Règlement général relatif à la protection des données (RGPD)

Article
RGPD

La protection des données personnelles et de la vie privée constitue une obligation pour les autorités et organismes publics. Dans ce cadre, l’ARS Auvergne-Rhône-Alpes a désigné un délégué à la protection des données (ou data protection officer, DPO) depuis le 25 mai 2018, date d’entrée en application du Règlement Général relatif à la Protection des Données.

La conformité de l'ARS Auvergne-Rhône-Alpes avec la réglementation est au cœur de nos préoccupations, afin de garantir les droits des personnes dont les données sont traitées et de sécuriser la mise en œuvre de nos traitements.

Le rôle du délégué à la protection des données (DPO) consiste notamment à :

  • établir et tenir à jour le registre des traitements de données personnelles ;
  • S’assurer de la conformité des traitements effectués par l’ARS au regard de la réglementation RGPD;
  • Animer la démarche au sein de l’ARS en diffusant une la culture Informatique et Libertés au sein de l’Agence ;
  • garantir la sécurité de vos données personnelles ;
  • être le point de contact avec la CNIL.

La conformité des traitements mis en œuvre au sein de notre Agence à la loi Informatique et Libertés ainsi qu’au Règlement Général relatif à la Protection des Données est au cœur de nos préoccupations.

Contact du DPO : ars-ara-dpd@ars.sante.fr

Conformément au règlement (UE) 2016/679 du Parlement européen et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 (décret 2018-687 du 1er août 2018) , vous pouvez accéder aux données vous concernant ou demander leur effacement. Vous disposez également d'un droit d’opposition, d’un droit de rectification et d’un droit à la limitation du traitement de vos données. Pour exercer ces droits, vous pouvez contacter le Délégué à la Protection des Données (DPO) de l’ARS (ars-ara-dpd@ars.sante.fr).

L’un des principaux enjeux du RGPD est de renforcer le droit des personnes et d’en faciliter leur exercice.

En effet, aux droits d’accès, de rectification, d’effacement et d’opposition qui se voient renforcés viennent s’ajouter de nouveaux droits qui sont le droit à la portabilité, le droit à la limitation du traitement ainsi que le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé.

Pour exercer ces droits,

  • contacter le DPO par voie électronique : ars-ara-dpd@ars.sante.fr 
  • contacter le DPO par courrier postal :
    Le délégué à la protection des données
    ARS Auvergne-Rhône-Alpes
    CS 93383 
    69418 Lyon Cedex

Droit d’accès

Il permet aux personnes d’avoir connaissance des données les concernant traitées et, si nécessaire de savoir si des données les concernant sont traitées et, si c’est le cas, d’en obtenir la communication dans un format compréhensible. Il permet également de contrôler l’exactitude des données et, si nécessaire éventuellement, de les faire rectifier ou effacer.

Pour exercer son droit d’accès, toute personne peut s’adresser directement au responsable de traitement.

Droit de rectification

Il permet de corriger les données inexactes concernant la personne ou de compléter des données.

Droit à l’effacement

Les personnes peuvent demander à un organisme l’effacement des données personnelles les concernant. Ce droit s’applique seulement dans l’une de ces six situations :

  • les données ne sont plus nécessaires au regard des finalités pour lesquelles elles sont collectées ou traitées ;
  • la personne retire son consentement au traitement de ses données ;
  • la personne s’oppose au traitement et il n’existe pas de motif légitime impérieux ;
  • le traitement est illicite ;
  • les données doivent être effacées pour respecter une obligation légale ;
  • les données ont été collectées auprès de mineurs dans le cadre de l’offre de services de la société de l’information.

En revanche, le droit à l’effacement ne peut pas s’appliquer s’il va à l’encontre :

  • du respect d’une obligation légale ;
  • d’un motif d’intérêt public dans le domaine de la santé publique ;
  • des fins archivistiques dans l’intérêt public, des fins statistiques, de recherche scientifique ou historique.

Droit d’opposition

Les personnes peuvent s’opposer au traitement de leurs données. Ce droit peut être exercé à tout moment pour des raisons tenant à la situation particulière de la personne.

Ce droit ne peut être exercé si, par exemple :

  • une obligation légale impose à l’organisme de traiter les données ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

Droit à la portabilité

Ce droit permet à toute personne de récupérer les données personnelles qu’elle a fournies à un responsable de traitement. Ces données doivent être transmises dans un format structuré, couramment utilisé et lisible par une machine.

Ce droit inclut aussi la possibilité de transmettre ces données à un nouveau responsable de traitement, en demandant au responsable initial de procéder au transfert, si cela est techniquement possible.

Ce droit est applicable seulement si les deux conditions cumulatives suivantes sont réunies :

  • le traitement est fondé sur le consentement de la personne ou sur un contrat (exclusion des traitements fondés sur l’intérêt public, l’intérêt légitime du responsable de traitement ou une obligation légale) ;
  • le traitement est effectué à l’aide de procédés automatisés.

Droit  à la limitation du traitement

Lorsqu’une personne souhaite rectifier des informations ou s’opposer à ce qu’elles soient traitées, l’organisme dispose d’un délai d’un mois pour traiter la demande. Pendant ce délai, cette personne peut faire valoir son droit à la limitation pour geler l’utilisation de ces données. L’organisme ne devra plus utiliser les données mais devra les conserver.

Il est aussi possible de demander la limitation du traitement de certaines données lorsque l’organisme souhaite lui-même les effacer.

La limitation peut être demandée uniquement dans l’une des quatre situations suivantes :

  • quand la personne a fait valoir son droit de rectification ;
  • quand la personne a fait valoir son droit d’opposition ;
  • quand les données sont sur le point d’être effacées alors qu’elles sont nécessaires à la personne concernée pour la constatation, l’exercice ou la défense des droits en justice ;
  • quand le traitement est illicite mais que la personne concernée préfère la limitation plutôt que l’effacement des données.

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l’Informatique et des Libertés (CNIL).

Qu’est-ce qu’un traitement ?

  • Un traitement de données personnelles est une opération ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).
  • Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
  • Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation.
  • Exemples de traitements : tenue du registre des sous-traitants, gestion des paies, gestion des ressources humaines, etc.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.

Mais, parce que ces informations concernent des personnes, celles-ci doivent en conserver la maîtrise.

Une personne physique peut être identifiée :

  • directement (exemple : nom et prénom) ;
  • indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).

Qu’est-ce qu’une donnée de santé ?

Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne.

Cette définition comprend donc par exemple :

  • les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
  • les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;

les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).

Aller plus loin

Information en lien avec le signalement d'un des évènements sanitaires indésirables

Lors d'un signalement des évènements sanitaires indésirables, des données à caractère personnel sont traités.