Règlement général relatif à la protection des données (RGPD)

Article
RGPD

La protection des données personnelles et de la vie privée constitue une obligation pour les autorités et organismes publics. Dans ce cadre, l’ARS Auvergne-Rhône-Alpes a désigné un délégué à la protection des données (ou data protection officer, DPO) depuis le 25 mai 2018, date d’entrée en application du Règlement Général relatif à la Protection des Données.

La conformité de l'ARS Auvergne-Rhône-Alpes avec la réglementation est au cœur de nos préoccupations, afin de garantir les droits des personnes dont les données sont traitées et de sécuriser la mise en œuvre de nos traitements.

Le rôle du délégué à la protection des données (DPO) consiste notamment à :

  • établir et tenir à jour le registre des traitements de données personnelles ;
  • S’assurer de la conformité des traitements effectués par l’ARS au regard de la réglementation RGPD;
  • Animer la démarche au sein de l’ARS en diffusant une la culture Informatique et Libertés au sein de l’Agence ;
  • garantir la sécurité de vos données personnelles ;
  • être le point de contact avec la CNIL.

La conformité des traitements mis en œuvre au sein de notre Agence à la loi Informatique et Libertés ainsi qu’au Règlement Général relatif à la Protection des Données est au cœur de nos préoccupations.

Contact du DPO : ars-ara-dpd@ars.sante.fr

Conformément au règlement (UE) 2016/679 du Parlement européen et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 (décret 2018-687 du 1er août 2018) , vous pouvez accéder aux données vous concernant ou demander leur effacement. Vous disposez également d'un droit d’opposition, d’un droit de rectification et d’un droit à la limitation du traitement de vos données. Pour exercer ces droits, vous pouvez contacter le Délégué à la Protection des Données (DPO) de l’ARS (ars-ara-dpd@ars.sante.fr).

L’un des principaux enjeux du RGPD est de renforcer le droit des personnes et d’en faciliter leur exercice.

En effet, aux droits d’accès, de rectification, d’effacement et d’opposition qui se voient renforcés viennent s’ajouter de nouveaux droits qui sont le droit à la portabilité, le droit à la limitation du traitement ainsi que le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé.

Pour exercer ces droits,

  • contacter le DPO par voie électronique : ars-ara-dpd@ars.sante.fr
  • contacter le DPO par courrier postal :
    Le délégué à la protection des données
    ARS Auvergne-Rhône-Alpes
    CS 93383 
    69418 Lyon Cedex

Droit d’accès

Il permet aux personnes d’avoir connaissance des données les concernant traitées et, si nécessaire de savoir si des données les concernant sont traitées et, si c’est le cas, d’en obtenir la communication dans un format compréhensible. Il permet également de contrôler l’exactitude des données et, si nécessaire éventuellement, de les faire rectifier ou effacer.

Pour exercer son droit d’accès, toute personne peut s’adresser directement au responsable de traitement.

Droit de rectification

Il permet de corriger les données inexactes concernant la personne ou de compléter des données.

Droit à l’effacement

Les personnes peuvent demander à un organisme l’effacement des données personnelles les concernant. Ce droit s’applique seulement dans l’une de ces six situations :

  • les données ne sont plus nécessaires au regard des finalités pour lesquelles elles sont collectées ou traitées ;
  • la personne retire son consentement au traitement de ses données ;
  • la personne s’oppose au traitement et il n’existe pas de motif légitime impérieux ;
  • le traitement est illicite ;
  • les données doivent être effacées pour respecter une obligation légale ;
  • les données ont été collectées auprès de mineurs dans le cadre de l’offre de services de la société de l’information.

En revanche, le droit à l’effacement ne peut pas s’appliquer s’il va à l’encontre :

  • du respect d’une obligation légale ;
  • d’un motif d’intérêt public dans le domaine de la santé publique ;
  • des fins archivistiques dans l’intérêt public, des fins statistiques, de recherche scientifique ou historique.

Droit d’opposition

Les personnes peuvent s’opposer au traitement de leurs données. Ce droit peut être exercé à tout moment pour des raisons tenant à la situation particulière de la personne.

