DONNEES ET CONFIDENTALITE

 

Politique de gestion des données à caractère personnel

Le groupement KANTYS BIO accorde la plus grande importance au respect de la vie privée et à la protection des données à caractère personnel.

Dans ce cadre, ses membres mettent en place une gestion des données à caractère personnel ayant pour objectif de protéger la confidentialité des informations traitées par les différentes entités.

La présente politique de gestion présente les principes applicables à la protection des données ainsi que principales mesures mises en œuvre par les membres du groupement pour assurer le respect de ces principes.

Les membres du Groupement s’engagent à respecter les dispositions en vigueur applicables à la protection des données à caractère personnel et en particulier le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (dit RGPD), les dispositions de la loi n°78-17 du 6 janvier 1978 modifiée et les dispositions afférentes du Code de la santé publique.

 

  1. Définitions

Les termes suivants sont définis conformément aux dispositions de l’article 4 du Règlement (UE) 2016/679 dit « RGPD » et de la loi du 6 janvier 1978 modifiée.

Données à Caractère Personnel ou Données : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Données Relatives à l’état de Santé ou Données de Santé : Données à Caractère Personnel relatives à la santé physique ou mentale des personnes concernées, y compris celles relatives à la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de ces personnes.

Responsable du traitement : la personne morale qui détermine les finalités et les moyens du traitement. Les Responsables du traitement sont les différents laboratoires KANTYS BIO, représentés par leurs directeurs respectifs.

Traitement de Données à Caractère Personnel ou Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à Caractère Personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification…

 

  1. Principes de la protection

KANTYSBIO s’attache au respect des principes suivants.

Le principe de licéité implique que chaque traitement se fonde sur l’une des bases légales ou l’une des exceptions visées par le Règlement UE 2016/679. Pour les laboratoires, les traitements ont notamment pour base l’exécution du contrat de soins, les obligations légales ou règlementaires du laboratoire, l’exécution d’une mission d’intérêt public ou l’intérêt légitime du responsable du traitement.

Le principe de finalité impose un ou plusieurs objectif(s) précis pour chaque traitement. Elle doit être déterminée (les données ne peuvent être collectées sans finalité au cas où elles seraient utiles un jour), légitime (compatible avec l’activité du responsable du traitement)et explicite. La finalité doit être respectée : un traitement ne peut être utilisé pour un autre objectif que celui qui a été défini.

Les traitements mis en œuvre par les laboratoires sont nécessaires pour la mise en œuvre et à la gestion de leurs activités de biologie médicale. A ce titre, les grandes finalités de traitement sont la prestation du laboratoire (réalisation des analyses, l’interprétation et la transmission des résultats), la gestion administrative, la réponse aux obligations légales et réglementaires et la sécurité des locaux et installations.

Le principe de pertinence et de limitation impose que seules les données adéquates et nécessaires pour les traitements soient collectées. Les données doivent être exactes et, si nécessaire, tenues à jour. Le corollaire est le droit d’accès et de rectification pour les personnes concernées.

L’exigence de conservation limitée des données impose une durée de conservation raisonnable au regard des finalités pour lesquelles elles sont traitées. Ces durées sont parfois imposées par des dispositions légales ou réglementaires (par exemple la conservation des informations du dossier médical – Code de la santé publique) pour d’autres, elles peuvent être définies en fonction de l’utilité des données (notamment administrative).

Enfin, le principe de sécurité vient garantir la sécurité des données, définie comme l’ensemble des mesures de nature à garantir la disponibilité, la confidentialité et l’intégrité des données. Chaque responsable du traitement met en œuvre les mesures organisationnelles, techniques, logicielles et physiques appropriées.

 

  1. Les droits des personnes concernées

Conformément aux dispositions légales et réglementaires applicables, les personnes concernées par les traitements disposent de droits sur leurs données notamment d’un droit d’accès et, sous réserve des conditions prévues par les dispositions applicables d’un droit de rectification, d’effacement et de portabilité des données, du droit de définir du sort de leurs données après leur décès et du droit de s’opposer à leur utilisation ou de limiter celle-ci.

Afin de garantir l’effectivité de ces droits, le groupe a mis en place des supports d’information à destination des patients et des collaborateurs. Ces supports sont disponibles sur demande. Un standard est également ouvert auprès du Délégué à la protection des données (dpo@kantysbio.fr).

