Politique de protection des données personnelles de santé
Le site Entr'Actes est édité par la société Medi'Call Concept, SASU au capital de 100 000 € dont le siège social est situé Moulin Grenat, Voie des Trois Ormes - 91490 COURANCES, immatriculée au Registre du Commerce et des Sociétés d'EVRY sous le numéro 44258846300038.
Medi'Call Concept s’engage à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données » ou RGPD).
Et en outre à respecter la déontologie liée à l'exercice de la médecine
Medi'Call Concept met tout en oeuvre pour garantir la sécurité et la confidentialité des données personnelles de ses utilisateurs
Les données collectées par le service Entr'Actes sont stockées chez un hébergeur de données santé ayant reçu l'agrément du Ministère de la Santé
Les données et services sont redondés dans deux DATACENTER géographiquement distincts : Alençon et Paris :
AZNETWORK
Cette politique fait partie intégrante des conditions générales d'utilisation du service Entr'Actes, et comme les CGU, peut être modifiée, complétée ou mise à jour afin notamment de se conformer à toute évolution légale, réglementaire, jurisprudentielle et technique. Cependant, les Données Personnelles de l’Utilisateur seront toujours traitées conformément à la politique en vigueur au moment de leur collecte, sauf si une prescription légale impérative venait à en disposer autrement et serait d'application rétroactive.
Medi'Call Concept souhaite vous faire part, par votre lecture de cette politique, de l'usage qui est fait des données à caractère personnel de ses utilisateurs
Article 1 : Responsable de Traitement
Selon la définition de la CNIL,
Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal. Concernant les données collectées lors de la saisie par l'utilisateur sur le site Entr'Actes, contact@entractes.fr Medi'Call Concept Moulin Grenat 91490 Courances Article 2 : Coordonnées du DPO
Le DPO, pour « Data Protection Officer », est une personne en charge de la protection des données personnelles traitées par un organisme (administration, entreprise...). Il s'agit d'un nouveau métier porté par le RGPD 2018, le règlement européen sur la protection des données, dont l'entrée en vigueur interviendra le 25 mai 2018. Ce texte rend sa désignation obligatoire pour un grand nombre de responsables de traitement de données personnelles.
Les missions du DPO consistent à informer, conseiller et former le responsable du traitement de données (ou son sous-traitant) ainsi que ses employés. Il leur précise les obligations qu'ils doivent respecter au regard de la réglementation européenne, dont il contrôle la bonne application. Il coopère également avec la CNIL, dont il est un interlocuteur privilégié. Le DPO sert donc principalement à permettre à un organisme effectuant des traitements de données personnelles de s'assurer qu'il respecte bien la réglementation applicable à leur protection.
Le DPO peut être un salarié du responsable de traitement de données ou du sous-traitant. Mais il peut aussi accomplir ses missions en signant un contrat de service.
Pour toute question de l'utilisateur ou réclamation concernant le RGPD et son respect par Medi'Call Concept dans le cadre du service Entr'Actes, contacter le DPO à l'adresse suivante :
DPO Medi'Call Concept Moulin Grenat 91490 Courances ou par mail à rgpd@entractes.fr Article 3 : Données personnelles et données santé collectéesProfessionnels de santé utilisateurs du site
Nom, Prénom, Profession : pour l'identification du professionnel
Identification nationale dans les répertoires de professionnels de santé :
Numéro RPPS, pièce justificative : pour la vérification d'existence auprès du répertoire national des professionnels de santé
Numéro ADELI : pour la vérification d'existence auprès du répertoire national des professionnels de santé
Lieu d'exercice, siège : pour identifier le périmètre de déclenchement du professionnel.
Réseau d'appartenance : définit la notion d'appartenance à un réseau de profesionnel, à un territoire (Ex : CPTS)
Numéro de téléphone portable: permet l'envoi du jeton unique de connexion, ainsi que des SMS d'informations concernant le suivi de certaines prises en charge
Numéro de téléphone de cabinet: permet la mise en relation avec les autres professionnels de santé
E-mail: permet l'envoi du jeton unique de connexion
Patients objets d'une demande de prise en charge
Nom, Prénom, Date de naissance, Sexe, Genre : pour l'identification unique du patient
Lieu de résidence : pour permettre la prise en charge à domicile du patient ainsi que le calcul de la liste des professionnels compétents pour intervenir à ces coordonnées.
