Politique des données à caractère personnel

Introduction

Dans ce cadre de leurs missions de soins, d’enseignement et de recherche, les professionnels du Centre Hospitalier Régional Universitaire de Nancy (CHRU de Nancy) recueillent et traitent des informations à caractère personnel vous concernant.

Le responsable de ces traitements est le CHRU de Nancy, représenté par son Directeur général.

La présente Politique des données personnelles vous informe de la manière dont nous recueillons et traitons ces informations. Nous vous invitons à la lire attentivement. 

Cette politique est actualisée régulièrement pour prendre en compte les évolutions législatives et réglementaires, et tout changement dans l’organisation du CHRU de Nancy.

Qu’est-ce que vos données personnelles ? (art. 4 du RGPD)

Ce sont toutes informations qui se rapportent directement ou indirectement à une personne physique. Ainsi par exemple, un numéro de téléphone, une plaque d’immatriculation, une adresse IP (adresse d’ordinateur), sont des données personnelles, tout comme le sont les données de santé.

Il existe un « traitement de données personnelles », dès lors qu’une donnée personnelle est manipulée informatiquement ou manuellement par le biais d’opérations telles que la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement de données personnelles.

Dans quel cadre traitons-nous vos données ?

Nous recueillons et utilisons vos données personnelles dans le respect des lois et réglementations en vigueur, et notamment du Code de la santé publique, du Règlement Général sur la Protection des Données (RGPD), de la loi Informatique et Libertés du 6 janvier 1978 modifiée, ainsi que des référentiels édictés par la CNIL.

A quoi sont destinées ces données que nous recueillons sur vous ?

Les données que nous recueillons sur vous sont destinées principalement :

  • A assurer et faciliter votre prise en charge médicale et hôtelière,
  • A répondre à nos obligations réglementaires et missions d’intérêt public, dont la garantie de normes élevées de qualité et de sécurité des soins et la recherche en santé,
  • A la gestion des systèmes et services de soins de santé. 

A titre subsidiaire :

  • A traiter vos demandes, questions et réclamations,
  • A vous informer de nos activités, à votre demande.

Quelles sont les sources de données ?

Les sources de données sont :

  • Les données que vous nous transmettez ou auxquelles vous nous donnez accès,
  • Les données que nous recueillons au cours de votre prise en charge, ou qui nous sont transmises par d’autres professionnels que ceux de notre établissement, dans le cadre de la coordination ou de la continuité des soins, de la prévention ou du suivi médico-social,
  • Les données que vous nous transmettez par l’intermédiaire de nos sous-traitants : pour la prise de rendez-vous en ligne, pour la gestion des prestations hôtelières par exemple.

Quelles sont les typologies de données concernées ?

  • Des données d’identification : par exemple, noms et prénoms de naissance et usuels, date de naissance, sexe, adresse, numéros de téléphone, courriel, identifiant unique national, numéro du dossier hospitalier,
  • Des informations d’ordre administratif, financier, ou juridique : par exemple, mutuelle, type de prise en charge, employeur, existence de mesures de protection,
  • Des données de santé : diagnostics, résultats d’examens, biométrie, traitements et suivis, etc,
  • Des données recueillies lorsque vous rentrez en contact avec nous, par exemple pour exprimer un avis ou une réclamation.
  • Des informations relatives aux caractéristiques de votre prise en charge : par exemple, dates d’entrée et de sortie, mode de prise en charge, personnes à contacter, médecins adresseurs, etc,

Qui a accès à vos données et peut en être destinataire ?

Dans la limite de leurs attributions respectives et pour les finalités rappelées ci-dessus, les principaux collaborateurs du Centre Hospitalier Régional Universitaire de Nancy susceptibles d’avoir accès à vos données sont les membres des équipes de soins, les collaborateurs des services administratifs, logistiques et informatiques. Ils sont soumis à une obligation de confidentialité et au secret professionnel.

Dans le cadre de la coordination ou de la continuité des soins, de la prévention ou du suivi médico-social, certaines de ces données sont partagées avec les professionnels de santé membres de l’équipe de soins (par exemple, dans le cadre d'une structure de coopération, d'exercice partagé ou de coordination sanitaire ou médico-sociale).

Afin d’élaborer ou réviser le projet régional de santé, d’évaluer la qualité des soins, et d’assurer la veille et les vigilances sanitaires, ou également dans le cadre de la détermination des ressources ou du contrôle de l’activité du Centre Hospitalier Régional Universitaire de Nancy, certaines informations doivent être transmises à des organismes publics, autorités de santé, professions réglementées, conformément à la réglementation.