 

  1. Les mesures mises en œuvre

 Suivi de la conformité – compliance

Le Groupement a désigné un Délégué à la Protection des Données chargé de piloter la conformité au Règlement européen. Le Délégué est le point de contact des personnes concernées par les traitements et l’interlocuteur de l’autorité de contrôle française, la Commission Nationale de l’Informatique et des Libertés (CNIL).

Chaque laboratoire tient, en sa qualité de responsable du traitement, un Registre des activités de traitement recensant les principaux traitements mis en œuvre dans chaque structure. Ces registres sont régulièrement mis à jour et doivent pouvoir être présentés à l’autorité de contrôle, le cas échéant.

Les nouveaux traitements sont soumis à consultation du Délégué à la Protection des Données.

La sous-traitance de tout ou partie des activités des laboratoires est contractuellement encadrée. Une convention de sous-traitance de données à caractère personnel est établie lorsque des données à caractère personnel sont confiées à des tiers. Cette hypothèse ne concerne pas la transmission de résultats d’analyse aux prescripteurs membres de l’équipe de soins.

Sécurité des données

  • Mesures organisationnelles

Chaque laboratoire met en place les mesures organisationnelles appropriées, qu’il documente.

A titre d’exemple peuvent être déployés une Charte informatique, une Politique de sécurité du système d’information, des process d’habilitation des accès, de gestion et d’attribution des mots de passe selon la maturité de chaque entité.

Chaque laboratoire applique une Politique d’archivage conforme aux dispositions légales et réglementaires permettant de garantir la durée de conservation des Données.

  • Mesures techniques, logicielles et physiques

Chaque laboratoire s’engage à mettre en place les mesures appropriées eu égard à l’état de l’art, aux risques et aux exigences de sécurité en vue de prévenir un traitement non autorisé ou illégal ainsi que les perte, dommage, altération ou destruction des données à caractère personnel.

Un contrôle d’accès aux locaux est mis en place de façon à sécuriser l’accès aux postes et aux dossiers papiers.

Lorsque les données sont hébergées sur des serveurs distants, elles le sont conformément aux dispositions afférentes du Code de la santé publique, auprès d’un hébergeur certifié HDS.

Aucune donnée n’est transférée en dehors du territoire de l’Union Européenne.

 

  1. Incidents menant à une violations de données à caractère personnel

Une violation de donnes à caractère personnel est une violation de la sécurité des données entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles (suppression accidentelle de données médicales conservées et non sauvegardées par ailleurs/ introduction d’un virus…)

Chaque laboratoire s’engage à notifier à l’autorité de contrôle toute violation de données à caractère personnel dans les plus brefs délais et au plus tard 72 heures après en avoir pris connaissance. Toute violation de sécurité est signalée, dans les meilleurs délais au Délégué à la Protection des Données (dpo@kantysbio.fr).

Un process de signalement des incidents permettant à chaque collaborateur de signaler, dans les meilleurs délais tout incident de sécurité concernant les données et plus largement, le système d’information du laboratoire pourra être mis en place.

Chaque laboratoire documente, avec l’aide du Délégué à la Protection des Données et du RSSI, les violations de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier au sein d’un Registre des violations de données.

Date d’entrée en vigueur : 02/08/2023

 

Informations patients sur la protection des données à caractère personnel

Le groupement KANTYS BIO accorde la plus grande importance au respect de la vie privée de ses patients et à la protection de leurs données à caractère personnel.

Vos données sont traitées par nos laboratoires dans le strict respect du secret médical et conformément aux dispositions de la loi n°78-17 du 6 janvier 1978 modifiée, du Règlement UE 2016/679 sur la protection des données du 27 avril 2016 et aux obligations légales et réglementaires des laboratoires.

Ce document a pour objet de vous informer sur les traitements mis en œuvre par notre groupe et nos laboratoires et sur vos droits en tant que personne concernée. Le contenu de la présente information étant susceptible d’évoluer ou d’être mis à jour, nous vous invitons à consulter régulièrement celle-ci sur notre site internet.

 

  1. Pourquoi traitons-nous vos données ?

Les données collectées lors de votre visite sur notre site internet ou dans l’un de nos laboratoires font l’objet de traitements qui sont nécessaires pour vous fournir nos services et pour la mise en œuvre de nos activités de biologie médicale. Les responsables des traitements mis en œuvre sont les différents laboratoires KANTYS BIO, soit pour l’usager concerné le laboratoire KANTYS BIO qui a réalisé le prélèvement et /ou traite ses analyses.

