Protection des données
La présente politique vise à vous informer, patients et usagers, sur l’utilisation faite de vos données personnelles au CHRU de Brest.
Le CHRU de Brest s’engage à assurer le meilleur niveau de protection de vos données personnelles afin de garantir leur confidentialité, en conformité avec le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (règlement général sur la protection des données ou RGPD) et avec la loi informatique et libertés n° 78-17 du 6 janvier 1978.
Lors de votre consultation ou de votre hospitalisation, nous collectons et traitons des données administratives, sociales et médicales. Ces traitements informatiques servent à faciliter la gestion administrative de votre dossier, garantir la sécurité et la qualité de vos soins, assurer les liens avec votre médecin traitant mais également à vous proposer de nouveaux services digitaux plus pratiques. Vos données peuvent aussi être utilisées dans le cadre de la recherche clinique, l’analyse d’activité hospitalière, ou des études scientifiques et médico économiques dans le domaine de la santé, par l’équipe de soins ou par d’autres professionnels dûment habilités sous la responsabilité d’un médecin de l’établissement.
Le CHRU de Brest a désigné un Délégué à la Protection des Données (DPO) chargé de garantir que les traitements de vos données personnelles mis en œuvre par l’établissement respectent les dispositions du Règlement Général sur la Protection des Données - RGPD.
Collecte & origine des données
A votre arrivée au CHRU de Brest et dans le cadre de votre prise en charge médicale, nous collectons et traitons les catégories de données administratives, sociales et médicales :
- Des données personnelles d’identification: nom, prénom, date de naissance, sexe, adresse, téléphone, courrier électroniqueLe Numéro d’Identification du Régime de Sécurité Sociale (NIR)
- Fuseau horaire par rapport à l’heure GMT (Greenwich Mean Time)
- Vie personnelle : habitudes de vie, situation familiale, personnes à contacter, personnes de confiance
- Informations d’ordre économique et financier : mutuelle, prise en charge
- Données de santé
- Données génétiques, vie sexuelle
Finalité & bases légales des traitements
Le traitement de vos données personnelles et de vos données médicales dans le cadre de votre prise en charge a pour base légale l’article 9.2 du RGPD. Ces données sont traitées aux fins de médecine préventive, de diagnostics médicaux, de la prise en charge sanitaire ou sociale ou de la gestion des systèmes et des services de soins de santé mais également aux fins de recherches scientifiques en santé.
Vos données personnelles et médicales peuvent être traitées dans le cadre d’ autres bases légales :
- Respect d’une obligation légale et réglementaire de traiter et transmettre éventuellement aux agences régionales de l'hospitalisation, ainsi qu'à l'Etat et aux organismes d'assurance maladie, les informations relatives à leurs moyens de fonctionnement et à leur activité. Ces traitements concernent la gestion administrative, la facturation ainsi que les données issues du Programme de Médicalisation des Systèmes d’Information - PMSI
- L’exécution d’une mission de service public dont est investi le CHRU de Brest. Ces traitements concernent notamment la gestion des lits, la gestion des rendez-vous, des prescriptions, des laboratoires, de l’imagerie médicales et de l’évaluation de la qualité des soins (enquêtes, audits)
- Vie personnelle : habitudes de vie, situation familiale, personnes à contacter, personnes de confiance
- Aux fins des intérêts légitimes poursuivis par le CHRU de Brest. Ces traitements sont les dossiers médicaux de spécialités à des fins d’amélioration du suivi de certaines pathologies, à des fins de recherche scientifique et de publications.
- Pour la sauvegarde des intérêts vitaux de la personne concernée ou d’une population. Cela concerne les traitements nécessaires à des fins humanitaires pour suivre des épidémies ou dans les cas d’urgence humanitaire.
- Pour les travaux de recherche, les traitements de vos données nécessitent soit votre consentement explicite soit votre non opposition, c'est-à-dire une information spécifique avec la possibilité de vous y opposer. (pour plus d’informations : liens pages RIPH et RNIPH)
Destinataires de vos données
Vos données sont réservées aux professionnels de santé du CHRU de Brest soumis au secret professionnel et participant à votre prise en charge dans la limite des catégories de données qui leur sont nécessaires.
