Cette Politique de protection des données à caractère personnel a pour objet de :
Dans toutes ses activités, ALMAVIVA SANTE et ses établissements sont soumis en cette qualité, en plus des obligations déontologiques et de confidentialité propres aux professionnels de santé, aux obligations imposées par la réglementation en vigueur en France et au sein de l’Union Européenne en matière de données à caractères personnelles et en particulier le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « RGPD »).
- Responsable de traitement :
- Désigne l’entité qui détermine les moyens et finalités d’un traitement de données à caractère personnel.
- Responsable conjoint de traitement :
- Désigne l’entité qui détermine conjointement avec un responsable de traitement, les finalités et les moyens du traitement.
- Sous-traitant :
- Désigne la personne traitant des données à caractère personnel pour le compte du Responsable de traitement, qui agit sous l’autorité du Responsable de traitement et sur instruction de celui-ci.
- Tiers autorisé :
- Désigne un organisme qui peut accéder à certaines données contenues dans des fichiers publics ou privés parce qu'une loi l'y autorise expressément.
- Donnée à caractère personnel :
- Une donnée à caractère personnel est une information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. De plus l’identification d’une personne physique peut être réalisée à partir d’une seule donnée ou à partir du croisement d’un ensemble de données.
- Donnée de santé :
- Une donnée à caractère personnel concernant la santé est une donnée relative à la santé physique ou mentale, passée, présente ou future, d’une personne physique, qui révèlent des informations sur l’état de santé de cette personne.
- Traitement de données personnelles :
- Il s’agit d’une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé.
- Destinataire de données :
- Il s’agit d’une personne habilitée à obtenir communication de données enregistrées dans un fichier ou un traitement en raison de ses fonctions.
- Transfert de données :
- Il s’agit de toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union Européenne.
- Consentement :
- Le consentement représente l’accord de la personne concernée à ce que ses données soient collectées et utilisées. C’est l’une des six bases légales prévues par le RGPD. Le consentement doit être libre, spécifique, éclairé et univoque.
- Responsable & responsables conjoints de traitement
Le.a représentant.e légal.e de l’établissement de santé dans lequel vous allez être pris en charge est le responsable de traitement des données de ses fournisseurs, partenaires, patients et salariés.
Il agit en qualité de responsable conjoint de traitement s’agissant des traitements de données réalisés dans le cadre de parcours patients nécessitant :
- L’intervention de professionnels de santé libéraux (ex : anesthésiste, psychologue etc.) ;
- D’échanges auprès d’établissements de santé (ex : transfert de prise en charge).
- Objectifs des collectes de données
En lien avec ces activités, ALMAVIVA SANTE et ses établissements peuvent collecter et traiter des données nominatives, administratives et médicales vous concernant. Sauf opposition justifiée de votre part, ces données font l’objet de traitements automatisés (informatique) ou non automatisés (support papier) destinés à permettre votre meilleure prise en charge.
Le consentement exprès de la personne concernée est recueilli quand le traitement mis en œuvre ne répond pas à une obligation légale, à un contrat avec la personne concernée, ou à des intérêts légitimes (ne prévalant pas les intérêts, les libertés et droits fondamentaux de la personne concernée).
Les établissements de santé sont amenés à collecter et traiter des données de type administratif, social et médical ; en relation avec leurs finalités (article L6111-1 du code de la santé publique) :
- Assurer le diagnostic, la surveillance et le traitement des malades, des blessés et des femmes enceintes ;
- Délivrer les soins avec hébergement, sous forme ambulatoire ou à domicile ;
- Participer à la coordination des soins en relation avec les membres des professions de santé exerçant en pratique de ville et les établissements et services médico-sociaux ;
- Participer à la mise en œuvre de la politique de santé publique et des dispositifs de vigilance destinés à garantir la sécurité sanitaire ;
- Mener, en leur sein, une réflexion sur l’éthique liée à l’accueil et la prise en charge médicalisée.