Les traitements mis en œuvre se fondent sur une ou plusieurs des bases légales définies au sein du Règlement 679/2016 du 27 avril 2016, pour les finalités suivantes :

  • Pour permettre la réalisation des analyses, l’interprétation et la transmission des résultats : sur la base de l’exécution du contrat de soins et de nos obligations légales pour la tenue du dossier médical ;
  • Pour la gestion administrative du laboratoire : sur la base de nos obligations légales et réglementaires ;
  • Pour vous proposer des services en ligne comme la prise de rendez-vous et la consultation de résultats ;
  • Pour la réalisation d’études statistiques à usage interne : sur la base de notre intérêt légitime ;
  • Pour la participation à des études épidémiologiques et pour répondre aux obligations de vigilance sanitaire : sur la base de nos obligations légales et réglementaires.

 

  1. Quelles données sont concernées ? Combien de temps sont-elles conservées ?

Une donnée à caractère personnel est une information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par référence à un identifiant, tel qu’un nom, un numéro d’identification …. Les données de santé sont des données à caractère personnel relatives à la santé physique ou mentale d’une personne.

Les données que nous traitons sont recueillies directement auprès de vous, lorsque vous utilisez nos services en ligne,  à l’occasion de votre venue dans nos laboratoires ou de manière indirecte lorsqu’elles nous sont confiées par un autre laboratoire de biologie médicale, un établissement de santé ou un professionnel de santé.

Les données concernées sont :

  • Vos données d’identification : civilité, nom, prénom, date de naissance, adresse, numéro de téléphone, adresse courriel ; le numéro de sécurité sociale ; l’identifiant national de santé (INS) ;
  • Vos données de santé : les actes prescrits et réalisés selon leur nomenclature, les résultats d’analyse, les autres diagnostics traitements prescrits et les données pertinentes pour l’examen ;
  • Les données relative aux habitudes et mode de vie : si pertinentes pour l’examen ;
  • Les données d’ordre financier nécessaires pour la facturation et le règlement des actes réalisés.

 

  1. A qui sont destinées ces données ?

Les données sont destinées aux personnels de nos laboratoires habilités à les traiter ainsi qu’aux professionnels de santé membres de l’équipe de soin intervenant dans votre prise en charge tel que le laboratoire de biologie médicale, l’établissement de santé, le professionnel de santé prescripteur.

Les données peuvent être transmises à des organismes publics ou privés ayant à en connaitre notamment les organismes d’assurance maladie et complémentaire pour la prise en charge de vos examens.

Elles peuvent être transmises à des sous-traitants, prestataires du laboratoire ou à un laboratoire de biologie médicale de référence si nécessaire, aux fins d’analyses ou de mise à disposition des résultats . Dans cette hypothèse, vos données sont protégées par le secret professionnel et /ou par l’obligation de confidentialité à laquelle sont contractuellement soumis tous nos partenaires.

 

  1. Combien de temps et comment sont conservées les données ?

Vos données sont conservées pour la durée nécessaire aux finalités poursuivies, sous réserve de l’application d’une durée de conservation plus longue en vertu d’une obligation légale ou réglementaire.

  • Les données de votre dossier médical sont conservées conformément aux dispositions légales pendant 20 ans à compter de la date de votre dernière visite dans l’un de nos laboratoires ;
  • Les images de vidéosurveillance sont conservées un mois.
  • Les données du formulaire de contact et de réservation sont conservées pour le temps nécessaire au traitement de la demande et sont ensuite anonymisées à des fins statistiques.

Notre groupe met en œuvre les mesures organisationnelles techniques, logicielles et physiques appropriées pour préserver et garantir la sécurité, l’intégrité et la confidentialité des données traitées.

En cas d’hébergement externe des données, nous nous assurons que le traitement de vos données de santé est assuré par un hébergeur de données de santé certifié conformément à l’article L. 1111-8 du Code de la santé publique.

 

  1. Vos droits

Conformément aux dispositions légales et réglementaires applicables, vous disposez d’un droit d’accès et aux données à caractère personnel vous concernant.

Vous disposez, par ailleurs, sous réserve des conditions prévues par les dispositions applicables d’un droit de rectification, d’effacement de vos données et du droit de vous opposer à leur utilisation ou de limiter celle-ci.

Vous pouvez exercer vos droits en contactant le Délégué à la Protection des Données de notre groupe, à dpo@kantysbio.fr.

En cas de difficultés, vous pouvez également saisir la Commission nationale de l’informatique et des libertés (CNIL) d’une réclamation.