Politique de confidentialité

Le Responsable du traitement construit avec ses patients des relations fortes et durables, fondées sur la confiance réciproque : assurer la sécurité et la confidentialité des données personnelles de sa patientèle est une priorité.

Le Responsable du traitement respecte l’ensemble des dispositions réglementaires et législatives françaises et européennes relatives à la protection des données personnelles.

Le Responsable du traitement applique une politique extrêmement stricte pour garantir la protection des données personnelles de ses patients.

Chaque patient du Responsable du traitement reste maître de ses données. Le Responsable du traitement n’en dispose pas librement.

• Elles sont traitées de manière transparente, confidentielle et sécurisée ;
• Le Responsable du traitement est engagé dans une démarche continue de protection des données de ses patients, en conformité avec la Loi Informatique et Libertés du 6 janvier 1978 modifiée (ci-après « LIL ») et du Règlement (UE) général sur la protection des données du 27 avril 2016 (ci-après « RGPD ») ;
• Le Responsable du traitement dispose d’un DPO (Data Protection Officer) déclaré auprès de la CNIL ;
• Les données personnelles des patients sont hébergées dans des datacenters situés en France.

 1 Objet de la présente politique

Le Responsable du traitement souhaite informer les patients par l’intermédiaire de la présente politique de la manière dont nous protégeons les données à caractère personnel traitées des patients via le présent site Internet.

La présente politique décrit la manière dont le Responsable du traitement traite les données personnelles des patients (ci-après le/les « patient(s) ») lors de leur navigation sur le site Web du Responsable du traitement (ci-après le « Site ») et de leur utilisation des services du Responsable du traitement.

Cette Politique peut être modifiée, complétée ou mise à jour afin notamment de se conformer à toute évolution légale, réglementaire, jurisprudentielle et technique. Cependant, les Données Personnelles des patients seront toujours traitées conformément à la politique en vigueur au moment de leur collecte, sauf si une prescription légale impérative venait à en disposer autrement et serait d’application rétroactive.

Cette politique fait partie intégrante des Conditions Générales d’Utilisation du Site.

 2 Identité et coordonnées des responsables de traitement

Le Responsable du traitement des Données Personnelles est :

L’hôpital de Mont-Saint-Martin

4 Rue Alfred Labbé, 54350 Mont-Saint-Martin

Ci-après désigné « LE REPONSABLE DU TRAITEMENT » ;

Pour les Données Personnelles collectées dans le cadre de la création de la fiche du patient et de sa navigation sur le Site ou son utilisation de l’Application : le Responsable du traitement met à votre disposition le nom de son représentant légal.

Coordonnées du DPO : contact-rgpd.sante@groupe-sos.org

Le sous-traitants et le sous-traitant ultérieur sont :

• SOFTWAY MEDICAL qui prend les mesures propres à assurer la protection et la confidentialité des informations nominatives qu’elle détient ou qu’elle traite dans le respect des dispositions de la LIL et du RGPD. Le sous-traitant s’engage à conserver les données dans des datacenters situés en France. Le sous-traitant s’engage à développer ses solutions par des méthodes garantissant la confidentialité par conception et par défaut. SOFTWAY MEDICAL s’engage à ne pas utiliser les données personnelles des patients à des fins de prospection ou publicitaire.

• Dans le cadre du service de paiement en ligne, SOFTWAY MEDICAL se repose sur les services d’INGENICO pour traiter les transactions. L’adresse email saisie par l’utilisateur est utilisée pour lui envoyer l’acquittement du paiement, et n’est pas conservée. La politique de confidentialité d’INGENICO est disponible ici.

 3 Collecte & origine des données

Toutes les données concernant les patients sont collectées directement auprès de ces derniers.

Le Responsable du traitement s’engage à recueillir le consentement de ses patients et/ou à leur permettre de s’opposer à l’utilisation de leurs données pour certaines finalités, dès que cela est nécessaire.

Dans tous les cas, les patients sont informés des finalités pour lesquelles leurs données sont collectées via différents supports : livret d’accueil, notice d’information patient, la politique de confidentialité disponible sur le site web, etc…

 4 Finalité des données collectées

4.1 Nécessité de la collecte

Lors de l’utilisation de l’espace patient, le patient communique certaines Données Personnelles. Si le patient ne souhaite pas communiquer les informations qui lui sont demandées, il se peut que le patient ne puisse pas accéder à certaines parties du Site ou de l’Application, et que le Responsable du traitement soit dans l’impossibilité de répondre à sa demande.

Lors de l’accueil dans la structure de soins un ensemble de données personnelles sont recueillies auprès du patient et à partir de sa carte vitale. Le Responsable du traitement recueille alors le consentement du patient pour la création de l’espace personnel du patient permettant l’accès en ligne à l’application, ce consentement étant confirmé lors de son premier accès à l’application : https://msm-groupesos-sante.mon-portail-patient.net/

Finalités

Le recueil des Données Personnelles des patients a pour bases légales:

• L’intérêt légitime du Responsable du traitement à assurer la meilleure qualité de ses services, à fournir à ses patients la meilleure prise en charge possible et à améliorer le fonctionnement de son Site ;
• Le recueil du consentement du patient pour la mise à disposition de ses résultats d’examens, documents médicaux en ligne ;
• L’obligation légale pour le service de paiement en ligne

Les données des patients du Responsable du traitement sont principalement traitées pour :

• Permettre leur navigation sur le Site ;
• Permettre de prendre un rendez-vous ;
• Permettre de régler une facture

A titre subsidiaire les données de navigation de l’utilisateur anonymisées sont également collectées pour :

• Améliorer la navigation sur le Site et l’utilisation de l’Application
• Effectuer des statistiques sur l’utilisation de l’outil, un reporting interne pour les équipes de recherche & développement du sous-traitant SOFTWAY MEDICAL ainsi qu’un reporting à destination du responsable du traitement (sans qu’aucune Donnée personnelle ne soit utilisée).

Le caractère obligatoire ou facultatif des données personnelles demandées et les éventuelles conséquences d’un défaut de réponse à l’égard des patients du Responsable du traitement sont précisés lors de leur(s) collecte(s).

 5 Types de données traitées

Le Responsable du traitement est susceptible de traiter, en tant que Responsable de Traitement, tout ou partie des données suivantes :

• Pour permettre la prise de rendez-vous et la mise en ligne des éléments du dossier : État civil (nom, prénom, date de naissance) ;
• Pour permettre de réserver un professionnel de santé compétent : la nature de l’examen médical ;
• Pour permettre la navigation sur le Site : données de connexion et d’utilisation du Site ou de l’Application ;
• Pour prévenir et lutter contre la fraude informatique (spamming, hacking…) : matériel informatique utilisé pour la navigation, l’adresse IP, le mot de passe (hashé), les cookies présents dans le navigateur ;
• Pour améliorer la navigation sur le Site ou l’utilisation de l’Application : données de connexion et d’utilisation ;
• Pour permettre au patient de recevoir un e-mail d’acquittement de rendez-vous ou de paiement de facture : l’adresse e-mail du patient ;
• Pour permettre au patient de recevoir un sms de rappel de rendez-vous : le numéro de téléphone du patient ;
• Pour permettre au patient de procéder à un paiement en ligne : Etat civil (nom, prénom, date de naissance), données d’ordre économique et financier

 6 Non-communication des données personnelle

Les Données Personnelles du patient ne seront pas transmises à des acteurs commerciaux ou publicitaires.

Données accessibles au Sous-traitant :

Dans la limite de leurs attributions respectives et pour les finalités rappelées ci-dessus, les principales personnes susceptibles d’avoir accès aux données des patients du Responsable du traitement sont principalement les professionnels de santé, personnel habilité de l’hôpital et les conseillers du service client SOFTWAY MEDICAL.

Données accessibles aux autorités et/ou organismes public

Conformément à la Réglementation Applicable, vos Données Personnelles peuvent être accessibles aux autorités compétentes sur requête et notamment aux organismes publics, exclusivement pour répondre aux obligations légales, les auxiliaires de justice, les officiers ministériels et les organismes chargés d’effectuer le recouvrement de créances.

 7 Durée de conservation des données

• Pour la pré-admission :

Conformément aux prescriptions légales, nous conservons votre dossier médical pendant 20 ans révolus à compter de la date du dernier séjour du patient dans l’établissement ou de la dernière consultation externe en son sein.

Exceptions :

• Prolongation de la durée de conservation si la durée de 20 ans expire avant le 28^ème anniversaire des données médicales jusqu’aux 28 ans du patient.
• Diminution de la durée de conservation si le patient décède moins de 10 ans après sa dernière consultation : conservation des données médicales pendant 10 ans à compter du décès du patient.

• Pour le pré-paiement en ligne nous conservons les données pendant une durée de 10 ans révolus à compter du dernier exercice comptable ou administratif au cours duquel la prestation a été fournie.

• Les informations de connexion de l’utilisateur sont détruites après 2 ans d’inactivité de l’utilisateur.

• Les données destinées à l’amélioration du site sont conservées 1 an.

A noter que, ces délais sont suspendus par l’introduction de tout recours gracieux ou contentieux tendant à mettre en cause la responsabilité médicale de l’établissement de santé ou de professionnels de santé à raison de leurs interventions au sein de l’établissement de santé.

Les Données Personnelles peuvent être archivées dans le respect des conditions légales applicables. L’hôpital de Mont St Martin a mis en place des moyens de sécurité logiques, juridiques, physiques et organisationnels adaptés afin d’empêcher que vos données personnelles ne soient endommagées ou divulguées à des tiers non autorisés.

 8 Les droits des patients

Chaque fois que le Responsable du traitement traite des Données Personnelles, il prend toutes les mesures raisonnables pour s’assurer de l’exactitude et de la pertinence des Données Personnelles au regard des finalités pour lesquelles il les traite.

Conformément à la réglementation européenne en vigueur, les patients du Responsable du traitement disposent des droits suivants :

• Droit d’accès (article 15 RGPD) et de rectification (article 16 RGPD), de mise à jour, de complétude des données des patients ;
• Droit d’effacement des données des patients à caractère personnel (article 17 du RGPD), lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite (en savoir plus) ;
• Droit de retirer à tout moment un consentement (article 13-2c RGPD) ;
• Droit à la limitation du traitement des données des patients (article 18 RGPD) ;
• Droit d’opposition au traitement des données des patients (article 21 RGPD) (en savoir plus) ;
• Droit à la portabilité des données que les patients auront fournies, lorsque ces données font l’objet de traitements automatisés fondés sur leur consentement ou sur un contrat (article 20 RGPD) ;
• Droit de formuler des directives anticipées autorisant une personne de son choix de récupérer ses données après le décès du Patient.

Pour exercer les droits ci-dessus, le patient peut adresser à tout moment sa demande soit :

• Directement sur place à l’hôpital concerné : L’hôpital de Mont-Saint-Martin 4 Rue Alfred Labbé, 54350 Mont-Saint-Martin
• Au Délégué à la Protection des Données :
  • Soit à l’adresse postale : Groupe SOS Marine DALMAU 50 Place Mazelle 57000 METZ
  • Soit à l’adresse électronique : contact-rgpd.sante@groupe-sos.org

Si le patient estime, après nous avoir contactés que ses droits n’ont pas été respectés, il peut adresser une réclamation soit :

• via le formulaire de la CNIL Plaintes | CNIL
• via l’adresse postale de la CNIL : 3 Place de Fontenoy TSA 80715 75334 Paris CEDEX

 9 « Cookies » et balises (tags) internet

Un « cookie » est un petit fichier d’information envoyé sur le navigateur du patient et enregistré au sein du terminal du patient (ex : ordinateur, smartphone), (ci-après « Cookies »). Ce fichier comprend des informations telles que le nom de domaine du patient, le fournisseur d’accès Internet du patient, le système d’exploitation du patient, ainsi que la date et l’heure d’accès. Les Cookies ne risquent en aucun cas d’endommager le terminal du patient.

Le Responsable du traitement est susceptible de traiter les informations du patient concernant sa visite du Site, telles que les pages consultées, les recherches effectuées. Ces informations permettent au responsable du traitement d’améliorer le contenu du Site, de la navigation du patient.

Les Cookies facilitant la navigation et/ou la fourniture des services proposés par le Site, le patient peut configurer son navigateur pour qu’il lui permette de décider s’il souhaite ou non les accepter de manière que des Cookies soient enregistrés dans le terminal ou, au contraire, qu’ils soient rejetés, soit systématiquement, soit selon leur émetteur. Le patient peut également configurer son logiciel de navigation de manière que l’acceptation ou le refus des Cookies lui soient proposés ponctuellement, avant qu’un Cookie soit susceptible d’être enregistré dans son terminal. Le Responsable du traitement informe le patient que, dans ce cas, il se peut que les fonctionnalités de son logiciel de navigation ne soient pas toutes disponibles.

Si le patient refuse l’enregistrement de Cookies dans son terminal ou son navigateur, ou si le patient supprime ceux qui y sont enregistrés, le patient est informé que sa navigation et son expérience sur le Site peuvent être limitées. Cela pourrait également être le cas lorsque le Responsable du traitement ou l’un de ses prestataires ne peut pas reconnaître, à des fins de compatibilité technique, le type de navigateur utilisé par le terminal, les paramètres de langue et d’affichage ou le pays depuis lequel le terminal semble connecté à Internet.

Le cas échéant, le Responsable du traitement décline toute responsabilité pour les conséquences liées au fonctionnement dégradé du Site et des services éventuellement proposés par SOFTWAY MEDICAL, résultant (i) du refus de Cookies par le PATIENT (ii) de l’impossibilité pour le responsable du traitement d’enregistrer ou de consulter les Cookies nécessaires à leur fonctionnement du fait du choix du patient. Pour la gestion des Cookies et des choix du patient, la configuration de chaque navigateur est différente. Elle est décrite dans le menu d’aide du navigateur, qui permettra de savoir de quelle manière le patient peut modifier ses souhaits en matière de Cookies.

À tout moment, le patient peut faire le choix d’exprimer et de modifier ses souhaits en matière de Cookies. Le Responsable du traitement pourra en outre faire appel aux services de prestataires externes pour l’aider à recueillir et traiter les informations décrites dans cette section.

Pour en savoir plus, sur la manière dont sont gérés ces différents cookies, vous pouvez consulter la liste des cookies utilisée ici : https://msm-groupesos-sante.mon-portail-patient.net/cookie-policy

 10 Sécurité

Le Responsable du traitement met en œuvre toutes les mesures techniques et organisationnelles afin d’assurer la sécurité des traitements de données à caractère personnel et la confidentialité de Données Personnelles.

A ce titre, le Responsable du traitement prend toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, afin de préserver la sécurité des données et, notamment, d’empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (protection physique des locaux, procédés d’authentification avec accès personnel et sécurisé via des identifiants et mots de passe confidentiels, journalisation des connexions, chiffrement de certaines données…).

 11 Nous contacter – Coordonnées du DPO

Si le patient a des questions ou des réclamations concernant le respect par le Responsable du traitement de la présente Politique, ou si le patient souhaite faire part à le Responsable du traitement de recommandations ou des commentaires visant à améliorer la qualité de la présente politique, le patient peut contacter le Responsable du traitement par l’intermédiaire de son DPO (coordonnées cf 1.8).