Nos engagements sur la protection de vos données (RGPD)

Conformément au règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée, le GCS Sara s’engage en faveur de la protection des données personnelles.

 

Les données personnelles recueillies à l’occasion de l’utilisation des services régionaux proposés par le GCS Sara dans le cadre des missions qui nous sont confiées par l’Agence Régionale de Santé Auvergne Rhône Alpes, ainsi que les données de santé collectées par l’utilisation de nos services sont protégées avec la plus grande rigueur.

C’est pourquoi ces présents engagements relatifs à la protection des données visent la bonne information des patients vis-à-vis du traitement réservé à leurs données personnelles ainsi qu’aux données de santé collectées.

Qui sommes-nous ?

Les enjeux de sécurité, de protection des données de santé et de respect des droits des usagers sont à l’origine même de la constitution du GCS Sara. Le Groupement de Coopération Sanitaire Système d’information santé en Auvergne-Rhône-Alpes (GCS Sara) est une personne morale de droit privé, dont l’action s’inscrit dans une politique d’intérêt général relative à la modernisation du système de santé via les technologies numériques.

Organisme à but non lucratif, né du regroupement des GCS SISRA et SIMPA fin 2018 (les activités des deux groupements historiques ont débuté en 2006), le GCS Sara a été officiellement reconnu comme Groupement Régional d’Appui au Développement de l’e-Santé (GRADeS) le 11 décembre 2018.

 

Depuis lors, ses activités sont encadrées par sa convention constitutive, d’une part, et la législation relative au cadre commun des projets e-santé, d’autre part (Santé, Protection sociale, Solidarité – N° 2 du 15 mars 2017).

Désormais considéré comme acteur opérationnel privilégié de la politique e-santé définie par l’ARS Auvergne Rhône Alpes, les missions du GCS Sara consistent à :

  • Fédérer les acteurs de santé autour de la stratégie régionale,
  • Déployer les services numériques régionaux et accompagner les usages,
  • Mutualiser les moyens au service de nos membres,
  • Contribuer à l’urbanisation, la sécurité et l’interopérabilité des systèmes d’information, – Accompagner les initiatives locales.

En savoir plus

Quels sont nos engagements en matière de sécurité et de protection des données ?

L’hébergement des données personnelles de santé collectées via les différents outils proposés par le GCS Sara est confié par convention à l’un de ses membres fondateurs et partenaire de référence, les Hospices Civils de Lyon (HCL). Auparavant agréés HDS, les HCL sont désormais certifiés pour l’hébergement de données de santé conformément à l’article L.1111-8 du code de la santé publique.

 

Conformément à l’article 28 du RGPD, lorsqu’il fait appel à des sous-traitants, le GCS Sara s’assure que les acteurs garantissent le même niveau de sécurité que le sien. Le sous-traitant s’engage à respecter la législation applicable aux traitements de données à caractère personnel, d’une part, et celle relative aux données de santé, d’autre part. Le responsable du traitement des données à caractère personnel des utilisateurs professionnels de santé est le GCS Sara dont le siège social est situé « Parc Technologique de la Pardieu, 24 allée Evariste Galois, 63170 Aubière ».

 

La déléguée à la protection des données est Maître Jeanne Bossi Malafosse, adresse mail de contact : dpd@sante-ara.fr. Elle constitue le point de contact pour toute information concernant la politique de confidentialité du GCS Sara ou pour présenter une requête relative au traitement d’informations personnelles.

 

Dans l’éventualité où les droits des personnes concernées ne seraient pas respectés, il vous est possible de présenter une réclamation auprès de la CNIL, autorité nationale compétente en matière de protection des données. Un recours peut être introduit par voie électronique ou postal.

Pourquoi utilisons nous vos données personnelles ?

Le traitement de données à caractère personnel des utilisateurs est limité aux conditions nécessaires à l’utilisation des services régionaux, ou des services référencés sur la plateforme régionale (voir les conditions générales d’utilisation).

Aussi, des informations personnelles sont collectées et utilisées afin de permettre le bon fonctionnement de ces outils numériques sécurisés, d’une part, et de poursuivre les activités dévolues à chacun d’entre eux, d’autre part.

