Liste des politiques actives
Nom | Type | Consentement utilisateur |
---|---|---|
POLITIQUE DE CONFIDENTIALITE DES DONNEES PERSONNELLES CHU de CLERMONT-FERRAND | Politique de site | Tous les utilisateurs |
Résumé
La présente politique présente les engagements mis en œuvre par le CHU de Clermont-Ferrand dans le
cadre du règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018.
Le respect de la vie privée et de la protection des données à caractère personnel constitue un facteur de
sécurité, auquel est particulièrement attachée l’institution.
Politique complète
ARTICLE 1 - DEFINITIONS
Données à caractère personnel : toute information se rapportant à une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant.
Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel. Il peut s’agir d’une application informatique, de la constitution d’un fichier ou d’un questionnaire par exemple.
Personne concernée : personne physique dont les données à caractère personnel font l’objet d’un traitement.
Responsable de traitement : la personne morale qui détermine les finalités et les moyens du traitement.
Responsable des opérations de traitement : Directeur ou Chef de service responsable de la mise en œuvre du traitement et de la collecte des données.
ARTICLE 2 - CHAMP D’APPLICATION
La présente politique s’applique à l’ensemble des traitements de données à caractère personnel mis en œuvre sous la responsabilité d’un pôle, d’un site hospitalier du CHU de Clermont-Fd (on ne parle pas ici d’un hôpital membre du GHT).
ARTICLE 3 - PRINCIPES DE PROTECTION ET DE SECURITE
Le responsable des opérations de traitements prend en compte la protection des données à caractère personnel dès la phase de conception des projets, y compris dans le cas d’un renouvellement de marché. En particulier, chaque projet de traitement, qu’il repose sur une application informatique interne ou externe, fait l’objet d’une revue de conformité aux dispositions légales et règlementaires relatives à la protection des données avant sa mise en œuvre.
Le responsable des opérations de traitement s’assure que les données à caractère personnel sont :
- utilisées uniquement pour des finalités explicites et légitimes ;
- pertinentes et non excessives ;
- accessibles aux seules personnes dont les missions le justifient ;
- conservées uniquement le temps nécessaire à l’accomplissement des finalités ;
- traitées de manière à garantir leur sécurité et conformément à la Politique Générale de Sécurité des Systèmes d’Information (PGSSI) du CHU de Clermont-Fd.
Le responsable des opérations de traitement s’assure qu’une analyse d’impact sur la protection des données à caractère personnel est systématiquement réalisée pour les projets suivants :
- Application informatique nécessaire pour la prise en charge administrative ou médicale des patients déployés sur au moins un service de soin ;
- Recherche ou études multicentriques dans le domaine de la santé ;
- Projets impliquant l’accès des données de santé sur internet ;
- Dispositifs de vidéosurveillance et vidéoprotection ;
- Projets impliquant le suivi en temps réelle de la localisation des personnes ;
- Systèmes d’Information permettant aux usagers d’effectuer des démarches auprès de l’administration (téléservice) ;
- Traitements des données relatives aux agents visant le suivi de l’activité ou de la productivité ou susceptibles de déboucher sur des mesures disciplinaires ou sanctions administratives ;
- Traitements de données personnelles pour lesquels le CHU agit comme sous-traitant ;
En cas de recours à un sous-traitant, le responsable des opérations de traitement exige son respect aux principes de protection des données à caractère personnel, et le formalise à travers une contractualisation.
Le responsable des opérations de traitement documente toutes les mesures prises pour garantir la sécurité et la conformité du traitement aux dispositions légales et règlementaires relatives à la protection des données.
Les traitements de données à caractère personnel sont obligatoirement inscrits par les Référents Protection des Données dans le registre des traitements du CHU de Clermont-Fd.
ARTICLE 4 - RESPECT DES DROITS DES PERSONNES
Les personnes concernées sont informées des caractéristiques du traitement avant sa mise en œuvre. En particulier, le responsable des opérations de traitement veille à porter à la connaissance des personnes le nom et les coordonnées du responsable de traitement, les finalités, les catégories de personnes accédant aux données, la durée de conservation, les coordonnées du Délégué à la Protection des Données CHU de Clermont-Fd et les modalités détaillées d’exercice des droits.
