Les engagements du GCS Sara relatifs à la protection des données

Conformément au règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée, le GCS Sara s’engage en faveur de la protection des données personnelles.

Les données personnelles recueillies à l’occasion de la souscription aux services régionaux proposés par le GCS Sara dans le cadre des missions qui lui sont confiées par l’Agence Régionale de Santé Auvergne Rhône Alpes, ainsi que les données de santé collectées par l’utilisation de ces services sont protégées avec la plus grande rigueur.

C’est pourquoi ces présents engagements relatifs à la protection des données visent la bonne information des professionnels utilisateurs vis-à-vis du traitement réservé à leurs données personnelles ainsi qu’aux données de santé collectées.

Qui est le GCS Sara ?

Les enjeux de sécurité, de protection des données de santé et de respect des droits des usagers sont à l’origine même de la constitution du GCS Sara. Le Groupement de Coopération Sanitaire Système d’information santé en Auvergne-Rhône-Alpes (GCS Sara) est une personne morale de droit privé, dont l’action s’inscrit dans une politique d’intérêt général relative à la modernisation du système de santé via les technologies numériques.

 

Organisme à but non lucratif, né du regroupement des GCS SISRA et SIMPA fin 2018 (les activités des deux groupements historiques ont débuté en 2006), le GCS Sara a été officiellement reconnu comme Groupement Régional d’Appui au Développement de l’e-Santé (GRADeS) le 11 décembre 2018.

Depuis lors, ses activités sont encadrées par sa convention constitutive, d’une part, et la législation relative au cadre commun des projets e-santé, d’autre part (Santé, Protection sociale, Solidarité – N° 2 du 15 mars 2017).

Désormais considéré comme acteur opérationnel privilégié de la politique e-santé définie par l’ARS Auvergne Rhône Alpes, les missions du GCS Sara consistent à :

  • Fédérer les acteurs de santé autour de la stratégie régionale,
  • Déployer les services numériques régionaux et accompagner les usages,
  • Mutualiser les moyens au service de nos membres,
  • Contribuer à l’urbanisation, la sécurité et l’interopérabilité des systèmes d’information,
  • Accompagner les initiatives locales.

Quels sont les engagements du Gcs Sara en matière de sécurité et de protection des données ?

Non-lucratifs et non commerciaux, les outils numériques proposés par le GCS Sara sont guidés par le souci de sécurisation et de confidentialité des données de santé dans le respect des droits des usagers.

Le GCS Sara est impliqué dans le projet « Convergence », démarche nationale et collaborative, visant « à coconstruire un système de services numériques convergents qui agit véritablement en facilitateur du service de santé publique ». Ayant participé à une première phase de diagnostic dans le cadre de ce projet, le GCS Sara a ainsi évalué son niveau de maturité à la doctrine du numérique en santé (résultats p73).

Les services numériques proposés par le GCS Sara sont mis en œuvre dans le respect de la politique générale de sécurité des systèmes d’information de santé (PGSSI-S). Cette politique fixe les exigences de sécurité des services numériques en santé en définissant un ensemble de référentiels et de guides de bonnes pratiques.

Le GCS Sara est lié par contrat avec l’Agence du Numérique en Santé qui intègre l’outil MonSisra à l’espace de confiance «MSSanté » (messageries sécurisées de santé). Ce label « MSSanté » illustre la conformité de l’outil MonSisra à la règlementation en vigueur relative à la protection des données et aux prérequis de fonctionnement d’une messagerie sécurisée appartenant à l’espace de confiance. Il engage également les équipes du GCS SARA dans la mise en œuvre de toute évolution technique ou fonctionnelle qui s’impose aux opérateurs MSSanté.

Le GCS SARA met à disposition des acteurs de santé de la région ARA qui le souhaitent une passerelle permettant l’alimentation du DMP, solution certifiée par le Centre National de Dépôt et d’Agrément (voir agrément CNDA : Fiche d’information | CNDA – ameli.fr)

Le portail régional de téléconsultation est référencé par le ministère des Solidarités. L’outil de téléconsultation proposé par le GCS Sara respecte la réglementation relative à l’hébergement des données de santé et  la politique générale de sécurité des systèmes d’information en santé (PGSSI-S). En savoir plus sur les Conditions Générales d’Utilisation de la solution de téléconsultation régionale.

L’hébergement des données personnelles de santé collectées via les différents outils proposés par le GCS Sara est confié par convention à l’un de ses membres fondateurs et partenaire de référence, les Hospices Civils de Lyon (HCL). Auparavant agréés HDS, les HCL sont désormais certifiés pour l’hébergement de données de santé conformément à l’article L.1111-8 du code de la santé publique.

Conformément à l’article 28 du RGPD, lorsqu’il fait appel à des sous-traitants, le GCS Sara s’assure que les acteurs garantissent le même niveau de sécurité que le sien. Le sous-traitant s’engage à respecter la législation applicable aux traitements de données à caractère personnel, d’une part, et celle relative aux données de santé, d’autre part. Le responsable du traitement des données à caractère personnel des utilisateurs professionnels de santé est le GCS Sara dont le siège social est situé « Parc Technologique de la Pardieu, 24 allée Evariste Galois, 63170 Aubière ».

La déléguée à la protection des données est Maître Jeanne Bossi Malafosse, adresse mail de contact : dpd@sante-ara.fr
Elle constitue le point de contact pour toute information concernant la politique de confidentialité du GCS Sara ou pour présenter une requête relative au traitement d’informations personnelles.

Dans l’éventualité où les droits des personnes concernées ne seraient pas respectés, il vous est possible de présenter une réclamation auprès de la CNIL, autorité nationale compétente en matière de protection des données. Un recours peut être introduit par voie électronique ou postal.

Pourquoi utilisons nous vos données personnelles ?

Le traitement de données à caractère personnel des utilisateurs professionnels de santé est limité aux conditions nécessaires à l’utilisation des services régionaux, ou des services référencés sur la plateforme régionale qu’un professionnel de santé souhaite utiliser (voir les conditions générales d’utilisation).

Aussi, des informations personnelles sont collectées et utilisées afin de permettre le bon fonctionnement de ces outils numériques sécurisés, d’une part, et de poursuivre les activités dévolues à chacun d’entre eux, d’autre part.

Vos données personnelles ne seront en aucun cas communiquées à des tiers non référencés sur la plateforme régionale Sara.

Le GCS Sara met en œuvre toutes les mesures techniques, physiques, et organisationnelles appropriées au regard de la nature des données et des risques présentés par les traitements, pour préserver la sécurité et la confidentialité de vos données personnelles, notamment empêcher que celles-ci ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Le GCS Sara s’engage à effectuer dans les meilleurs délais toutes les notifications nécessaires en cas de violation de vos données personnelles après en avoir pris connaissance conformément à l’article 33 du RGPD.

Les conditions de la confidentialité des données personnelles de santé

Le GCS Sara s’engage à traiter les données personnelles et les données de santé en conformité avec la réglementation applicable à la protection des données personnelles.

Le responsable de la collecte et du traitement de vos données personnelles est le GCS Sara en ce qui concerne les données personnelles collectées : soit dans le cadre de la création de comptes utilisateurs, soit à partir des annuaires institutionnels de professionnels sous réserve qu’ils soient publics, soit lors de la navigation sur sante-ra.fr.

L’intégralité des traitements opérés par le GCS SARA est accessible via son registre des activités de traitement. Ce registre recense les traitements des données personnelles classés par outil numérique. Il permet d’offrir une vue d’ensemble de l’utilisation des données personnelles selon l’outil concerné.

Le GCS Sara traite les données personnelles uniquement dans le but de permettre la construction et le fonctionnement de services à destination des professionnels de santé, notamment en proposant un annuaire de professionnels en exercice et une authentification forte des utilisateurs.

Quels autres types de données traitons nous ?

Les données partagées via les services SARA sont des données de santé à caractère personnel, protégées par le secret professionnel et dont la violation est réprimée.

L’accès aux données transitant par les services SARA est exclusivement réservé aux professionnels de santé, en charge du patient et autorisés à y accéder dans les conditions posées aux articles L.1110-4 et L.1110-12 du code de la santé publique, et uniquement s’ils sont authentifiés dans le respect des exigences posées à l’article L 1470-5 du code de la santé publique et selon les exigences liées au respect de l’utilisation des outils SARA (identification, authentification, information/consentement, etc.)

Les utilisateurs « professionnels de santé » des services numériques proposés par le GCS Sara sont responsables de la collecte et du traitement des données de santé personnelles de leurs patients.

Le GCS Sara agit en qualité de sous-traitant. En effet, les données de santé sont traitées sur instructions des utilisateurs « professionnels de santé ». Ces données de santé sont le plus souvent collectées par des professionnels de santé utilisateurs des services régionaux au cours de la prise en charge du patient. Elle se limitent aux données strictement nécessaires à la coordination du parcours de santé de la personne.

Quelles sont les personnes susceptibles d’avoir accès à ces données personnelles ?

Les données de santé collectées sont protégées et sécurisées.

Il existe différents types de situations pour lesquelles tout ou partie des données personnelles de santé peuvent être accessibles :

  • Un professionnel de santé adresse un courrier ou tout autre élément qu’il juge nécessaire à une prise en charge ou un accompagnement à un autre professionnel de santé via un service numérique du GCS Sara.
  • Le patient manifeste un consentement écrit, libre et éclairé, pour autoriser un professionnel ou une structure de santé qui ne ferait pas partie de son équipe de soins à accéder ou à transmettre ses données de santé.
  • Le patient a séjourné et/ou s’est rendu dans un établissement de santé et/ou chez un acteur de santé, qui utilise un ou plusieurs outils du GCS Sara et dont l’utilisation a été jugée nécessaire à la prise en charge par cet acteur de santé.
  • Le patient a séjourné et/ou s’est rendu dans un établissement de santé et/ou chez un acteur de santé, qui utilise un ou plusieurs outils du GCS Sara et dont l’utilisation a été jugée nécessaire au bon fonctionnement du système d’information de l’établissement et/ou de l’acteur de santé.

Les professionnels administratifs et techniques du GCS Sara n’accèdent pas aux données de santé à caractère personnel collectées, à l’exception des accès nécessaires à l’exercice de leurs missions et dans le respect du secret professionnel.

Vous êtes professionnels de santé, quels sont vos devoirs sur les informations personnelles de vos bénéficiaires ?

Vous utilisez les services du GCS Sara pour votre activité et ne connaissez pas les obligations qui vous incombent en matière de protection des données ? N’hésitez pas à consulter le site de la CNIL et plus particulièrement la page Le RGPD appliqué au secteur de la santé | CNIL