Dans le cadre de projets de recherche, le CHRU de Brest peut également être amené, après vous avoir informé individuellement et sauf opposition de votre part, à transmettre vos données, préalablement rendues non-nominatives à d’autres équipes institutionnelles ou industrielles nationales ou internationales.
Vos données peuvent être transmises aux organismes publics, autorités de santé, professions règlementées sur demande et dans la limite de ce qui est permis par la règlementation.
Sous-traitance
Vos données peuvent être transmises à des prestataires de services et sous-traitants contractant avec le CHRU de Brest. Ces prestations s’inscrivent dans la mission de service public hospitalier qui est d’assurer la qualité de la prise en charge globale des patients, la qualité des dispositifs médicaux et les dispositifs de prévention, ainsi que la sécurité sanitaire.
Le RGPD encadre les relations avec les sous traitants. A cet effet, un contrat spécifique de protection des données est signé entre l’établissement et le sous traitant. Le CHRU s’assure ainsi que les sous traitants présentent les garanties nécessaires au respect du RGPD quant au traitement de vos données.
Durée de conservation des vos données
Les données de santé du dossier médical sont conservées, conformément au Code de la Santé Publique, pendant une période de vingt ans à compter de la date du dernier passage, ou au moins jusqu’au vingt-huitième anniversaire du patient, ou pendant dix ans à compter de la date du décès.
Les informations exploitées à des fins de recherche sont conservées et font ensuite l’objet d’un archivage sur support papier ou informatique, pour une durée conforme à la réglementation en vigueur.
Vos droits
Conformément à la règlementation applicable, vous disposez de différents droits à savoir :
- Droit d’accès : vous pouvez demander la communication de votre dossier médical
- Droit de rectification : si vous estimez que vos données personnelles sont inexactes ou incomplètes, vous pouvez exiger que ces données personnelles soient modifiées en conséquence
- Droit à l’effacement : vous pouvez exiger l’effacement de vos données personnelles excepté pour les traitements nécessaires aux fins de diagnostics médicaux, de la gestion des services de soins de santé, pour des motifs d’intérêt public dans le domaine de la santé publique
- Droit à la limitation du traitement : vous pouvez demander la limitation du traitement de vos données personnelles dans certains cas
- Droit d’opposition : vous pouvez vous opposer, pour des motifs légitimes, au traitement de vos données personnelles dans le cade de la continuité des soins et de la gestion administrative de votre dossier médical
- Droit de retirer votre consentement : si vous avez donné votre consentement au traitement de vos données personnelles dans le cadre d’une recherche par exemple, vous avez le droit de retirer votre consentement à tout moment
- Droit à la portabilité des données : pour les traitements fondés sur le consentement ou sur un contrat, vous avez le droit à la restitution des données personnelles que vous nous avez fournies ou, lorsque cela est possible techniquement, de les transférer à un tiers
Pour exercer ces droits ou pour toute question sur le traitement de vos données, vous pouvez contacter le Délégué à la protection des données de l’établissement en joignant une copie de votre pièce d’identité à votre demande.
Contacter le délégué à la protection des données par mail :
protection.donnees@chu-brest.fr
Contacter le délégué à la protection des données par courrier postal :
Délégué à la Protection des Données CHRU de Brest
Direction des Affaires Juridiques
2, avenue Foch
296200 Brest
Dans l’hypothèse où vous estimez que vos données ne sont pas traitées conformément à la réglementation relative aux données personnelles, vous pouvez adresser une réclamation auprès de la Commission Nationale Informatique et Libertés - CNIL.
Pour plus d’informations : https://www.cnil.fr/
Prise de rendez-vous en ligne
Gestion de vos rendez-vous et gestion administrative de votre dossier
Des informations et données vous concernant sont nécessaires à la prise de rendez-vous en ligne. Le service apporté par la solution Doctolib est accessible depuis le site internet du CHRU de Brest et depuis le portail de réservation Doctolib. Outre la prise de rendez-vous, le service permet leur report et leur annulation. Vous recevrez par mail et SMS des informations relatives à votre rendez-vous (confirmation et rappel de rendez-vous).
Transmission de données à Doctolib
Dans le cadre de ce service de prise de rendez-vous en ligne, le CHRU de Brest agit en qualité de responsable de traitement et Doctolib, en qualité de sous-traitant, au sens du RGPD. Le CHRU de Brest transmet à Doctolib des données relatives à l’identité des patients du CHRU de Brest et de l’ensemble de leurs RDV pris dans une des unités de consultation du CHRU de Brest.
