Politique de gestion des données à caractère personnel
Le Groupe Kantys veille au respect des principes gouvernant la protection des données à caractère personnel et aux droits des personnes concernées.
Dans ce cadre, il met en place une politique de gestion des données à caractère personnel ayant pour objectif de protéger la confidentialité des informations qu’il traite et les mesures de nature à garantir la sécurité de son système d’information.
Les données concernant les patients font l’objet de traitements conformément aux dispositions du Code de la santé publique, du Règlement UE 2016/679 sur la protection des données du 27 avril 2016 dit RGPD et la loi n°78-17 du 6 janvier 1978 modifiée.
La présente politique a pour objet de vous informer sur les traitements mis en œuvre par nos soins au sein de nos établissements et sur nos sites internet ainsi que sur vos droits en tant que personne concernée.
Nous nous réservons le droit de faire évoluer et de mettre à jour le contenu de notre politique toute modification prenant effet immédiatement. Une information complète vous est également remise lors de votre admission dans nos établissements. Pour leur parfaite information, nos usagers sont invités à consulter régulièrement celle-ci sur notre site internet.
- Quelques définitions
Les termes suivants sont définis conformément aux dispositions de l’article 4 du Règlement (UE) 2016/679 dit « RGPD » et de la loi du 6 janvier 1978 modifiée.
Données à Caractère Personnel ou Données : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Données Relatives à l’état de Santé ou Données de Santé : Données à Caractère Personnel relatives à la santé physique ou mentale des personnes concernées, y compris celles relatives à la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de ces personnes.
Personnes concernées : toute personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Responsable du traitement : la personne morale qui détermine les finalités et les moyens du traitement, ici le groupe Kantys et ses établissements.
Traitement de Données à Caractère Personnel ou Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à Caractère Personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification…
- Finalités des Traitements mis en œuvre par nos établissements
Les Traitements mis en œuvre par les établissements du Groupe Kantys sont nécessaires pour vous fournir nos services de santé et pour la mise en œuvre de nos activités. Ils concernent principalement les patients de nos établissements et leurs personnels (soignants, administratifs, encadrants).
Les Responsables de traitement sont les différents établissements de santé, représentés par leurs directeurs respectifs.
Ces Traitements sont mis en œuvre pour les finalités suivantes :
- Pour vous permettre de gérer votre parcours de soins ;
- Pour vous identifier et assurer la continuité et la sécurité des soins ;
- Pour assurer la prestation de soins, la prescription et la délivrance de médicaments ;
- Pour assurer la constitution de votre dossier médical, conformément aux dispositions du Code de la santé publique ;
- Pour la gestion administrative de nos services et leur facturation ;
- Pour le remboursement de vos prestations par les organismes d’assurance maladie et complémentaire ;
- Pour mettre à votre disposition des services complémentaires comme la réservation ou la consultation de résultats ;
- L’exercice ou la défense de nos droits, le cas échéant ;
- Pour assurer votre sécurité au sein de nos établissements équipés de vidéoprotection;
- Pour répondre aux obligations de vigilance sanitaire ;
- Pour l’analyse et l’évaluation de nos activités de soins ;
- Pour vous adresser nos communications si vous le souhaitez.
- Bases juridiques des Traitements
Pour pouvoir être mis en œuvre, tout Traitement de données doit se fonder sur l’une des « bases légales » prévues par les textes applicables, autorisant sa mise en œuvre.
Les Traitements réalisés au sein de nos établissements se fondent sur les bases suivantes :
- L’exécution du contrat de soins qui vous lie à l’établissement ou l'exécution de mesures précontractuelles (article 6 (1) b du Règlement (UE) 2016/679) et parce que le Traitement est nécessaire aux fins de diagnostics médicaux, de prise en charge sanitaire ou de gestion des systèmes et des services de soins de santé (article 9 (2) h) du Règlement européen 2016/679 ) ;
- Le respect d'une obligation légale à laquelle le Responsable du traitement est soumis (article 6 (1) c) sous les mêmes conditions;
- Pour certains de nos établissements chargés d’une mission d'intérêt public, l'exécution de cette mission (article 6 (1) e) ;
- La sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement (articles 6, (1) d et 9, (2 ) c) dans les cas d’urgence ;
- Dans certains cas et pour les données de santé pour des motifs d'intérêt public dans le domaine de la santé publique (article 9 (2) i) notamment en ce qui concerne les veilles sanitaires ;
- L’intérêt légitime poursuivi par le Responsable du traitement, par exemple pour analyser et améliorer ses services (article 6 (1) f) ;
- Votre consentement lorsqu’il est nécessaire (article 6 (1) a).
