateurs aux bonnes pratiques en termes de sécurité numérique pour éviter toute fuite de données sensibles.
Notre équipe de DPO expert en santé vous accompagnent dans votre démarche de mise en conformité.
