Traitement des données personnelles

Au cours de votre venue au Centre hospitalier ou lors de votre prise en charge via un dispositif de télémédecine, l’établissement peut être amené à collecter différentes catégories de données personnelles :

Le dossier administratif usager peut contenir :

• Des données d’identification : noms, prénoms, date de naissance, sexe, adresse, numéro de téléphone, adresse email, photographie, numéro d’identification patient, identité nationale de santé (INS), numéro d’inscription au répertoire national d’identification des personnes physiques (NIR ou numéro de sécurité sociale).

Le cas échéant, des données d’identification du représentant légal ;

• Des données relatives à la vie personnelle : habitudes de vie nécessaires à l’organisation de la vie quotidienne, contraintes alimentaires, données relatives à la situation familiale ;

• Des données relatives aux conditions de vie matérielles : informations relatives à la situation financière, prestations et avantages sociaux (Aide sociale pour l’hébergement (ASH) et allocation personnalisée d’autonomie (APA) notamment), situation face au logement et à l’hébergement ;

• Des données de couverture sociale : carte vitale, organismes de rattachement et régimes d’affiliation, niveau de prise en charge, droits ouverts ;

• Des informations d’ordre économique

• Informations relatives à l’évaluation sociale et médico-sociale de la personne concernée

• Données d’identification des personnes concourant à la prise en charge sociale et médico-sociale et à l’entourage susceptible d’être contacté : Nom, prénom, qualité, numéro de téléphone, adresse, courriel, des aidants professionnels ou familiaux, du médecin traitant, des médecins experts, de la personne de confiance.

Le dossier médical rassemble :

• Les informations de santé des patients, notamment celles confiées aux médecins du service (antécédents, état de santé, traitements et suivis…) ;

• Les informations relatives aux caractéristiques de votre prise en charge (dates d’entrée et de sortie, mode de prise en charge, personnes à contacter, médecins) ;

• Les résultats et les conclusions des examens cliniques, radiologiques et de laboratoires pratiqués, etc ;

Les traitements de données peuvent notamment être mis en œuvre aux fins suivantes :

• Assurer la prise en charge des personnes, le suivi médical et la coordination des soins ;

• Offrir un accompagnement médico-social adapté : Fournir les prestations définies dans le cadre contrat de séjour (ou le document individuel de prise en charge (DIPEC)) conclu entre l’établissement et la personne concernée ou son représentant légal, élaborer un projet personnalisé d’accompagnement et en assurer le suivi conformément aux dispositions des articles L. 311-3 du CASF, assurer l’accès aux droits relatifs à la fin de vie (information quant à la possibilité de vivre ses derniers jours accompagné et apaisé, accompagnement dans la rédaction des « directives anticipées », etc.) ;

• Assurer la gestion du dossier administratif de la personnes concernée (gestion des rendez-vous médicaux et/ou sociaux, gestion des visites familiales, le cas échéant, etc.) ;

• Echanger et partager les informations strictement nécessaires, dans le respect des dispositions de l’article L. 1110-4 du CSP et des dispositions du CASF, permettant de garantir la coordination et la continuité de l’accompagnement et du suivi des personnes entre les intervenants sociaux, médicaux et paramédicaux ;

• Assurer la gestion administrative (nombre de places disponibles, capacité d’accueil de l’établissement, etc.), financière et comptable de l’établissement ;

• Assurer la remontée des informations préalablement anonymisées aux autorités compétentes concernant des dysfonctionnements graves ou évènements ayant pour effet de menacer ou de compromettre la santé, la sécurité ou le bien-être des personnes prises en charge conformément aux dispositions des articles R. 331-8 et suivants du CASF ;

• Établir des statistiques, des études internes et des enquêtes de satisfaction aux fins d’évaluation et d’amélioration de la qualité des services et des soins ;

L’établissement participe par ailleurs à la démarche nationale engagée par le Ministère de la santé ayant vocation à mesurer la satisfaction des personnes hospitalisées (enquête nationale dénommée e-satis) pour laquelle avec votre accord vous pouvez être contacté (téléphone ou courriel). Ces enquêtes restent, dans tous les cas, facultatives et donnent lieu à l’établissement de statistiques pour calculer des scores de satisfaction.

• Bénéficier de services de conciergerie ou de facilités logistiques (ambulances, télévisions…) ;

Peuvent notamment être destinataires des données :

• Afin de garantir la coordination, la continuité des soins, le suivi médico-social ou social du patient, certaines informations peuvent être partagées ou échangées avec votre médecin traitant et les professionnels assurant votre prise en charge, sauf opposition pour un motif légitime de votre part.

• Les agents des services administratifs chargés de la gestion de votre dossier

• Les agents des services logistiques et informatiques dans la limite de leurs attributions respectives et de leurs habilitations.

• Afin d’élaborer ou réviser le projet régional de santé, d’évaluer la qualité des soins, et d’assurer la veille et les vigilances sanitaires, ou également dans le cadre de la détermination des ressources ou du contrôle de l’activité du Centre Hospitalier, certaines informations doivent être transmises à des organismes publics, autorités de santé, professions réglementées, conformément à la réglementation.

• Certaines de vos données non directement identifiantes transmises par notre département d’information médicale (DIM) à l’Agence technique de l’information sur l’hospitalisation (ATIH), alimentent le Système national des données de santé (SNDS). Le SNDS, géré par la Caisse nationale d’assurance maladie (CNAM), ne contient aucune donnée directement identifiante vous concernant (pas de noms/prénoms ou numéro de sécurité sociale, ni d’adresse postale).