Le responsable des opérations de traitement définit pour chaque traitement un processus de gestion des demandes d’opposition. En particulier, une procédure permet aux patients CHU de Clermont-Fd d’exercer en toute circonstance leur droit d’opposition à l’échange et au partage, y compris au sein de l’équipe de soin, des données médicales le concernant.
Le responsable des opérations de traitement garantit la possibilité pour les personnes concernées d’accéder aux données à caractère personnel les concernant.
Le responsable des opérations de traitement répond dans un délai d’un mois maximum à une demande d’opposition ou d’accès aux données.
ARTICLE 5 - GOUVERNANCE
Le Délégué à la Protection des Données CHU de Clermont-Fd exerce ses missions conformément aux dispositions des articles 37 et suivants du Règlement Général sur la Protection des Données (RGPD) et en lien avec le Responsable de la Sécurité des Systèmes d’Information et la DQGRDU.
Il est chargé, au niveau du CHU de Clermont-Fd de :
- Définir une stratégie de gouvernance destinée à garantir la protection des données personnelles et piloter sa mise en œuvre sur l’ensemble du CHU de Clermont-Fd ;
- informer et sensibiliser le personnel aux enjeux de la protection des données ;
- accompagner l’institution sur les obligations qui s’imposent en vertu du RGPD et des autres dispositions en matière de protection de données à caractère personnel en tenant dûment compte du risque associés aux opérations de traitement ;
- auditer et contrôler, de manière indépendante, le respect des dispositions du RGPD par le CHU ;
- informer la Direction Générale du CHU de Clermont-Fd des manquements constatés, dispenser les conseils vis-à-vis des mesures à prendre pour y remédier, et soumettre les arbitrages nécessaires ;
- élaborer le processus relatif à la notification des éventuelles violations de données auprès de l’Autorité de contrôle et porter conseil pour chacune des étapes ;
- coordonner la gestion des demandes d’exercice de droits, de réclamations et de requêtes formulées par des personnes concernées par les traitements ;
- être l’interlocuteur privilégié de l’Autorité de contrôle et coopérer avec elle ;
- présenter un rapport annuel de ses activités à la Direction Générale du CHU de Clermont-Fd.
A terme un Référent Protection des Données désigné dans établissement membre du GHT, est chargé localement de :
- Informer, responsabiliser et sensibiliser les professionnels des structures du périmètre sur lequel il est missionné aux enjeux de la protection des données ;
- Effectuer une revue de conformité pour chaque traitement mis en œuvre par les structures du périmètre sur lequel il est missionné avec les dispositions du RGPD et de la loi Informatique et Libertés modifiée ;
- Emettre des avis et recommandations motivés et documentés ;
- Veiller à la bonne application du principe de protection des données dès la conception et par défaut dans tous les projets comportant un traitement de données personnelles mis en œuvre par les structures de son périmètre, notamment en renseignant pour chaque traitement un diagnostic conformité et sécurité et en veillant à l’ajout dans les marchés publics des exigences de protection des données ;
- Selon la typologie du traitement, rédiger un rapport de conformité, mener une étude d’impacts sur la vie privée, et/ou prévoir la formalité adéquate ;
- Documenter le registre central des traitements, conformément aux recommandations du Délégué à la Protection des Données du CHU de Clermont-Fd ;
- Piloter la gestion des réponses aux demandes de droits d’accès, d’opposition, de rectification, de suppression, de limitation et de portabilité des personnes concernées par les traitements mis en œuvre sur les structures du périmètre du Référent.
- Participer aux réunions et groupes de travail du réseau de référents protection des données ;
- Prendre connaissance de la veille réglementaire en la matière transmise par le Délégué à la Protection des Données du CHU de Clermont-Fd ;
- Fournir les éléments nécessaires à l’établissement du bilan annuel de l’activité de protection des données ;
- Alerter le délégué à la protection des données des plaintes, réclamations ou violation de protection des données personnelles dont il aurait connaissance sur les structures du périmètre sur lequel le Référent est missionné ;
- Assurer un premier niveau de médiation en cas de plainte et au besoin les transmettre au délégué à la protection des données;
- Participer aux procédures de contrôle et d’audit des traitements concernant les structures du périmètre sur lequel le Référent est missionné.