Une partie de ces données, transmises par notre Département d’Information Médicale à l’Agence technique de l’information sur l’hospitalisation, alimente le Système National des Données de Santé (SNDS). Le SNDS ne contient aucune donnée directement identifiante concernant les bénéficiaires (pas de noms/prénoms ou numéro de sécurité sociale, ni d’adresse postale). Pour en savoir plus (lien CNIL https://www.cnil.fr/fr/snds-systeme-national-des-donnees-de-sante>).

Sont également susceptibles d’avoir accès à certaines de vos données :

•       Nos sous-traitants, qui interviennent notamment :

•      Sur la gestion des services hôteliers et des transports,

•       Sur la maintenance de nos logiciels et parfois l’hébergement des données,

•      L’analyse ou le contrôle de notre activité,

  • Le recueil de votre satisfaction (enquête nationale E-Satis),
  • La numérisation et conservation de nos archives.
  • Des promoteurs de recherche externes : par exemple un laboratoire pharmaceutique, un autre centre hospitalier) dans le cadre de la participation à un essai clinique, de la recherche française ou internationale pour des données non nominatives.

•       Les autorités de police, autorités judiciaires ou administratives : lorsque nous avons l’obligation légale de le faire ou afin de garantir les droits, les biens et la sécurité du Centre Hospitalier Régional Universitaire de Nancy.

•       Les plates-formes de réseaux sociaux

L’utilisation des boutons et liens permettant d’interagir entre le site internet du CHRU de Nancy et nos sites sur les réseaux sociaux Facebook, Twitter, Linkedin, Youtube) susceptible d’entraîner des échanges de données vers ces réseaux sociaux. Nous vous invitons donc à consulter les politiques de gestion des données personnelles des différents réseaux sociaux.

Pendant combien de temps conservons-nous vos données ?

Les données à caractère personnel sont conservées pendant une durée limitée qui n’excède pas la durée nécessaire aux finalités de la collecte. Elles varient selon la nature des données, la finalité des traitements, ou les exigences légales ou réglementaires.

Comment assurons-nous la Sécurité de vos données ?

En tant que responsable de traitements, nous mettons en œuvre des mesures techniques, organisationnelles et physiques adaptées à la nature des données traitées et des activités, conformément aux dispositions légales applicables, pour protéger vos données personnelles contre l’altération, la perte accidentelle ou illicite, l’utilisation, la divulgation ou l’accès non autorisé, et notamment :

•     La sensibilisation aux exigences de confidentialité et aux bonnes pratiques,

•       La sécurisation de l’accès à nos locaux et à nos plates-formes informatiques, 

•       La mise en œuvre d’une politique générale de sécurité informatique et des données personnelles, et la constitution d’une cellule consacrée à la sécurité des systèmes d’information et à la protection des données,

•       La sécurisation du partage, de la transmission et de la conservation des données,

•       La gestion des relations avec nos sous-traitants.

Quels sont vos droits sur vos données collectées lors des soins et réutilisées en recherche ?

A tout moment, vous pouvez vous opposer à :

1/ La poursuite d’études, évaluation ou recherches portant sur la réutilisation de données anonymisées de votre dossier médical par nos équipes

2/ Laréutilisation des échantillons biologiques : il s’agit d’échantillons prélevés à des fins de recherche sur les prises de sang, biopsies, pièces opératoires recueillies pendant les soins. Pour chaque recherche, les échantillons biologiques sont identifiés par un code : votre identité n’est pas connue. Vous pouvez demander la destruction de vos échantillons biologiques, à tout moment et sans conséquences sur votre suivi médical.

3/ La poursuite d’études, évaluation ou recherches portant sur la réutilisation de vos données et nécessitant un accès aux données du Programme de médicalisation des systèmes d'information (PMSI) et aux RPU (Résumé de passage aux urgences) mises à disposition sur la plateforme sécurisée de l’Agence technique de l’information sur l’hospitalisation (ATIH). Ces études portent sur des données anonymisées, et aucun appariement avec d’autres données à caractère personnel n’est autorisé.

Les recherches vous impliquant personnellement, dites «  « recherches portant sur la personne humaine » font l’objet d’une réglementation spécifique : elles ne sont possibles qu’avec votre consentement éclairé et écrit.

Si vous êtes un mineur

A partir de vos 15 ans, le Code de la santé publique comme la loi Informatique et liberté modifiée vous donnent des droits particuliers :

  • Vous opposer à ce que vos parents soient consultés et informés de vos soins, et des éventuels traitements de données à des fins de recherche qui y sont liés,
  • Consentir seul au traitement de vos données fondé sur le consentement dans le cadre des services de la société d’information (réseaux sociaux, plates-formes, newsletters, etc…). En dessous de 15 ans, le consentement conjoint du mineur et du titulaire de l’autorité parentale est demandé.