Numéros de téléphone, email : Pour permettre la mise en relation entre les professionnels de santé acteurs de la prise en charge et le patient
Article 4 : Sécurité des données
Les données de nos Utilisateurs sont stockées exclusivement en France
Medi'Call Concept a confié l’hébergement du site Entr'Actes à la société AZNETWORK, hébergeur de données santé, pour assurer la sécurité des données personnelles confiées par ses utilisateurs, conformément au code de la Santé publique
Medi'Call Concept intègre une équipe d'experts en informatique afin de tout mettre en oeuvre pour garantir la sécurité du stockage , et de l'accès aux données.
A cet égard, la connexion au service Entr'Actes nécessite une authentification forte parmi les suivantes :
Cartes CPS/CPE/CPA
Double facteur : Combinaison d'un login/mot de passe et d'un jeton reçu par Mail ou SMS
SSO : Notre plateforme est compatible avec les portails d'authentification suivants : ENRS IDF, IDEO Grand Est, Pro Sante Connect
Article 5 : Conservation des données
Les données personnelles citées ci-dessus sont conservées aussi longtemps que nécessaire pour le traitement des demandes et l'affichage des demandes archivées.
Ces données seront conservées pour une durée maximale de 5 ans (sauf demande explicite de l'utilisateur). Article 6 : Droit des utilisateurs
les Utilisateurs d'Entr'Actes disposent des droits suivants, conformément à la législation européenne en vigueur :
droit à l'oubli et au déréférencement
le droit à l'accès, la rectification, l'opposition et l'information des données
droit d’effacement des données lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite
droit au retrait du consentement
droit à la portabilité des données collectées par l'utilisateur
Article 7 : Droits du patientContexte
Pour délivrer des prestations médicales et gérer leur activité de prise en charge des patients, les professionnels de santé, utilisateurs de la plateforme numérique Entr’Actes, mettent en œuvre des traitements de données à caractère personnel.
Ces données se rapportent aux patients (identité, coordonnées, données médicales, données administratives), éventuellement à leur famille ou leurs proches, mais aussi à l’ensemble des professionnels libéraux, employés ou prestataires, intervenant dans le cadre de la prise en charge du patient dans le parcours Entr’Actes.
Cette page « Droits du patient » vous apporte une information simple et lisible sur la nature de ces traitements de données. Elle vous fournit les éléments pour comprendre l’usage fait de vos données et, le cas échéant, pour exercer vos droits prévus par les réglementations en vigueur.
Réglementations en vigueur
La protection de vos données est gouvernée par trois textes principaux, à savoir :
La loi Informatique et Liberté française (dite loi CNIL – 1978 et révisions successives) ;
Le RGPD ou règlement européen sur la protection des données ;
Divers codes dont le Code de la Santé Publique et le Code du Travail.
Le RGPD – Règlement européen Général sur la Protection des Données – est en vigueur depuis le 25 mai 2018. Il s’applique à toutes les entreprises traitant des données à caractère personnel d’un citoyen de l’Union Européenne. Il confère aux personnes concernées des droits accrus d’accès, de rectification, d’opposition ou de portabilité selon le type de traitement de données. Il demande aux entreprises de mettre en œuvre un inventaire systématique des traitements de données et un suivi des risques associés, puis de déployer des moyens de protection et de suivi dans la durée. Il exige également de prévoir des dispositifs de réaction en cas d’atteinte aux données.
La loi française Informatique et Liberté (1978, révisée en 2001 et 2018) impose des obligations particulières aux entreprises françaises pour certains traitements de données sensibles. Elle désigne la CNIL – Commission Nationale Informatique et Liberté – comme autorité de contrôle et de sanction de la RGPD pour la France.
Le Code de la Santé Publique et le Code du Travail fixent un ensemble d’obligations que doivent respecter les entreprises pour la bonne protection des données à caractère personnel des patients ou des employés : constitution et protection des dossiers médicaux, durées de conservation obligatoires, gestion des données du personnel, droits d’accès, etc.
