Protection des données personnelles

1.Préambule

Conformément à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (ci-après loi "Informatique et Libertés") et au règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le "RGPD"), l’Agence Régionale de Santé (ARS) de Normandie et le Groupement de Coopération Sanitaire Normand’e-santé (ci-après NeS) en qualité de responsables de traitement, garantissent le respect de la vie privée des usagers du site leur permettant d’accéder à un bouquet de services numériques au service de sa santé.

Les responsables du traitement sont les personne physiques ou morales, l'autorité publique, le service ou un autre organisme qui, seuls ou conjointement avec d'autres, déterminent les finalités et les moyens du traitement.

Dans le cas présent, il s’agit de :

  • L’Agence Régionale de Santé de Normandie (ARS)
  • Normand'e-santé (NeS)

Ci-après "les responsables conjoints".

La présente politique de protection des données personnelles (ci-après la "politique") regroupe les informations relatives aux données à caractère personnel (ci-après, les "données") traitées par les responsables conjoints.

Les données des usagers qui utilisent les services du site sont hébergées par un hébergeur d'infrastructure physique ayant reçu la certification HDS (Hébergeur de Données de Santé).

 

2.Définitions

Les termes définis ci-dessous auront, entre les parties, au singulier comme au pluriel, la signification suivante :

  • "Données" désigne toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une "personne physique identifiable", directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; tel que ce terme est défini par la réglementation en vigueur.
  • "Identifiant(s)" : le ou les élément(s) placé(s) sous le contrôle exclusif de l’usager et lui permettant d’avoir accès au Site.
  • "Parties" désigne l’ARS de Normandie, NeS, les établissements adhérents de NeS ou les professionnels libéraux de santé et l’usager.
  • "Sous-traitant" désigne l’éditeur des solutions logicielles utilisées pour répondre aux "services" attendus dans le cadre du programme e-Parcours sur l’environnement régional Norm’Uni.
  • "Portail d’accès Norm’Uni" désigne le site web permettant à l’usager d’accéder aux services fournis par l’ARS de Normandie et NeS dans le cadre de la déclinaison normande du programme e-parcours.
  • "Programme normand e-parcours" : programme régional de transformation et de digitalisation du système de santé visant à faciliter la coordination des soins dans les territoires, regroupant plusieurs services mis à disposition par l’ARS de Normandie et NeS. Ceux-ci constituent le bouquet des services régionaux Norm’Uni.
  • "Réglementation applicable" désigne (1) la Loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après loi "Informatique et Libertés"), (2) le règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le "RGPD"), (3) les décrets d’application de la loi n°78-16 du 6 janvier 1978 modifiée, ainsi que (4) toute règlementation relative aux traitements de données personnelles ainsi qu’à la protection de la vie privée et des communications électroniques applicable.
  • "Services" désigne l’ensemble des services fournis à l’usager par l’ARS de Normandie et NeS.
  • "Traces" désigne les données issues du système et des composants applicatifs du site. Ces données assurent la traçabilité des actions des usagers et de l’exploitation du site.
  • "Traitement de données personnelles" désigne une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).
  • "Usager" : toute personne physique faisant l’objet d’une prise en charge par des professionnels de santé libéraux et hospitaliers, des établissements de santé et des établissements et services médico-sociaux, des acteurs de la prévention et de l’éducation thérapeutique, situés sur le territoire de Normandie ayant expressément accepté les CGU et bénéficiant à ce titre des services proposés sur le site.

 

3.Finalités du traitement

Le traitement de données personnel visé dans la présente politique a vocation à permettre l'amélioration de la prise en charge et de la continuité des soins à l'échelle du territoire régional. Dans ce cadre, les finalités poursuivies sont les suivantes :

Finalité(s) Base légale
Assurer l’authentification des usagers. Intérêts légitimes du GCS NeS et de l’ARS de Normandie pour fournir aux usagers un accès sécurisé au portail de santé régional et à son bouquet de services numériques.

Permettre aux usagers d’accéder à l’ensemble des solutions régionales sans devoir s’authentifier une deuxième fois (SSO).
Décrire et gérer les habilitations des usagers. Intérêts légitimes du GCS NeS et de l’ARS de Normandie afin de garantir la sécurité des outils numériques régionaux mis à disposition des usagers et la confidentialité des données.
Assurer une traçabilité de l’ensemble des actions effectuées.
Produire des statistiques simples relatives à l’usage du portail par les usagers. Intérêts légitimes du GCS NeS et de l’ARS de Normandie pour analyser l’audience du portail de santé afin d’améliorer l’expérience utilisateur et de promouvoir son usage.

 

Le traitement de données personnelles mis en œuvre à l’occasion de l’exploitation de NORM’UNI repose sur les intérêts légitimes des responsables conjoints.