Ce droit ne peut être exercé si, par exemple :

  • une obligation légale impose à l’organisme de traiter les données ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

Droit à la portabilité

Ce droit permet à toute personne de récupérer les données personnelles qu’elle a fournies à un responsable de traitement. Ces données doivent être transmises dans un format structuré, couramment utilisé et lisible par une machine.

Ce droit inclut aussi la possibilité de transmettre ces données à un nouveau responsable de traitement, en demandant au responsable initial de procéder au transfert, si cela est techniquement possible.

Ce droit est applicable seulement si les deux conditions cumulatives suivantes sont réunies :

  • le traitement est fondé sur le consentement de la personne ou sur un contrat (exclusion des traitements fondés sur l’intérêt public, l’intérêt légitime du responsable de traitement ou une obligation légale) ;
  • le traitement est effectué à l’aide de procédés automatisés.

Droit  à la limitation du traitement

Lorsqu’une personne souhaite rectifier des informations ou s’opposer à ce qu’elles soient traitées, l’organisme dispose d’un délai d’un mois pour traiter la demande. Pendant ce délai, cette personne peut faire valoir son droit à la limitation pour geler l’utilisation de ces données. L’organisme ne devra plus utiliser les données mais devra les conserver.

Il est aussi possible de demander la limitation du traitement de certaines données lorsque l’organisme souhaite lui-même les effacer.

La limitation peut être demandée uniquement dans l’une des quatre situations suivantes :

  • quand la personne a fait valoir son droit de rectification ;
  • quand la personne a fait valoir son droit d’opposition ;
  • quand les données sont sur le point d’être effacées alors qu’elles sont nécessaires à la personne concernée pour la constatation, l’exercice ou la défense des droits en justice ;
  • quand le traitement est illicite mais que la personne concernée préfère la limitation plutôt que l’effacement des données.

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l’Informatique et des Libertés (CNIL).

Qu’est-ce qu’un traitement ?

  • Un traitement de données personnelles est une opération ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).
  • Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
  • Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation.
  • Exemples de traitements : tenue du registre des sous-traitants, gestion des paies, gestion des ressources humaines, etc.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.

Mais, parce que ces informations concernent des personnes, celles-ci doivent en conserver la maîtrise.

Une personne physique peut être identifiée :

  • directement (exemple : nom et prénom) ;
  • indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).

Qu’est-ce qu’une donnée de santé ?

Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne.

Cette définition comprend donc par exemple :

  • les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
  • les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;

les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).

VigilanS est un dispositif national de prévention du suicide déployé en Auvergne-Rhône-Alpes par le biais de 4 pôles. Il assure un suivi gratuit des personnes après une tentative de suicide, grâce à un maintien du lien pendant plusieurs mois (appels téléphoniques, envois de cartes, contact avec les soignants habituels). L’objectif est de réduire le risque de récidive et d’apporter un soutien personnalisé. 
En savoir plus sur le dispositif VigilanS en Auvergne-Rhône-Alpes

Traitement des données pour les personnes prises en charge par le pôle du Vinatier

Délégué à la protection des données du CH Le Vinatier
Adresse mail : CIL@ch-le-vinatier.fr / téléphone : 04 37 91 54 40.

Depuis le 25 mai 2018, le règlement européen s'applique. De nombreuses formalités auprès de la CNIL disparaissent. En contrepartie, la responsabilité des « organismes » est renforcée en assurant une protection optimale des données tout en étant en mesure de démontrer leur conformité.

Ce nouveau règlement européen s'inscrit dans la continuité de la Loi française « Informatique et Libertés » de 1978 et renforce le contrôle par les citoyens de l'utilisation qui peut être faite des données les concernant. Le Règlement Général sur la Protection des Données (RGPD) harmonise les règles européennes en offrant un cadre juridique unique aux professionnels, et permet de développer leurs activités numériques au sein de l'Union européenne en se fondant sur la confiance des utilisateurs.

Dans le cadre de votre prise en charge dans le dispositif VigilanS, c’est le Centre Hospitalier Le Vinatier qui est responsable du traitement des données personnelles vous concernant.

Comme pour l’ensemble des traitements de données à caractère personnel, le CH Le Vinatier est garant de l’intimité de la vie privée de ses usagers et soumis au secret professionnel, Le Vinatier assure le plus haut niveau de protection des données qu’il traite. il peut être amené à échanger certaines données avec d’autres professionnels ou établissements de santé dans des cas spécifiques prévus par les lois et règlements et lorsqu’il en va de l’intérêt des patients qui lui font confiance.

