Politique de protection des données – informations patients

Formulaire de demande d’exercice de droit

Pour toute demande d’information, d’accès, de rectification, d’opposition, d’oubli, de limitation ou de portabilité, merci de compléter le formulaire ci dessous

Formulaire de demande d’exercice de droit

L’engagement de l’établissement

L’HPS, en qualité de responsable de traitement, s’engage pleinement à assurer la protection de vos données à caractère personnel et au respect de vos droits, en conformité avec le Règlement Général sur la Protection des Données (RGPD) et le droit français applicable en la matière.

Dans le cadre de votre prise en charge, que ce soit lors d’une consultation, ou de tout autre accompagnement, des informations personnelles vous concernant sont collectées. Ces données font l’objet de traitements informatisés strictement encadrés, dans le respect des principes de licéité, loyauté, transparence, minimisation, sécurité et confidentialité.

L’HPS met tout en œuvre pour garantir que vos données :
– Soient utilisées uniquement dans le cadre de votre prise en charge et pour les finalités préalablement déterminées.
– Ne soient accessibles qu’aux personnes habilitées, dans le respect du secret professionnel et des règles de déontologie.
– Soient protégées par des mesures de sécurité adaptées, afin de prévenir tout accès non autorisé, altération ou perte.

Le Délégué à la Protection des données (DPO) est désigné pour superviser ces engagements et répondre à vos questions. Il veille au respect de vos droits et peut être contacté si vous souhaitez exercer l’un d’eux ou obtenir des informations complémentaires.

Pour quelles finalités L’HPS collecte vos données personnelles ?

Les données à caractère personnel traitées au sein de l’HPS sont collectées dans le cadre des missions de soins, de prévention, de gestion administrative et, dans certains cas, pour des objectifs d’intérêt public tels que la recherche médicale ou les obligations de santé publique.

Ces traitements répondent à des finalités déterminées, explicites et légitimes. Il peut s’agir notamment :
– De l’organisation de votre préadmission ;
– De la gestion de vos rendez-vous médicaux ;
– De la gestion de votre prise en charge ;
– De la constitution de votre dossier médical ;
– De la gestion de votre dossier administratif et de la facturation ;
– De la participation à des études ou recherches autorisées ;
– De l’amélioration de la qualité de vos soins.

Toutes ces données sont regroupées dans un dossier médical informatisé, confidentiel et sécurisé, consultable uniquement par les professionnels habilités à intervenir dans votre prise en charge. Ce dossier garantit la continuité des soins et la coordination des équipes.

Dans certains cas, L’HPS peut également traiter vos données au moyen d’outils numériques intégrant des technologies d’intelligence artificielle (ex : aide au diagnostic). Ces traitements sont strictement encadrés : ils sont toujours supervisés par un professionnel de santé et respectent le cadre légal applicable en matière d’IA et de protection des données.

Par ailleurs, sauf opposition de votre part, certaines données peuvent être pseudonymisées (code barre à la place d’un nom et prénom) ou anonymisées (identification impossible), et utilisées à des fins de recherche médicale ou d’innovation en santé, par L’HPS.

Quelles sont les données collectées ?

Selon les besoins liés à la prise en charge, L’HPS peut collecter des données administratives (identité, n° de sécurité sociale, coordonnées…), des données de santé (antécédents, examens, consultation…), ainsi que des données médico-sociales (situation personnelle, situation professionnelle…).

Lorsque cela s’avère nécessaire, des données relatives aux proches, accompagnants, représentants légaux ou personnes de confiance peuvent également être traitées, de même que certaines informations familiales, recueillies dans le cadre du suivi médical.

Qui a accès à vos données ?

Vos données sont accessibles aux seules personnes habilitées, qu’il s’agisse des membres de l’équipe de soins, dans le cadre de votre prise en charge ou du personnel administratif, dans la stricte limite de leurs missions.

Sous réserve de disposition légale, certaines de vos données personnelles peuvent être transmises à des tiers autorisés (organismes complémentaires, autorités de police ou judiciaires…). Certaines données peuvent également être accessibles à nos prestataires externes, lorsqu’ils fournissent des services et outils numériques nécessaires au fonctionnement de l’HPS (prise de rendez-vous en ligne, dispositifs médicaux pour la télésurveillance, etc…).

Combien de temps vos données sont-elles conservées ?

Vos données sont conservées pendant toute la durée de la prise en charge. Conformément aux règles applicables aux établissements de santé, elles sont ensuite archivées pour une durée de vingt ans à compter de la dernière venue dans l’établissement, sauf disposition légale contraire.

L’HPS met en œuvre des mesures techniques et organisationnelles appropriées, afin de garantir la sécurité des données, en évitant tout accès non autorisé, toute perte, toute altération ou divulgation.

Quelle est la base légale du traitement de vos données ?

Les traitements de vos données à caractère personnel au sein de l’HPS reposent sur différents fondements juridiques, déterminés en fonction des finalités poursuivies. Il peut s’agir d’une obligation légale, d’une mission d’intérêt public, la sauvegarde des intérêts vitaux ou légitimes, selon les cas. Chaque traitement est encadré par le RGPD et le droit français pour garantir un usage approprié et proportionné des données à caractère personnel.

Quels sont vos droits ?