Vos droits - Principes généraux applicables

Les principes généraux applicables à la protection des données personnelles sont les suivants :

  1. Finalité déterminée, explicite et légitime du traitement : les données personnelles sont collectées pour des objectifs précis (finalités), portés à la connaissance des personnes concernées. Ces données ne peuvent être utilisées ultérieurement de manière incompatible avec ces finalités. Ces données sont collectées loyalement ; aucune collecte n’est effectuée à l’insu des personnes et sans qu’elles en soient informées.
  1. Proportion et pertinence des données collectées : les données personnelles collectées sont strictement nécessaires à l’objectif poursuivi par la collecte. Elles sont exactes et à jour.
  1. Durée de conservation limitée des données à caractère personnel : les données à caractère personnel sont conservées pendant une durée limitée qui n’excède pas la durée nécessaire aux finalités de collecte. Les délais de conservation des données sont portés à la connaissance des personnes, et varient selon la nature des données, la finalité des traitements, ou les exigences légales ou réglementaires.
  1. Confidentialité / Sécurité des données : des Politiques de Sécurité des Systèmes d’Information (PSSI) sont mises en œuvre, adaptées à la nature des données traitées et aux activités. Des mesures de sécurité physiques, logiques et organisationnelles appropriées sont prévues pour garantir la confidentialité des données, et notamment éviter tout accès non autorisé. Des dispositifs permettent de s’assurer que le sous-traitant éventuel présente des garanties appropriées pour assurer la sécurité et la confidentialité des données personnelles.

Des données à caractère personnel peuvent faire l’objet de transferts vers des pays situés dans l’Union Européenne ou hors de l’Union Européenne. Si tel est le cas, les personnes concernées en sont précisément informées, et des mesures spécifiques sont prises pour encadrer ces transferts.

  1.  Droits des personnes : Tous les moyens nécessaires à garantir l’effectivité des droits des personnes sur leurs données personnelles sont mis en œuvre :
  • Une information claire et complète sur les traitements de données mis en œuvre, facilement accessible et compréhensible par tous,
  • Un accès facilité aux données : Toute personne dispose de droits sur les données la concernant, qu’elle peut exercer à tout moment.

Ainsi, et conformément au Règlement Général sur la Protection des Données (RGPD), et à la loi Informatique et Libertés du 6 janvier 1978 modifiée, vous disposez :

  • D’un droit d’accès aux données personnelles vous concernant, et pouvez les faire rectifier, et, dans certains cas, supprimer ou demander à en limiter temporairement l’utilisation. En ce qui concerne vos données médicales, ce droit s’exerce dans le respect des dispositions de l’article L. 1111-7 du code de la santé publique,
  • D’un droit d’opposition au traitement de vos données fondées sur une mission d’intérêt public ou de notre intérêt légitime, pour des raisons tenant à votre situation particulière, et sous réserve des motifs légitimes et impérieux que nous avons à les traiter,
  • Du droit de retirer les consentements que vous avez donnés au traitement de vos données ,
  • D’un droit à l’effacement de vos données, sous certaines conditions,
  • Par ailleurs, vous pouvez déposer des directives relatives à la conservation, à l'effacement et à la communication de vos données en cas de décès.

La CNIL fournit sur son site de nombreuses informations relatives à vos droits sur vos données personnelles, nous vous invitons à le consulter www.cnil.fr. Pour en savoir plus sur vos droits en santé, vous pouvez également consulter le site https://www.service-public.fr/particuliers/vosdroits/N19811

Vos droits, comment les exercer ?

Les données de santé à caractère personnel peuvent être communiquées selon votre choix, à vous directement, ou par l’intermédiaire d’un médecin que vous désignez à cet effet. Adressez-vous au service Demande d’accès dossier http://www.chu-nancy.fr/index.php/votre-sejour/dossier-medical.

Les autres demandes peuvent être adressées à notre Data Protection Officer DPO (délégué à la protection des données déclaré auprès de la CNIL) en joignant une pièce d’identité à votre demande.

Contacter notre délégué à la protection des données par voie électronique : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Contacter notre délégué à la protection des données par courrier postal :

Data Protection Officer/ Délégué à la protection des données
Direction des services informatiques – Hôpital Marin - 54035 Nancy Cedex

Si vous estimez, après nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés, la CNIL pourra recueillir votre réclamation, vous pourrez adresser une réclamation à la CNIL.

Enfin, si vous souhaitez que vos données anonymisées ne soient pas utilisées par le Système National des Données de Santé, adressez-vous au directeur de votre caisse d’assurance maladie.

                                                                                                                                              14 février 2019