En toute hypothèse, les intérêts légitimes des responsables conjoints ne sauraient aller à l’encontre des droits et libertés des personnes concernées.

 

4.Données collectées

Pour le traitement de données personnelles mis en œuvre, les responsables conjoints s’engagent à ne collecter et traiter que des données adéquates, pertinentes et non excessives au regard des finalités précitées.

Les responsables conjoints sont susceptibles, selon les finalités, de collecter les données suivantes :

Données des usagers

  • Données d’identification obligatoires : nom d’usage, nom de naissance, prénoms, genre, date de naissance, INS ;
  • Données d’identification optionnelles mais recommandées : coordonnées (électroniques, postales, téléphoniques) ;
  • Données de connexion : identifiants des terminaux, identifiants de connexion, informations d’horodatage, identification des actions ;
  • Données de localisation : coordonnées GPS (collectées dans le cadre de la localisation pour la prise de RDV) ;
  • Données d’identification des usagers : numéro de sécurité sociale, Identifiant Nationale de Santé (INS) ;
  • Données de santé : pathologies, affections, antécédents familiaux, données relatives aux soins (données nécessaires à la coordination ville/hôpital, données liées aux parcours de situation complexe, données d’imagerie médicale, données de biologie en format pdf ou structuré…) ;
  • Données sur la vie professionnelle : le cas échant.

 

Données des aidants ou personnes tierces

  • Données d’identification : nom, prénom, coordonnées (postales, électroniques, téléphoniques) ;
  • Type de relation avec la personne concernée : conjoint, aidant, famille, tuteur, personne de confiance.

 

Données sur l’équipe de soins

  • Liste des professionnels : prise en charge de l’usager et épisodes de soins associés.
     

Données des représentants

  • Données d’identification : nom, prénom, coordonnées (postales, électroniques, téléphoniques) ;
  • Type de relation avec la personne concernée : conjoint, aidant, famille, tuteur, personne de confiance ;
  • Données de connexion : identifiants des terminaux, identifiants de connexion, informations d’horodatage, identification des actions ;

Sauf mention contraire, les données collectées sont toutes nécessaires pour pouvoir fournir les services proposés par les responsables conjoints.

 

En cas de non-fourniture des données, les usagers sont informés que le traitement de données effectués par les responsables conjoints ne pourra pas être mis en œuvre.

 

5.Source des données

Les responsables conjoints collectent les données directement auprès des personnes concernées aux moyens de :

  • De la navigation de la personne sur le site internet des responsables conjoints ;
  • Du compte utilisateur crée par la personne concernée.

 

6.Destinataires des données

Les données sont traitées par les personnels des équipes internes des responsables conjoints spécifiquement habilitées pour les finalités précitées. En outre, les prestataires de service et leur personnel limitativement habilité sont autorisés à accéder aux données, dans le strict respect des prestations qui leur sont confiées et qu’ils doivent réaliser pour le compte exclusif des responsables conjoints, en conformité avec les obligations de sécurité et de confidentialité imposées par la règlementation.

 

Lorsque la règlementation applicable l’exige, les responsables conjoints sont susceptibles de transmettre les données aux organismes et autorités légalement autorisés à y accéder, notamment les autorités judiciaires et administratives.

 

7.Durée de conservation des données

Les responsables conjoints conservent les données pendant une durée qui n’excède pas la durée nécessaire pour répondre aux finalités exposées dans la présente politique. Au-delà, les données sont susceptibles d’être archivées pour respecter les obligations auxquelles les responsables conjoints sont soumis, ou à défaut, supprimées.

 

Les données des usagers sont conservées par les responsables conjoints pendant un temps limité, soit le temps où vous utilisez votre compte et jusqu'à ce que vous le supprimiez.

 

Si vous n'utilisez plus votre compte pendant un certain temps, nous le supprimerons ainsi que les données personnelles associées après vous avoir demandé si vous souhaitez ou non le conserver.

 

Les durées de conservation des données sont déterminées par catégorie en fonctions des usages, à savoir :

  • Les données de connexion (traces techniques) seront accessibles pendant 1 an aux utilisateurs habilités, elles seront ensuite archivées pendant 10 ans aux fins de couvrir le délai de prescription prévu par l'article L. 1142-28 du Code de la santé publique en matière de responsabilité médicale (dix ans à compter de la consolidation du dommage) ;
  • Les données saisies directement sur Norm’Uni seront conservées 5 ans à compter de la clôture du compte usager (dossier inactif) en base active, puis 5 ans en base archive ;
  • L’INS est conservé pendant les durées prévues par les dispositions législatives et réglementaires applicables à la conservation des dossiers médicaux en tant que trait fort d'identitovigilance ;
  • Les données de connexion (logs) du site internet sont conservés pour une durée de six mois.

A l’issue de ces délais, les données seront détruites.

