Le QHSE à la croisée du RGPD
La gestion de la santé et de la sécurité au travail implique le traitement de données personnelles, dont certaines sont considérées comme « sensibles » au sens du RGPD :
La base légale en QHSE
Le traitement des données QHSE repose principalement sur :
Les 7 règles clés
1. Minimisation des données
Ne collectez que les données strictement nécessaires à la finalité du traitement. Évitez de stocker le diagnostic médical détaillé — l'aptitude/inaptitude suffit.
2. Limitation de la durée de conservation
Définissez des durées de conservation proportionnées :
3. Droit d'accès et de rectification
Les salariés ont le droit d'accéder à leurs données QHSE et de les faire rectifier. Prévoyez un processus simple et réactif.
4. Droit à l'effacement (avec limites)
Le droit à l'effacement ne s'applique pas aux données nécessaires au respect d'obligations légales (conservation 40 ans du DUERP).
5. Analyse d'Impact (AIPD)
Une AIPD est obligatoire pour les traitements à grande échelle de données de santé ou de surveillance systématique des salariés.
6. Sécurité technique
7. Sous-traitants (article 28)
Si vous utilisez un logiciel QHSE SaaS, vérifiez :
Registre des traitements QHSE
| Traitement | Finalité | Base légale | Conservation |
|---|---|---|---|
| Évaluation des risques (DUERP) | Obligation de sécurité | Obligation légale | 40 ans |
| Déclaration d'accidents | Obligation déclarative | Obligation légale | 40 ans |
| Formation sécurité | Obligation formation | Obligation légale | Validité + 2 ans |
| Inspections terrain | Prévention | Intérêt légitime | 5 ans |
| Signalements near-miss | Prévention | Intérêt légitime | 5 ans |
RiskDesk est conforme RGPD : hébergement en France, chiffrement AES-256, RBAC, DPA signé.
Points clés à retenir
- Conformité — cadre réglementaire français actualisé
- Guide pratique applicable immédiatement en entreprise
- Méthodologie validée par des experts QHSE
- Conforme aux recommandations INRS et normes ISO
Synthèse automatique · Vérifiée par notre comité éditorial