- Données traitées
Les Données traitées par nos établissements sont collectées directement auprès de nos usagers ou indirectement par l’intermédiaire des professionnels de santé membres de l’équipe de soins ou nos partenaires.
Ce sont notamment:
- Les données identifiantes : nom(s), prénom(s), date de naissance, coordonnées des personnes concernées mais également l’Identifiant National de Santé (INS) et le Numéro de Sécurité Sociale ;
- Certaines données relatives à votre vie personnelle lorsque cela est nécessaire à votre prise en charge : la composition de votre famille, la désignation d’une personne de confiance, par exemple ;
- Les données relatives à votre santé : antécédents, diagnostics y compris d’imagerie, traitements) et, au besoin, d’autres données sensibles.
- Les données de nature administrative et financière : identifiant auprès des organismes mutualistes, données relatives au paiement ;
- Votre image lorsque la vidéoprotection s’applique.
En application du principe de minimisation, seules les informations adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées sont collectées.
- Destinataires des Données
Les Données sont destinées aux personnels des établissements concernés habilités à les traiter dans le cadre de leurs fonctions ainsi qu’aux professionnels de santé membres de l’équipe de soin intervenant dans votre prise en charge. Les informations nécessaires à la coordination ou à la continuité des soins ou à votre suivi médico-social pourront être transmises à d’autres professionnels de santé avec votre consentement.
Les Données peuvent être transmises à des organismes publics ou privés, autorités de santé et professions réglementées dans le strict périmètre de leur mission.
Elles peuvent également être transmises à des prestataires et sous-traitants intervenant pour le compte de notre Groupe ou de nos établissements. Dans ce cadre les tiers n’ont qu’un accès limité aux données strictement nécessaires à leur mission et sont contractuellement tenus à une obligation de confidentialité et de sécurité vis-à-vis des Données concernées. Les Traitements directement mis en œuvre par des partenaires pour la mise à disposition de services complémentaires tels que la réservation ou la consultation de résultats sont régis par les conditions d’utilisation desdits partenaires et leur politique de confidentialité, que l’utilisateur est invité à consulter régulièrement.
- Conservation des données
Les Données sont conservées pendant la durée nécessaire aux finalités poursuivies, sous réserve de l’application d’une durée de conservation plus longue s’imposant en vertu d’une obligation légale ou réglementaire ou lorsque cette conservation est rendue nécessaire pour l’exercice ou la défense de nos droits.
Les Données du dossier médical sont conservées à minima pendant une durée de vingt ans à compter de la date du dernier séjour dans l'établissement ou de la dernière consultation externe ou jusqu’au vingt-huitième anniversaire du mineur ou pour une durée de dix ans à compter de la date du décès , conformément aux dispositions de l’article R1112-7 du Code de la santé publique.
Les Données relatives aux recherches cliniques sont conservées pendant les durées légales ou réglementaires applicables selon les catégories de recherche. Par exemple, les données relatives aux personnes se prêtant à une recherche impliquant la personne humaine (RIPH) nécessitant le consentement de la personne concernée (MR-001), doivent être conservées pendant une durée définie par le responsable de traitement et n’excédant pas celle nécessaire au regard des finalités de la recherche.
Les Données relatives à des examens de caractéristiques génétiques sont conservés pendant trente ans par les laboratoires d’analyses de biologie médicale, conformément aux dispositions de l’article R1131-20 du Code de la santé publique.
Les Données relatives aux documents de vigilance sanitaire sont conservées pendant une durée définie en fonction de la finalité du traitement. Elles sont conservées pendant la durée légale ou réglementaire applicable à chaque vigilance sanitaire. Par exemple, les données et documents de pharmacovigilance relatifs à une spécialité pharmaceutique sont conservés pendant la durée de l’autorisation de mise sur le marché et dix ans après que cette autorisation cesse d’exister, conformément à la délibération n°2014-099 du 20 mars 2014 prise par la Commission nationale de l’informatique et des libertés.