A aucun moment, le Centre Hospitalier Le Vinatier n’effectue de prise de décision automatisée, ni de profilage.

Le Vinatier n’utilise pas les données personnelles traitées à des fins commerciales ou de marketing.

Si le Centre Hospitalier Le Vinatier souhaitait utiliser les données personnelles de ses usagers à des fins différentes que celles énoncées ci-dessus, celle-ci s’engage à obtenir le consentement exprès, libre et éclairé des personnes concernées.

Les données recueillies sont destinées à l’équipe de soins vous prenant en charge et peuvent être mises à disposition d’une équipe étendue. Dans la mesure où elles sont utiles à la continuité des soins et qu’elles déterminent la meilleure prise en charge possible, les informations à caractère médical sont réputées avoir été confiées par vous-même à l’ensemble de l’équipe de soins qui vous prend en charge. Ces mêmes informations pourront également être confiées à d’autres professionnels de santé ne faisant pas partie de l’équipe de soins qui vous prend en charge dans la mesure où vous en aurez été averti(e) et vous ne vous y serez pas opposé(e). Dans le cadre de la recherche médicale et biomédicale, Le Vinatier respecte les lois et règlements spécifiques en vigueur et vous délivrera une information ou recueillera spécifiquement votre consentement.

Vos données peuvent être transmises aux organismes publics dans le cadre légal. Vos données peuvent être transmises à des organismes extérieurs sous-traitants ou partenaires. Dans ces circonstances, ces mêmes données sont des données strictement nécessaires à l’accomplissement des missions confiées par le Centre Hospitalier Le Vinatier à ces organismes qui sont soumis aux mêmes obligations réglementaires que l’établissement.

Vous pouvez à accéder aux informations figurant dans votre dossier

Vous pouvez à accéder aux informations figurant dans votre dossier. Vous disposez, par ailleurs, sous certaines conditions, d’un droit de rectification, d’effacement de ces informations, ou du droit de vous opposer ou de limiter leur utilisation si elles sont inexactes, équivoques, incomplètes ou périmées, et à condition de justifier d'un "motif légitime". (Art. 16, 17, 18 et 21 du RGPD)

Pour toute question relative à la protection de vos données ou pour exercer vos droits, vous pouvez vous adresser directement à votre médecin, au délégué à la protection des données par courrier à l’adresse postale :

Département d’Information Médicale 
Le délégué à la protection des données 
Centre Hospitalier Le Vinatier 
95, Boulevard Pinel - BP 300 39 - 69678 BRON CEDEX

ou par mail à : CIL@ch-le-vinatier.fr.

En cas de difficultés vous pouvez également saisir la commission nationale de l’informatique et des libertés (CNIL) d’une réclamation sur www.cnil.fr.

Pour obtenir de plus amples informations, cliquez ici.

Traitement des données pour les personnes prises en charge par le pôle de Clermont-Ferrand

Délégué de protection des données : M Michel RUBIO
Coordonnées : mrubio@chu-clermontferrand.fr / 04.73.75.20.35

Les informations recueillies vous concernant resteront strictement confidentielles et feront l’objet d’un traitement informatique destiné à votre suivi médical. Les destinataires des données sont des professionnels de santé soumis au secret médical. Conformément à la loi « informatique et libertés » du 6 janvier 1978, vous bénéficiez d’un droit d’accès et de rectification, d’effacement, et de limitation aux informations qui vous concernent, que vous pouvez exercer en vous adressant à La Direction Qualité Gestion des Risques et Droits des usagers – 04 73 75 20 35 – 58 Rue Montalembert, 63000 Clermont-Ferrand – dpo@chu-clermontferrand.fr. Vous pouvez vous opposer au traitement des données vous concernant [La Direction Qualité Gestion des Risques et Droits des usagers – 04 73 75 20 35 – 58 Rue Montalembert, 63000 Clermont-Ferrand – dpo@chu-clermontferrand.fr]

Par ailleurs conformément aux dispositions de l’article L. 1413-7 du code de la santé publique, des données pseudonymisées (c’est-à-dire sans vos nom et prénom) seront transmises aux agents compétents de Santé publique France à des fins d’évaluation du dispositif et de surveillance de la santé, puis seront transmises au Health data Hub pour la mise à disposition de la recherche (en savoir plus sur ce traitement et vos droits). Vous pouvez vous opposer à la transmission de ces données et exercer vos droits d’accès, de rectification, d’effacement et de limitation relatif à ces traitements, auprès de La Direction Qualité Gestion des Risques et Droits des usagers – 04 73 75 20 35 – 58 Rue Montalembert, 63000 Clermont-Ferrand – dpo@chu-clermontferrand.fr».