Responsabilités
Les traitements de données, dans leur finalité et leurs moyens, sont définis et décidés par un ou plusieurs « responsables de traitement ». Dans la majorité des traitements de données, le directeur médical de la plateforme Entr’Actes ainsi que les professionnels de santé libéraux acteurs sont en charge de cette définition.
Le directeur médical de la plateforme Entr’Actes est le représentant référent pour la solution numérique.
Sur chaque territoire, un ou plusieurs professionnels de santé sont responsables du projet de santé local qu’ils animent, ainsi que de l’utilisation de l’ensemble des données qui sont produites par les adhérents au projet.
Divers prestataires de services peuvent contribuer à la réalisation des traitements de données à caractère personnel en réalisant tout ou partie des actions de manipulation de données : centre d’appels qui reçoit les demandes de coordination, collecte, effacement, accès assurés par la société MédiCallConcept, stockage, archivage assuré par un Hébergeur de Données de Santé agréé. Au sens du RGPD, ils portent aussi de nombreuses obligations de protection. Les contrats passés au nom de la solution Entr’Actes ou plus généralement par la société MediCallConcept avec leurs fournisseurs ou partenaires fixent le cas échéant les obligations des parties en matière de RGPD et de protection de données personnelles.
Recensement des traitements de données
Conformément aux exigences du RGPD, la société MediCallConcept, pour la solution Entr’Actes, a élaboré et maintient un inventaire des traitements de données personnelles recensant les responsabilités, les finalités, la base légale, les catégories de données personnelles et personnes concernées, les destinataires, l’hébergement dans l’UE, la durée de conservation, les mesures de sécurité.
Délégué à la protection des données
Traitant d’un grand nombre de données sensibles (notamment médicales), le RGPD demande aux entreprises la désignation d’une personne portant un rôle de délégué à la protection des données. Conformément à ces exigences, la société MediCallConcept, pour Entr’Actes, a désigné un Délégué à la Protection des Données – désigné par les sigles DPO et accessible directement à l’adresse rgpd@medicallconcept.com.
Vous pouvez aussi contacter ce délégué librement par courrier postal à : MediCallConcept, Moulin Grenat, 91490 Courances.
Il est l’interlocuteur de la CNIL pour toute investigation ou traitement d’incident relatif aux données des personnes. Il fournit par ailleurs expertise, méthodologie et suivi au responsable médical, gérance de la société et tous les professionnels responsables de projet de santé de coordination utilisateurs de la plateforme Entr’Actes. Enfin, il coordonne pour votre compte le traitement de vos requêtes si la réponse à votre interlocuteur professionnel de santé en première intention est incomplète ou insuffisante.
Droits d’accès au dossier médical
Cf. articles L 1111-7 et R 1111-2 à R 1111-9 du Code de la Santé Publique.
Un dossier médical est constitué par les professionnels amenés à vous prendre en charge au sein de la plateforme numérique Entr’Actes. Il comprend des données informatisées, administratives et les informations de santé vous concernant. Vous avez un droit d’accès à ces informations, exception faite des notes personnelles du professionnel de santé et des informations communiquées par un tiers. Vous pouvez accéder à votre dossier médical. Une demande écrite doit être faite auprès du responsable de la structure portant le projet de santé auquel participe votre professionnel de santé, avec photocopie de votre carte d’identité recto-verso.
La communication du dossier a lieu au plus tard 8 jours à compter de la date de réception de la demande et au plus tôt après l’observation d’un délai légal de quarante-huit heures. Pour une prise en charge datant de plus de cinq ans, un délai de deux mois sera nécessaire. La consultation des données sur place est gratuite. Si vous souhaitez en obtenir la photocopie, les frais de reproduction et le cas échéant d’envoi sont à votre charge. Le dossier médical constitué dans Entr’Actes est conservé pendant vingt ans à compter de la date de votre dernière prise en charge. La société MediCallConcept veille à ce que toutes dispositions soient prises pour assurer la garde et la confidentialité des informations ainsi conservées ou hébergées.
|