• Sont également susceptibles d’avoir accès à certaines de vos données des sous-traitants contractuellement liés avec le Centre hospitalier, dans le respect des mesures de sécurités adaptées aux données personnelles.

Enfin, les autorités de police, autorités judiciaires ou administratives peuvent être destinataires lorsque nous avons l’obligation légale de le faire ou afin de garantir les droits, les biens et la sécurité du Centre hospitalier.

Conformément au Code de la Santé Publique, les données du dossier médical sont conservées pendant une période de vingt ans à compter de la date du dernier passage dans l’établissement ou, à compter de la date du décès, pendant dix ans.

Les données de transfusion sanguine sont quant à elle conservées au moins 30 ans.

S’agissant des données administratives et en lien avec les services dits de confort, les données sont conservées le temps nécessaire à la facturation ou à la réalisation du service puis archivées en accord avec les durées de prescription légale.

Comment assurons-nous la sécurité de vos Données ?

La politique générale de sécurité des systèmes d’information de santé (PGSSI-S) fixe les exigences de sécurité des services numériques en santé. Elle définit les orientations et les exigences de sécurité mises en œuvre et adaptées au niveau de l’établissement au regard de la nature des données traitées et aux activités.

Des mesures de sécurité physiques, logiques et organisationnelles appropriées sont prévues pour garantir la confidentialité des données, et notamment éviter tout accès non autorisé. Des dispositifs permettent de s’assurer que les sous-traitants présentent des garanties appropriées pour assurer la sécurité et la confidentialité des données personnelles.

Lorsque les données médicales sont conservées par des plateformes extérieures, nous nous assurons que ces plateformes sont certifiées Hébergeur de données de santé (HDS). 

Conformément au droit applicable, vous disposez de droits sur les données personnelles vous concernant :

• Un droit d’accès :
  Vous avez le droit de savoir quelles informations sur vous le centre hospitalier collecte et traite en d’en obtenir communication

Dossier médical : pour l’accès à votre dossier médical, vous devez vous référer à la procédure spécifique existant au sein du Centre Hospitalier.

• Un droit de rectification :

Si vous estimez que vos données personnelles sont inexactes ou incomplètes, vous pouvez exiger que ces données personnelles soient modifiées.

• Un droit à l’effacement (ou à l’oubli) : vous pouvez demander l’effacement de vos données dans la limite du droit applicable, pour un des motifs ci-dessous :
• Vos données ne sont pas ou plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
• Vous retirez votre consentement à l’utilisation de vos données ;
• Vos données font l’objet d’un traitement illicite ;
• Vos données doivent être effacées pour respecter une obligation légale ;
• Vous vous opposez au traitement de vos données et le Responsable de traitement n’a pas de motif légitime ou impérieux pour ne pas donner suite à cette demande.

Ne sont notamment pas concernés par le droit à l’effacement les traitements nécessaires aux fins de diagnostics médicaux, de gestion des services de soins de santé ou ceux qui concernent un intérêt public dans le domaine de la santé publique.

• Un droit à la limitation du traitement de vos données : dans certaines situations, vous pouvez demander la limitation des traitements de vos données, dans les limites du droit applicable.

Ainsi, dans les cas où :

• Vous contestez l’exactitude des données utilisées par le Centre Hospitalier -exercice du droit de rectification-
• Vous vous opposez à ce que vos données soient traitées –exercice du droit d’opposition-,

La loi autorise le Centre hospitalier en tant que Responsable de traitement à procéder à une vérification ou à un examen de votre demande pendant un certain délai. Concrètement, le Centre hospitalier ne devra plus utiliser les données mais devra simplement les conserver. Vous verrez ainsi l’utilisation de vos données « gelées ».

Dans le cas où le Centre hospitalier souhaite lui-même effacer certaines données, le gel des données pourra vous permettre de conserver les données par exemple afin de constatation, exercice ou défense de droits en justice.

• Un droit d’opposition :

Vous pouvez vous opposer à ce que vos données soient utilisées pour un objectif précis dans les limites du droit applicable.

Vous devez mettre en avant « des raisons tenant à votre situation particulière ».
L’exercice de ce droit peut notamment se voir limité en cas d’obligation légale imposant de traiter vos données ou si le traitement de données est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. 
Dossier médical : pour la gestion de votre dossier médical, en application des dispositions de l’article 21 du RGPD et l’article 56 de la loi Informatique et Libertés, le droit d’opposition ne trouvera pas à s’appliquer au dossier médical puisqu’il est basé sur le fondement juridique de l’obligation légale.

• Un droit à la portabilité des données:

Dans les cas où le traitement de données personnelles a été conditionné au dépôt de votre consentement ou si le traitement découle de l’exécution d’un contrat, vous disposez du droit de récupérer ces données vous concernant sous une forme lisible et aisément réutilisable. Lorsque cela est possible techniquement, vous pourrez les transférer ensuite à un tiers.
Ce droit ne s’applique que si les données sont traitées de manière automatisée (les fichiers papiers ne sont pas concernés).

A noter que lorsqu’un consentement à la collecte et au traitement des données a été requis, vous avez le droit de le retirer à tout moment : droit de retrait du consentement.

Par ailleurs, vous pouvez déposer des directives relatives à la conservation, à l’effacement et à la communication de vos données en cas de décès.