Spécifiquement le service des ressources humaines, en respect du code du travail se consacre à :
- La gestion des candidatures et du recrutement
- La gestion du personnel
- La formation
- Les relations sociales et syndicales
- La gestion des carrières et des compétences
- Les systèmes d’informations des ressources humaines
- La gestion de la paie
- La gestion des intérimaires et des stagiaires
- L’organisation du travail
Spécifiquement la gestion de la communication, en respect du consentement de la personne concernée (ex : droit à l’image) :
- Gestion de la communication en ligne (site internet, LinkedIn, Facebook, Twitter, YouTube…) soumis aux politiques de confidentialité du site internet,
- Gestion de la communication presse.
Ainsi, chaque traitement de données mis en œuvre dispose d’une finalité légitime, déterminée et explicite dans le cadre de ses activités, traduite dans le registre des activités de traitement de chacun des établissements.
Les données peuvent être utilisées à des fins statistiques. Le traitement des données patients étant présenté dans le livret d’accueil lors de l’admission dans nos établissements.
- Information des personnes concernées
Dans un souci de transparence, les établissements prennent soin d’informer leurs patients, salariés et partenaires économiques de chacun des traitements qui les concernent notamment au travers :
- D’affichages,
- De documents d’informations spécifiques lors de la collecte de données (ex : passeport admission, règlement intérieur…),
- Des clauses contractuelles de sous-traitance.
Ces informations portent sur :
- Le responsable du traitement et les objectifs du recueil de ces données (finalités) ;
- La base juridique du traitement de données ;
- Le caractère obligatoire ou facultatif du recueil des données pour la gestion de votre demande et le rappel des catégories de données traitées ;
- La source des données (lorsque d’autres données que celles fournies via le service en ligne sont utilisées pour le traitement de votre demande) ;
- Les catégories de personnes concernées ;
- Les destinataires des données ;
- La durée de conservation des données ;
- Les mesures de sécurité (description générale) ;
- L’existence éventuelle de transferts de données hors de l’Union européenne ou de prises de décision automatisées ;
- Vos droits Informatique et Libertés et la façon de les exercer auprès d’ALMAVIVA SANTE et ses établissements.
- Données collectées et personnes concernées
Les établissements collectent et traitent les données à caractère personnel de manière loyale, licite et transparente. Il n’y a pas de prise de décision automatisée.
Pour chacun des traitements mis en œuvre, les établissements s’engagent à ne collecter et n’exploiter que des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Ils veillent par ailleurs à ce que les données soient exactes, si nécessaire, mises à jour et, à mettre en œuvre des procédés pour permettre l’effacement ou la rectification des données inexactes de manière à ce qu’elles ne deviennent pas obsolètes.
Les établissements sont susceptibles selon les cas de traiter des données à caractère personnel des patients, des salariés et de toutes personnes physiques ayant un lien contractuel :
- Relatives à l’identité des personnes (dont la civilité, nom, prénoms, date de naissance) ;
- Relatives aux moyens de contacter les personnes (telles que l’adresse postale professionnelle et le cas échéant personnelle, le numéro de téléphone fixe et/ou mobile professionnel et le cas échéant personnel, le numéro de télécopie, l’adresse email professionnelle et le cas échéant personnelle) ;
- Nécessaires pour le traitement du service demandé ou de toute autre demande (ex : constitution du dossier médical, constitution du dossier salarié).
Les établissements de santé sont susceptibles selon les cas de traiter les données à caractère personnel suivantes :
- Données d’identification ;
- Données relatives à la vie personnelle (ex : mariage) ;
- Données relatives à la vie professionnelle (ex : formation) ;
- Informations d’ordre économique et financière (ex : chèque) ;
- Données de connexion (ex : création code d’accès logiciel) ;
Le cas échéant, si la finalité le légitime, des données sensibles telles que :
- Les convictions religieuses (ex : directive anticipée) ;
- Les données biométriques (ex : accès par empreinte digitale) ;
- Les données de santé (ex : contenu de votre dossier médical) ;
- Vie et orientation sexuelle (ex : prise en charge gynécologique) ;
- Numéro d’identifiant national unique (numéro de sécurité sociale).
Les sources de collecte de vos données :
- Les professionnels de santé en lien avec votre prise en charge,
- Les responsables hiérarchiques et servie ces ressources humaines (données relatives au personnel),
- Les représentants légaux des patients pris en charge (tutelle, curatelle, mineur),
- Les familles des patients pris en charge (le cas échéant).
Les données collectées n’ayant pas de caractère obligatoire sont formalisées au travers d’un formulaire de consentement (ex : enquête satisfaction, transfusion, droit à l’image…).