Traitement des données pour les personnes prises en charge par le pôle de Grenoble

Délégué de protection des données
Coordonnées : DPO@ch-alpes-isere.fr

Les informations recueillies vous concernant resteront strictement confidentielles et feront l’objet d’un traitement informatique destiné à votre suivi médical. Les destinataires des données sont des professionnels de santé soumis au secret médical. Conformément à la loi « informatique et libertés » du 6 janvier 1978, vous bénéficiez d’un droit d’accès et de rectification, d’effacement, et de limitation aux informations qui vous concernent, que vous pouvez exercer en vous adressant au Dispositif VigilanS - Centre Hospitalier Alpes-Isère, 3 rue de la gare, 38120 Saint-Egrève ; vigilans@ch-alpes-isere.fr. Vous pouvez vous opposer au traitement des données vous concernant [Dispositif VigilanS - Centre Hospitalier Alpes-Isère, 3 rue de la gare, 38120 Saint-Egrève ; vigilans@ch-alpes-isere.fr]

Par ailleurs conformément aux dispositions de l’article L. 1413-7 du code de la santé publique, des données pseudonymisées (c’est-à-dire sans vos nom et prénom) seront transmises aux agents compétents de Santé publique France à des fins d’évaluation du dispositif et de surveillance de la santé, puis seront transmises au Health data Hub pour la mise à disposition de la recherche (en savoir plus sur ce traitement et vos droits). Vous pouvez vous opposer à la transmission de ces données et exercer vos droits d’accès, de rectification, d’effacement et de limitation relatif à ces traitements, auprès du Dispositif VigilanS - Centre Hospitalier Alpes-Isère, 3 rue de la gare, 38120 Saint-Egrève ; vigilans@ch-alpes-isere.fr.

Traitement des données pour les personnes prises en charge par le pôle de Saint-Étienne

Délégué de protection des données
Coordonnées : rgpd-dpd@chu-st-etienne.fr

Le CHU de Saint-Etienne vous informe que les informations recueillies font l’objet d’un traitement informatisé destiné à votre suivi médical, nécessaire au respect d'une obligation légale à laquelle le CHU est soumis. Les destinataires de vos informations sont l’ensemble de l’équipe de soins participant à votre prise en charge, tenue par le secret professionnel. Ces informations intègrent votre dossier patient et sont conservées pendant une durée de 20 ans.

Conformément au Règlement général sur la protection des données (RGPD), vous bénéficiez d’un droit d’accès, de rectification, d’effacement, et de limitation aux informations qui vous concernent. Pour exercer ces droits, vous pouvez vous adressez au délégué à la protection des données du CHU de Saint-Etienne par mail à rgpd-dpd@chu-st-etienne.fr.  Si vous estimez, après nous avoir contacté, que vos droits sur vos données personnelles ne sont pas respectés, vous pouvez adresser une réclamation auprès de la CNIL. 

Par ailleurs, conformément aux dispositions de l’article L. 1413-7 du code de la santé publique, des données pseudonymisées (c’est-à-dire sans vos nom et prénom) seront transmises aux agents compétents de Santé publique France (en savoir plus sur ce traitement et vos droits) à des fins d’évaluation du dispositif et de surveillance de la santé, puis seront transmises au Health data Hub pour la mise à disposition de la recherche. Vous pouvez vous opposer à la transmission de ces données et exercer vos droits d’accès, de rectification, d’effacement et de limitation relatif à ces traitements, auprès du délégué à la protection des données du CHU de Saint-Etienne par mail à l’adresse rgpd-dpd@chu-st-etienne.fr.  Si vous estimez, après nous avoir contacté, que vos droits sur vos données personnelles ne sont pas respectés, vous pouvez adresser une réclamation auprès de la CNIL.