Les Données relatives à la facturation et au paiement des actes ainsi qu’aux prestations sociales sont conservées conformément aux dispositions légales. Par exemple, le double électronique des feuilles de soins transmises, ainsi que leurs accusés de réception sont conservées pendant 90 jours à compter de leur émission.
Les images de vidéoprotection sont conservées pendant un mois.
- Sécurité des Données
Notre Groupe met en œuvre les mesures organisationnelles techniques logicielles et physiques appropriées pour préserver et garantir la sécurité, l’intégrité et la confidentialité des Données, conformément aux dispositions de la loi n°78-17 du 6 janvier 1978 modifiée, du Règlement UE 2016/679 sur la protection des données du 27 avril 2016 et du Code de la santé publique.
En cas de recours à des prestataires externes, le Responsable du traitement s’assure que ceux-ci présentent les garanties suffisantes permettant d’assurer la protection de vos données. Nos prestataires sont tenus d’une stricte obligation de confidentialité.
En cas d’hébergement externe des données, l’établissement Responsable du traitement s’assure que celui-ci est réalisé par un hébergeur de données de santé certifié conformément à l’article L. 1111-8 du Code de la santé publique. Vous avez le droit de vous opposer à l’hébergement externe de vos données pour un motif légitime.
- Information et droits des personnes concernées
Les personnes concernées reçoivent une information circonstanciée lors de chaque collecte de Données sauf lorsque cette information est rendue impossible en raison des circonstances de la prise en charge. Cette information porte notamment sur l’identité du Responsable du traitement, de la finalité des Traitements mis en œuvre, le caractère obligatoire ou facultatif des réponses et les droits dont elles disposent à l’égard des Traitements mis en œuvre. Lorsqu’il est nécessaire, le consentement de la personne concernée est expressément demandé.
Les personnes concernées disposent d’un droit d'accès aux Données les concernant et, sous réserve des conditions prévues par les dispositions applicables, d’un droit de rectification des Données inexactes ou erronées (articles 15 et 16 du Règlement (UE) 206/679 du 27 avril 2016).
Sous réserve des conditions légales et réglementaires applicables, vous disposez également de :
- Droits de retirer votre consentement: lorsque le Traitement se fonde sur le consentement, celui-ci peut être retiré à tout moment.
- Droits à la portabilité: vous pouvez demander à recevoir les Données que vous avez fourni et qui sont traitées de façon automatisée pour l’exécution d’un contrat ou sur la base de votre consentement. Cette hypothèse concerne par exemple les données fournies par vos soins dans une application mise à votre disposition par l’un de nos établissements (article 20 du Règlement (UE) 206/679 du 27 avril 2016).
- Droits à l’effacement: lorsque les Données qui ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées sous réserve que leur conservation ne soit pas imposée par une obligation légale (article 17 du Règlement (UE) 206/679 du 27 avril 2016). A titre d’exemple, vous ne pouvez pas solliciter l’effacement des Données de votre dossier médical.
- Droits d’opposition: ce droit s'exerce dans les conditions prévues à l'article 21 du Règlement (UE) 2016/679 du 27 avril 2016 et 56 de la loi n°78-17 du 6 janvier 1978.
- Droits à la limitation du Traitement: ce droit permet d'obtenir du Responsabledu traitement la limitation du Traitement dans les conditions de l’article 18 du Règlement (UE) 2016/679 du 27 avril 2016.
- Droits de définir du sort de vos données après votre décès : vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos Données après votre décès directement auprès du Responsable du traitement concerné ou auprès d'un tiers de confiance numérique certifié par la Commission nationale de l'informatique et des libertés (pour exercer ce droit).
Pour exercer vos droits vous pouvez vous adresser à notre Délégué à la Protection des Donnés par mail à l’adresse :dpo@kantys.org ou par voie postale à l’adresse : Air Promenade, 470 Promenade des Anglais, 06200 Nice en précisant vos coordonnées et l’objet de votre demande. Cette adresse ne traite pas les demandes d’accès au Dossier médical qui doivent être formulées auprès du professionnel de santé ou de l’établissement de santé ayant assuré la prise en charge.
Les personnes concernées disposent également du droit d’introduire une réclamation auprès d’une autorité de contrôle notamment auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL).