Les données à caractère personnel
Contexte
Pour délivrer ses prestations médicales et gérer son activité de médecine privée, Ramsay santé met en œuvre des traitements de données à caractère personnel.
Ces données se rapportent aux patients (identité, coordonnées, données médicales, données administratives), à leur famille et à leurs proches, mais aussi aux praticiens en contrat d’exercice libéral et aux employés, intérimaires, stagiaires, prestataires, étudiants intervenant au sein des cliniques du groupe Ramsay santé.
Cette page d’information, vous apporte une information que nous souhaitons simple et lisible sur la nature de ces traitements de données. Elle vous fournit les éléments pour comprendre l’usage fait de vos données, et le cas échéant pour exercer vos droits prévus par les réglementations en vigueur.
Règlementations en vigueur
La protection de vos données est gouvernée par trois textes principaux, à savoir la loi Informatique et Liberté française (dite loi CNIL – 1978 et révisions successives), le RGPD ou règlement européen sur la protection des données, et les divers codes dont le code de la santé et le code du travail.
Le RGPD – règlement européen général sur la protection des données – est en vigueur depuis le 25 mai 2018. Il s’applique à toutes les entreprises traitant des données à caractère personnel d’un citoyen de l’union européenne. Il confère aux personnes concernées des droits accrus d’accès, de rectification, d’opposition ou de portabilité selon le type de traitement de données. Il demande aux entreprises de mettre en œuvre un inventaire systématique des traitements de données et un suivi des risques associés, puis de déployer des moyens de protection et de suivi dans la durée. Il exige également de prévoir des dispositifs de réaction en cas d’atteinte aux données.
La loi française Informatique et Liberté (1978, révisée en 2001 et 2018) impose des obligations particulières aux entreprises françaises pour certains traitements de données sensibles. Elle désigne la CNIL – commission nationale informatique et liberté – comme autorité de contrôle et de sanction de la RGPD pour la France.
Le code de la santé publique et le code du travail fixent un ensemble d’obligations que doivent respecter les entreprises pour la bonne protection des données à caractère personnel des patients ou des employés : constitution et protection des dossiers médicaux, durées de conservation obligatoires, gestion des données du personnel, droits d’accès, etc.
Responsabilités
Les traitements de données – dans leur finalité et leurs moyens – sont définis et décidés par un ou plusieurs « responsables de traitement ». Dans la majorité des traitements de données, les cliniques Ramsay santé et les praticiens sont en charge de cette définition. Le directeur d’établissement est le représentant légal de la clinique.
Divers prestataires de services peuvent contribuer à la réalisation des traitements de données à caractère personnel en réalisant tout ou partie des actions de manipulation de données : collecte, stockage, archivage, effacement, accès… Au sens du RGPD, ils portent aussi de nombreuses obligations de protection.
Les contrats que Ramsay santé passe avec ses fournisseurs ou partenaires fixent le cas échéant les obligations des parties en matière de RGPD et de protection de données personnelles.
Recensement des traitements de données
Conformément aux exigences du RGPD, Ramsay santé a élaboré et maintient un inventaire des traitements de données personnelles recensant pour chacun, les responsabilités, les finalités, la base légale, les catégories de données personnelles et personnes concernées, les destinataires, l’hébergement dans l’UE, la durée de conservation, les mesures de sécurité.
Délégué à la protection des données – le DPO/DPD
Lorsque des entreprises traitent de grands volumes de données à caractère personnel ou des données sensibles (médicales p.ex.), le RGPD demande aux entreprises la désignation d’une personne portant un rôle de délégué à la protection des données.
Conformément à ces exigences, Ramsay santé a désigné un Délégué à la Protection des Données – désigné par les sigles DPO ou DPD – pour chacune de ses cliniques. Ses coordonnées électroniques directes sont disponibles à l’accueil des cliniques. Vous pouvez contacter ce délégué librement par courrier électronique (dpo@ramsaygds.fr) ou par courrier postal à :
Ramsay Santé
M. Le Délégué à la Protection des Données
39 rue Mstislav Rostropovitch
CS 60053
75850 Paris
Il est l’interlocuteur de la CNIL pour toute investigation ou traitement d’incident relatif aux données des personnes. Il fournit par ailleurs expertise, méthodologie et suivi au directeur d’établissement et forme les personnels et intervenants dans la clinique. Enfin, il coordonne pour votre compte le traitement de vos requêtes si la réponse de la clinique en première intention est incomplète ou insuffisante.
Recherche médicale, études cliniques
Dans le cadre de votre prise en charge au sein d’une clinique Ramsay santé, les données de votre dossier médical (ou celui de votre enfant) peuvent être amenées à être utilisées à des fins de recherche dans le domaine de la santé.
L’utilisation de ces informations et les recherches associées, s’inscrivent dans un cadre éthique, déontologique et réglementaire strict (la loi Informatique et libertés de 1978 modifiée et le règlement général sur la protection des données personnelles, loi Jardé).
Dans tous les cas, seules des chercheurs soumis au secret professionnel peuvent accéder à vos données sous la responsabilité d’un médecin de l’établissement.
Conformément aux dispositions de la loi Informatique et libertés, ces études – selon leur nature – sont soumises à la Commission nationale de l’informatique et des libertés (CNIL) pour déclaration voire autorisation préalable. Il peut s’agir de déclarations de conformité aux textes dits « méthodologies de références » publiées par la CNIL (textes « MR01,03, …») et pour certaines études il s’agit d’une demande d’autorisation spécifique.
Votre participation à tout projet de recherche médicale est soumise également à une obligation de fourniture d’information détaillée par le praticien conduisant le projet de recherche, et pour certains projets, à une obligation de recueil de consentement explicite de votre part.
Les données utilisées sont codées et exploitées dans le strict respect de la confidentialité ; elles ne permettent en aucun cas de vous identifier directement.
Vous disposez d’un droit d’accès, de rectification, de portabilité, d’opposition et d’effacement à faire valoir auprès de l’établissement.