Vos données personnelles ne seront en aucun cas communiquées à des tiers non référencés sur la plateforme régionale Sara.

 

Le GCS Sara met en œuvre toutes les mesures techniques, physiques, et organisationnelles appropriées au regard de la nature des données et des risques présentés par les traitements, pour préserver la sécurité et la confidentialité de vos données personnelles, notamment empêcher que celles-ci ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

 

Le GCS Sara s’engage à effectuer dans les meilleurs délais toutes les notifications nécessaires en cas de violation de vos données personnelles après en avoir pris connaissance conformément à l’article 33 du RGPD.

Les conditions de la confidentialité des données personnelles de santé

Le GCS Sara s’engage à traiter les données personnelles et les données de santé en conformité avec la réglementation applicable à la protection des données personnelles.

Le responsable de la collecte et du traitement de vos données personnelles est le GCS Sara en ce qui concerne les données personnelles collectées : soit dans le cadre de la création de comptes utilisateurs, soit à partir des annuaires institutionnels de professionnels sous réserve qu’ils soient publics, soit lors de la navigation sur sante-ra.fr.

L’intégralité des traitements opérés par le GCS Sara est accessible via son registre des activités de traitement. Ce registre recense les traitements des données personnelles classés par outil numérique. Il permet d’offrir une vue d’ensemble de l’utilisation des données personnelles selon l’outil concerné.

Le GCS Sara traite les données personnelles uniquement dans le but de permettre la construction et le fonctionnement de services à destination des professionnels de santé, notamment en proposant un annuaire de professionnels en exercice et une authentification forte des utilisateurs.

Quels autres types de données traitons nous ?

Les données partagées via les services Sara sont des données de santé à caractère personnel, protégées par le secret professionnel et dont la violation est réprimée.

L’accès aux données transitant par les services Sara est exclusivement réservé aux professionnels de santé, en charge du patient et autorisés à y accéder dans les conditions posées aux articles L.1110-4 et L.1110-12 du code de la santé publique, et uniquement s’ils sont authentifiés dans le respect des exigences posées à l’article L 1470-5 du code de la santé publique et selon les exigences liées au  respect de l’utilisation des outils SARA (identification, authentification, information/consentement, etc.)

Les utilisateurs « professionnels de santé » des services numériques proposés par le GCS Sara sont responsables de la collecte et du traitement des données de santé personnelles de leurs patients.

Le GCS Sara agit en qualité de sous-traitant. En effet, les données de santé sont traitées sur instructions des utilisateurs « professionnels de santé ». Ces données de santé sont le plus souvent collectées par des professionnels de santé utilisateurs des services régionaux au cours de la prise en charge du patient. Elle se limitent aux données strictement nécessaires à la coordination du parcours de santé de la personne.

Quelles sont les personnes susceptibles d’avoir accès à vos données personnelles ?

Il existe différents types de situations pour lesquelles tout ou partie des données personnelles de santé peuvent être accessibles :

  • Un professionnel de santé adresse un courrier ou tout autre élément qu’il juge nécessaire à une prise en charge ou un accompagnement à un autre professionnel de santé via un service numérique du GCS Sara.
  • Le patient manifeste un consentement écrit, libre et éclairé, pour autoriser un professionnel ou une structure de santé qui ne ferait pas partie de son équipe de soins à accéder ou à transmettre ses données de santé.
  • Le patient a séjourné et/ou s’est rendu dans un établissement de santé et/ou chez un acteur de santé, qui utilise un ou plusieurs outils du GCS Sara et dont l’utilisation a été jugée nécessaire à la prise en charge par cet acteur de santé.
  • Le patient a séjourné et/ou s’est rendu dans un établissement de santé et/ou chez un acteur de santé, qui utilise un ou plusieurs outils du GCS Sara et dont l’utilisation a été jugée nécessaire au bon fonctionnement du système d’information de l’établissement et/ou de l’acteur de santé.

Les professionnels administratifs et techniques du GCS Sara n’accèdent pas aux données de santé à caractère personnel collectées, à l’exception des accès nécessaires à l’exercice de leurs missions et dans le respect du secret professionnel.