- Destinataires des données
En tout état de cause, les établissements s’engagent à ne pas céder les données à caractère personnel à des tiers qui auraient pour activité ou finalité l’acquisition de nouveaux prospects en vue d’envoi de prospections commerciales.
Destinataires des données :
- Les professionnels de santé et les professionnels concourant à la prévention et aux soins, afin d'assurer la continuité des soins dans le respect des dispositions des articles L. 1110-4 et L. 1110-12 du code de la santé publique, y compris via l'accès au dossier médical partagé et à l'espace numérique de santé ;
- Les personnes en charge du secrétariat, qui n’ont accès qu'aux informations nécessaires à l'accomplissement de leurs missions ;
- Les personnels des organismes d'assurance maladie afin de permettre le remboursement des actes, des prestations et leur contrôle, qui ont connaissance, dans le cadre de leurs fonctions et pour la durée nécessaire à l'accomplissement de celles-ci, de l'identité de l'assuré, de son numéro de sécurité sociale et de numéro de code des actes et prestations exécutées et des pathologies diagnostiquées dans les conditions définies à l'article L. 161-29 du code de la sécurité sociale ;
- Les personnels des organismes d'assurance maladie complémentaire, autorisés de par leur fonction à traiter des données de santé, notamment de l'identité de leurs assurés, de leur numéro de sécurité sociale et sous la forme de codes regroupés, des catégories des actes et prestations effectués ;
- Les organismes publics en lien avec la prise en charge (EFS, Agences Régionales de Santé – ROR) ;
- Les structures de soins concourant à la prise en charge du patient (Hospitalisation à domicile, Services Soins Infirmiers à Domicile, Soins Médicaux et de Réadaptation, centre hospitalier…) ;
- Les Dispositifs d’Appui à la Coordination.
Personnes ayant accès aux données :
- Les services de l’établissement spécialisés dans l'évaluation des pratiques de soins,
- Les services support ALMAVIVA SANTE (Equipes Almaviva Santé)
- Les services de l’établissement et d’ALMAVIVA SANTE assurant le pilotage médico-économique,
- Les organismes spécialisés dans l'évaluation des pratiques de soins, qui peuvent être destinataires de données personnelles de santé ;
- Les prestataires de service pour assurer la maintenance des logiciels et des postes de travail ;
- Les prestataires d’hébergement des logiciels ;
- Les prestataires en lien avec l’amélioration de nos prises en charge ;
- Tiers autorisés : Organismes d’état, de tutelle, de contrôle à des fins d’obligations légales. (Union de recouvrement des cotisations de Sécurité sociale et d'allocations familiales, Caisses Primaires Assurances Maladie, HAS, Agences Régionales de Santé, CNIL, EFS, …).
- Conservation des données
Les durées de conservation sont définies en fonction des finalités de traitement mis en œuvre par ALMAVIVA SANTE et ses établissements et tiennent notamment compte des dispositions légales applicables imposant une durée de conservation précise pour certaines catégories de données, des éventuels délais de prescription applicables ainsi que des recommandations de la CNIL concernant certaines catégories de traitements de données.
A cet usage les établissements ALMAVIVA SANTE dispose d’un registre des délais de conservations précisant la durée légale pour chacun des documents, dont voici quelques exemples :
- Le dossier du salarié est conservé pendant 5 ans après la sortie des effectifs,
- Les données de facturation sont conservées 10 ans,
- Le dossier patient est conservé 20 ans.
Nous conservons les données que vous nous avez transmises dans le cadre des traitements liés à la gestion des contrats passés ainsi que pendant les durées légales applicables après la fin des contrats.
- Sécurité des données
Une importance particulière est accordée à la sécurité des données à caractère personnel.
Des mesures techniques et organisationnelles appropriées sont mises en œuvre pour que les données soient traitées de façon à garantir leur protection contre la perte, la destruction ou les dégâts d’origine accidentelle qui pourraient porter atteinte à leur confidentialité ou à leur intégrité.
Lors de l’élaboration et de la conception, ou lors de la sélection et de l’utilisation des différents outils qui permettent le traitement des données à caractère personnel, le responsable de traitement s’assure, le cas échéant auprès des éditeurs de tels outils, qu’ils permettent d’assurer un niveau de protection optimal des données traitées.