Cette transmission est nécessaire pour le fonctionnement du service de prise de rendez-vous en ligne au CHRU de Brest. Elle permet :
- d’afficher les plages de disponibilité que le CHRU de Brest peut proposer aux patients sur Doctolib (l’agenda des services doit être transmis à Doctolib)
- de sécuriser l’identité du patient (l’identité des patients du CHRU de Brest doit être rapprochée par Doctolib)
- de vérifier la présence d’un RDV antérieur au nom du patient pour réserver les RDV de suivi aux patients effectivement déjà suivis dans le service (l’antériorité des RDV des patients doit être accessible à Doctolib)
- de donner aux patients, et à eux seuls, une visibilité sur leur parcours global de soin au CHRU de Brest
- Les opérations de traitement des données à caractère personnel des patients du CHRU de Brest mentionnées ci-dessus sont réalisées par Doctolib, qui agit en tant que sous-traitant, sur instruction du CHRU de Brest.
DOCTOLIB s’est engagé contractuellement à respecter toutes les obligations de sécurité techniques et organisationnelles appropriées afin de protéger les données transmises.
Catégories de données
Pour ce qui est de l’utilisateur de Doctolib :
- Id patient
- Prénom
- Nom de famille
- Nom de naissance
- Sexe
- Date de naissance
- Adresse postale
- Médecin traitant
- Consentement acte télémédecine
Pour ce qui est des professionnels de santé :
- Id
- Nom
- Prénom
- Patients suivis
- Requérable en téléconsultation
Moment de la collecte
Les informations fournies sont collectées notamment quand vous créez votre compte et acceptez les conditions générales d’utilisation des services de Doctolib ;
- Vous êtes utilisateur de Doctolib
- Vous naviguez sur le site
- Vous renseignez les informations vous concernant
Durée de conservation
Données du compte et profil professionnels de santé: 3 mois en cas de fin de la relation commerciale avec Doctolib.
- Au sein du compte utilisateur : suppression du compte à la demande de l'utilisateur et possibilité de supprimer ses données après 3 ans d'inactivité.
- Au sein du compte professionnels de santé: 20 ans pour les établissements de santé. Toutefois les données sont supprimées 3 mois à compter de la fin de la relation commerciale avec le professionnel de santé.
Données de connexion : 2 mois.
Sur demande : Possibilité de suppression automatique des utilisateurs qui n’ont pas pris rendez-vous depuis plus de 2 ans dans l'établissement dans la base Doctolib de l'établissement.
Destinataires des données
Sont habilités à consulter, enregistrer, modifier, traiter les données incluses dans Doctolib :
- Les utilisateurs de Doctolib pour leur propre compte ou un titulaire de l’autorité parentale ou un tuteur pour le compte de son enfant ou de la personne majeure sous tutelle
- Des professionnels du CHRU de Brest participant à la prise en charge du patient et au maintien en condition opérationnelle du Système d’Information.
VOS DROITS
Conformément à la réglementation européenne en vigueur, tout utilisateur de DOCTOLIB dispose des droits suivants :
- droit d'accès (article 15 RGPD) et de rectification (article 16 RGPD), de mise à jour, de complétude des données des Utilisateurs
- droit de verrouillage ou d’effacement des données des Utilisateurs à caractère personnel (article 17 du RGPD), lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite (en savoir plus)
- droit de retirer à tout moment un consentement (article 13-2c RGPD)
- droit à la limitation du traitement des données des Utilisateurs (article 18 RGPD)
- droit d’opposition au traitement des données des Utilisateurs (article 21 RGPD) (en savoir plus)
- droit à la portabilité des données que les Utilisateurs auront fournies, lorsque ces données font l’objet de traitements automatisés fondés sur leur consentement ou sur un contrat (article 20 RGPD)
- droit de définir le sort des données des utilisateurs après leur mort
Vous pouvez savoir comment DOCTOLIB utilise vos données à caractère personnel, demander à les rectifier ou vous opposer à leur traitement, en contactant DOCTOLIB par écrit à l’adresse suivante : DOCTOLIB – DPO, 54 quai Charles Pasqua, 92300 Levallois-Perret ou par mail à contact.dataprivacy@doctolib.fr.