Conformément au RGPD, toute personne peut exercer un certain nombre de droits sur les données personnelles qui la concernent. Ces droits sont encadrés par le RGPD et peuvent être mobilisés auprès du DPO de l’établissement :

  1. Droit à l’information : avant toute collecte de données, qu’elle soit directe ou indirecte, vous devez être informé de l’identité du responsable de traitement, de la finalité poursuivie, de la base légale, des destinataires, de la durée de conservation, et, le cas échéant, d’un transfert hors Union Européenne.
  2. Droit d’accès : vous pouvez demander à savoir si des données vous concernant sont traitées, à quelles fins, par qui, pendant combien de temps et d’où elles proviennent. Vous pouvez également être informé de l’existence d’une prise de décision automatisée, y compris d’un profilage et de ses conséquences. Ce droit vous permet également de vérifier l’exactitude des données et d’en demander la rectification si nécessaire.
  3. Droit de rectification : vous avez le droit d’obtenir, dans les meilleurs délais, la rectification de vos données à caractère personnel qui seraient inexactes ou incomplètes. L’objectif est d’éviter que nous utilisions des informations erronées vous concernant.
  4. Droit d’effacement (« droit à l’oubli ») : ce droit peut être exercé lorsque les données ne sont plus nécessaires au regard de la finalité du traitement, lorsque le consentement est retiré, en cas d’opposition sans motif légitime supérieur ou si le traitement est illicite ou contraire à une obligation légale prévue par le droit de l’Union ou par le droit français.
  5. Droit de limitation : vous pouvez demander la suspension temporaire de l’utilisation de certaines de vos données. Il peut être exercé lorsque leur exactitude est contestée, lorsque le traitement est illicite mais que l’effacement n’est pas souhaité, ou encore lorsque les données sont nécessaires à l’exercice ou la défense de vos droits en justice.
  6. Droit d’opposition : Vous pouvez vous opposer, à tout moment, à l’utilisation de vos données, sauf s’il existe des motifs légitimes et impérieux pour le traitement qui prévalent ou si les données servent à la constatation, l’exercice ou à la défense de droits en justice.
  7. Consentement : Lorsque le traitement de vos données repose sur le consentement, celui-ci, doit être libre, éclairé, spécifique et démontrable par le responsable de traitement. L’information qui vous est communiquée en amont doit être claire, accessible et compréhensible. Pour les mineurs de moins de 15 ans, le consentement doit être recueilli auprès de la personne exerçant l’autorité parentale.

L’exercice de vos droits n’a aucun impact sur la qualité des soins ou la continuité de votre prise en charge.

L’utilisation de vos données de santé pour la recherche médicale

Dans certains cas, vos données peuvent être utilisées pour des activités visant à améliorer la qualité des soins ou le développement et l’amélioration d’algorithmes d’intelligence artificielle.

Ces recherches peuvent être conduites au sein de l’établissement ou dans le cadre de collaborations extérieurs. Nos partenaires de recherche n’ont accès qu’à des données pseudonymisées ou anonymisées, dans un cadre contractuel strict.

Toute personne peut s’opposer à l’utilisation de ses données à des fins de recherche, à tout moment et sans justification, sans conséquence sur la qualité de la prise en charge. Cette opposition peut être adressée au responsable de l’établissement ou au DPO.

L’usage de l’intelligence artificielle dans le cadre de la prise en charge patients

Des technologies d’intelligence artificielle peuvent être utilisées au sein de l’HPS, notamment pour améliorer la qualité du diagnostic, l’identification de traitements adaptés ou l’organisation de l’activité hospitalière. Ces outils interviennent uniquement à titre d’aide à la décision et ne se substituent pas à l’évaluation d’un professionnel de santé.

L’usage de l’IA au sein de l’HPS est encadré par des règles strictes. Toute mise en œuvre est soumise à une supervision humaine : les décisions médicales relèvent exclusivement des professionnels de santé qui peuvent s’appuyer sur l’IA.

Ces technologies sont déployées dans le respect du cadre légal applicable. Des dispositifs de sécurité protègent les données traitées contre tout accès non autorisé, perte ou divulgation. Chaque système d’IA fait l’objet de contrôles en matière de transparence, de traçabilité, de non-discrimination et d’équité.

En cas d’interrogation sur l’usage de ces outils, le professionnel de santé qui vous a pris en charge peut vous fournir des précisions sur leur fonctionnement et leurs implications. Le DPO peut également être saisie pour toute demande relative à l’exercice de vos droits.

Voie de recours, responsabilité et sanctions

Pour exercer un droit relatif à ses données personnelles, la personne concernée peut adresser une demande au DPO :

  • Par courriel à l’adresse suivant : dpo@ch-salon.fr 
  • Par voie postale : DPO, 207 Av. Julien Fabre, 13300 Salon-de-Provence

La demande doit mentionner le droit exercé (droit d’accès, droit d’opposition, etc.), être accompagnée d’un justificatif d’identité, et indiquer une adresse de réponse.

Le DPO répond dans un délai d’un mois à compter de la réception. Ce délai peut être prolongé à deux mois en cas de demande complexe.

En cas d’absence de réponse ou de désaccord, vous pouvez introduire une réclamation auprès de l’Autorité de contrôle compétente à savoir la CNIL. Elle vous informera alors de l’état d’avancement et de l’issue de votre réclamation, y compris de la possibilité d’un recours juridictionnel, s’il y a lieu.

Pour contacter la CNIL :
Adresse postale : 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07
Tél : 01 53 73 22 22
Fax : 01 53 73 22 00
Site internet CNIL : https://www.cnil.fr/fr/

Acronymes et définitions

Acronymes :

  • RGPD : Règlement Général sur la Protection des Données
  • DCP : Données à caractère personnel
  • DPO : Délégué à la protection des données
  • IA : Intelligence artificielle

Définitions (cf. RGPD)

Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale

Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Limitation du traitement : le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur.

Profilage : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

Fichier : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Destinataire : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires ; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.

Tiers : une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

Consentement de la personne concernée : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Violation de données à caractère personnel : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Données concernant la santé : les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

Données génétiques : les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question