 

8.Sécurité des données

Les responsables conjoints prennent toutes les précautions utiles afin de préserver la sécurité et la confidentialité des données pour empêcher, notamment, qu’elles soient déformées, endommagées, divulguées ou que des tiers non autorisés y aient accès.

 

Les mesures techniques et organisationnelles prises aux fins de protéger les données sont adaptées aux risques identifiés en cas de violation de données.

Les responsables conjoints s’engagent à mettre en œuvre les mesures de sécurité suivantes :

1. Chiffrement : des mécanismes permettant des échanges sécurisés et vérifiant l’intégrité des données échangées sont utilisés ;

2. Traçabilité : toutes les actions sont tracées afin de piloter le bon usage des accès et de mettre œuvre des règles de bon usage, de remonter des alertes automatiques avec levées de doute en cas de suspicion d’usage anormal ou déviant ;

3. Contrôle des accès : les accès et l’exploitation de la plateforme Norm’Uni, sont réalisés par le biais d’un mécanisme central déployé au sein des outils de gestion de la plateforme régionale permettant l’authentification forte et le suivi des actions réalisées ;

4. Cloisonnement : au niveau du stockage des données, l’intégrité et de la durabilité du stockage des données de la plateforme est garantie ;

5. Contrôle d’intégrité : des mécanismes permettant les échanges sécurisés et vérifiant l’intégrité des données échangées (services Web ou autres) sont utilisés. Les outils de gestion de la plateforme régionale Norm’Uni assure de la cohérence et l’intégrité des données sauvegardées ;

6. Archivage : les traces et horodatages des accès et actions seront conservées dans une base séparée pendant 1 an, puis archivées pendant 10 ans. A l’issu de ce délai, les données seront détruites ;

7. Sécurisation : la certification ISO 27001 détenue par AZ Network (hébergeur de l’infrastructure régionale de Norm’Uni), apporte la garantie d’une organisation gérant la Sécurité de l’Information (sécurité physique, logique et des ressources humaines) ;

8. La pseudonymisation et le chiffrement des données à caractère personnel dès lors que cela est rendu possible par les finalités du traitement ;

9. Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement ;

10. Les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

11. Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Les responsables conjoints s’engagent à mettre en œuvre les mesures de sécurité prévues par les référentiels de l’ANS et notamment la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S).

 

9.Transferts internationaux des données

Dans le cadre des finalités définies dans la présente politique, les données ne font pas l’objet d’un traitement en dehors de l’Union Européenne.

 

10.Droits des personnes sur leurs données

Les personnes concernées par le traitement de données personnelles sont informées qu’elles disposent d’un droit d’accès, de rectification, de limitation, de suppression, de portabilité (lorsqu’il s’applique) et d’opposition sur les données les concernant.

 

Les personnes disposent également d’un droit de définir des directives relatives au sort de leurs données personnelles après leur décès. Elles sont en droit de prévoir, aux côtés des responsables conjoints, des directives relatives à leur conservation, leur effacement et leur communication après le décès.

 

En l’absence de directives ou de mention contraire dans ces directives, les héritiers de la personne concernée pourront, en produisant un certificat de décès, exercer lesdits droits sur les données, sous réserve des dispositions légales applicables.

 

Les personnes concernées ou les ayant-droits peuvent exercer les droits précités en s’adressant au service DPO à l’adresse de contact suivante :  dpo@norm-uni.fr, l’adresse postale 7 longue vue des Astronomes, 14111 Louvigny.

 

Si les personnes concernées estiment que leurs droits n’ont pas été respectés, elles sont en droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL). Pour plus d’informations, les personnes peuvent consulter le site internet de la Commission à l’adresse suivante :  https://www.cnil.fr

 

11.Modification

Toute modification par les responsables conjoints de la présente politique fera l’objet d’une mise à jour sur le site. Les usagers sont invités à consulter régulièrement la présente politique afin de prendre connaissance de toute mise à jour ou modification.

Si l'une quelconque des clauses de la présente politique est déclarée nulle ou contraire à la réglementation, elle sera réputée non écrite mais n'entraînera pas la nullité des autres clauses de la politique.

 

12.Gestion des cookies

Le site internet https://www.norm-uni.fr permettant à l’usager d’accéder aux services fournis par l’ARS de Normandie et le GCS NeS, implante des " cookies » c’est-à-dire des fichiers de petite taille, sur votre disque dur, afin de faciliter votre accès aux services proposés.

Pour en savoir plus : politique de gestion des cookies : https://www.norm-uni.fr/portail.pro/politique-de-gestion-des-cookies/politique-de-gestion-des-cookies,4553,5926.html  

À tout moment, vous pouvez mettre à jour la gestion de vos cookies et modifier vos choix concernant l’acceptation ou le refus en vous rendant dans la rubrique https://www.norm-uni.fr/#tarteaucitron