Les établissements mettent ainsi en œuvre des mesures qui respectent les principes de protection dès la conception et de protection par défaut des données traitées prônés par le RGPD. A ce titre, recourir à des techniques d’anonymisation ou de chiffrement des données lorsque cela s’avère possible et/ou nécessaire.
Lorsqu’il y a recours à un prestataire, les établissements ne lui communique des données à caractère personnel qu’après lui avoir imposé le respect de ses propres principes en matière de sécurité.
Les mesures de sécurité sont mises en œuvre conformément à la politique de sécurité des systèmes d’information (PSSI) Almaviva Santé, issue du Corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé de l’Agence du Numérique en Santé (lien).
- Transfert de données
Les traitements pouvant faire l’objet de transfert hors Union Européenne :
- Sont encadrés par des clauses contractuelles type (ex : Sous-traitance Monégasque de certains serveurs),
- Sont anonymisés : données transférées aux sociétés mères dans le cadre de l’amélioration de leurs produits (ex : robots bloc opératoire).
Nous ne transmettons par principe les données à caractère personnel à aucun tiers, sauf demande dans le cadre de l’exercice des droits couverts par le RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ou dans le strict objectif d’atteindre les finalités pour lesquelles les données ont été collectées, et toujours dans le respect des règles de confidentialité.
Les établissements peuvent toutefois être amenés à devoir communiquer les données à caractère personnel pour se conformer à une obligation légale, à la demande d’une autorité administrative ou judiciaire qui en ferait la demande ou pour l’exercice d’un intérêt légitime.
Les demandes d’exercice de droits prévues par le RGPD s’effectuent :
- Par le site internet via la demande de contact ci-dessous :
Et ce, dans le respect des conditions et délais impartis par la réglementation applicable : un justificatif pour vérifier l’identité de la personne exerçant ses droits pourra être demandé. Les établissements informent toute personne concernée qui souhaiterait exercer ses droits de la réception de leur demande et notifie une réponse même en cas d’impossibilité de donner suite à la demande.
Conformément à la loi Informatique et Libertés et/ou au RGPD vous disposez :
- De la possibilité de demander si le responsable de traitement détient des informations sur vous, et demander à ce qu’il vous communique l’intégralité de ces données (droit d’accès) ;
- Du droit à la limitation du traitement de vos données à caractère personnel si vous considérez que le traitement est illicite ou excessif (droit à la limitation du traitement) ;
- De la possibilité de demander la rectification des informations inexactes, incomplètes, équivoques, périmées vous concernant (droit de rectification) ;
- De la possibilité de vous opposer, le cas échéant et pour des motifs légitimes, à figurer dans un fichier tenu par le responsable de traitement (droit d’opposition) ;
- De la possibilité de demander, le cas échéant et s’il n’existe pas d’obligations légales contraires, que vos données soient effacées d’un fichier tenu par le responsable de traitement (droit à l’oubli).
- Le droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (lien).
Les personnes concernées pourront faire exercice de leurs droits dans le respect du RGPD et des autres règlements encadrant le droit à certaines données et notamment le code de santé publique, le code du travail, le code de sécurité sociale, le code de l’action sociale et des familles et la convention collective de l’hospitalisation privé ; auprès du responsable de traitement de l’établissement.
Le registre des activités de traitement est prévu par l’article 30 du RGPD. Il constitue un élément essentiel de la documentation nécessaire au pilotage et à la démonstration de sa conformité au RGPD.
Son élaboration permet à la déléguée à la protection des données et aux correspondants RGPD des établissements de :
- Recenser les traitements de données personnelles mis en œuvre ;
- Se poser les bonnes questions, avec les différents métiers d’ALMAVIVA SANTE et ses établissements, sur les objectifs des fichiers mis en place, la minimisation des données recueillies, leur sensibilité, leurs conditions de conservation, leurs destinataires, et d’évaluer les risques ;
- Rassembler les informations nécessaires à l’information des personnes identifiées dans les traitements de données d’ALMAVIVA SANTE et ses établissements ;
- Définir un plan d’action « conformité RGPD ».
Les registre type des activités de traitements d’un établissement de santé sont disponibles sur ce lien