Politique de traitement des données personnelles


1. Préambule

Le GHR Mulhouse Sud-Alsace (GHRMSA), en sa qualité d’établissement public de santé, accorde une importance particulière à la protection des données personnelles et au respect de la vie privée des patients, usagers, résidents, agents, partenaires et utilisateurs de ses services.

Dans le cadre de ses missions de service public hospitalier, le GHRMSA est amené à collecter et traiter des données à caractère personnel, notamment des données de santé, dans le respect des dispositions applicables du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel (« RGPD »), de la loi Informatique et Libertés modifiée, ainsi que des dispositions du Code de la santé publique.

La présente politique a pour objet d’informer les personnes concernées sur les traitements de données personnelles mis en œuvre par le GHRMSA.


2. Responsable du traitement

Le responsable des traitements de données personnelles mis en œuvre dans le cadre des activités du GHR Mulhouse Sud-Alsace est :

GHR Mulhouse Sud-Alsace

87 Avenue d’Altkirch Bp 1070,

68100 Mulhouse

Le GHRMSA agit en qualité d’établissement public de santé et d’établissement support du Groupement Hospitalier de Territoire Haute-Alsace.

Dans certains cas, certains traitements peuvent être mis en œuvre de manière mutualisée entre établissements membres du GHT Haute-Alsace, dans le respect des responsabilités propres de chaque établissement.


3. Données personnelles traitées

Dans le cadre de ses activités, le GHRMSA peut être amené à traiter notamment les catégories de données suivantes :

  1. données d’identification (nom, prénom, date de naissance, coordonnées, numéro de sécurité sociale, identifiant patient) ;
  2. données administratives ;
  3. données relatives à la vie professionnelle ;
  4. données financières et de facturation ;
  5. données relatives à la prise en charge médicale et médico-sociale ;
  6. données de santé ;
  7. données nécessaires à la continuité et à la coordination des soins ;
  8. données relatives aux rendez-vous et hospitalisations ;
  9. données de connexion et de traçabilité ;
  10. données nécessaires à la gestion des ressources humaines ;
  11. données nécessaires à la gestion des formations, concours et recrutements ;
  12. données nécessaires à la gestion des activités médico-techniques, biomédicales et logistiques.

Le GHRMSA veille à ne collecter que les données strictement nécessaires aux finalités poursuivies.


4. Finalités des traitements

Les traitements mis en œuvre par le GHRMSA poursuivent notamment les finalités suivantes :

  1. prise en charge médicale et soignante des patients ;
  2. gestion du dossier patient ;
  3. gestion des consultations, hospitalisations et rendez-vous ;
  4. coordination des parcours de soins ;
  5. gestion administrative des patients et des usagers ;
  6. facturation et gestion des remboursements ;
  7. gestion des urgences et de la permanence des soins ;
  8. réalisation d’examens biologiques, radiologiques et médico-techniques ;
  9. télémédecine et télésurveillance lorsque applicable ;
  10. gestion des vigilances sanitaires ;
  11. gestion des activités médico-sociales et d’hébergement ;
  12. gestion des ressources humaines, de la paie et des recrutements ;
  13. gestion des formations et des instituts de formation ;
  14. gestion des systèmes d’information et des accès ;
  15. sécurité des personnes, des locaux et des systèmes d’information ;
  16. respect des obligations légales et réglementaires ;
  17. gestion de la qualité et des risques ;
  18. production de statistiques et d’indicateurs d’activité ;
  19. recherche, études et évaluations dans le respect des réglementations applicables.


5. Dispositifs de vidéoprotection et de sûreté

Le GHR Mulhouse Sud-Alsace peut mettre en œuvre des dispositifs de vidéoprotection et de sécurité au sein de ses établissements afin d’assurer notamment :


  1. la sécurité des personnes ;
  2. la protection des patients, usagers, résidents, visiteurs et professionnels ;
  3. la sécurisation des accès et des locaux ;
  4. la prévention des actes de malveillance et des atteintes aux biens ;
  5. la gestion des incidents de sécurité.


Les images collectées dans ce cadre sont accessibles uniquement aux personnes habilitées dans la limite de leurs attributions et du besoin d’en connaître.


Les durées de conservation des images sont définies conformément aux dispositions légales et réglementaires applicables.


Lorsque les dispositifs sont soumis à autorisation ou déclaration spécifique, le GHRMSA veille au respect des obligations applicables.


6. Bases légales des traitements


Les traitements réalisés par le GHRMSA reposent notamment sur les bases légales suivantes :

  1. l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ;
  2. le respect d’obligations légales et réglementaires ;
  3. la prise en charge sanitaire et médico-sociale des patients ;
  4. la médecine préventive, les diagnostics médicaux, la gestion des systèmes et services de santé ;
  5. le consentement de la personne concernée lorsque celui-ci est requis par la réglementation applicable.


7. Destinataires des données

Les données personnelles sont accessibles, dans la limite de leurs attributions respectives et du besoin d’en connaître, notamment :

  1. aux professionnels de santé participant à la prise en charge des patients ;
  2. aux personnels administratifs habilités ;
  3. aux personnels techniques habilités ;
  4. aux structures et professionnels participant au parcours de soins ;
  5. aux prestataires et sous-traitants agissant pour le compte du GHRMSA dans un cadre contractuel sécurisé ;
  6. aux autorités administratives, judiciaires ou organismes habilités lorsque la réglementation l’impose.

Lorsque des prestataires interviennent en qualité de sous-traitants, le GHRMSA veille à encadrer contractuellement leurs interventions conformément aux exigences du RGPD.


8. Hébergement et transferts de données

Les données traitées par le GHRMSA sont hébergées soit au sein des infrastructures du GHRMSA, soit auprès de prestataires spécialisés, notamment des hébergeurs certifiés Hébergeur de Données de Santé (HDS) lorsque la réglementation l’exige.

Le GHRMSA veille à privilégier un hébergement des données au sein de l’Union européenne.

En cas de transfert de données en dehors de l’Union européenne, le GHRMSA s’assure que des garanties appropriées sont mises en œuvre conformément à la réglementation applicable.


9. Durées de conservation

Les données personnelles sont conservées pendant des durées conformes aux obligations légales, réglementaires et aux référentiels applicables au secteur de la santé.

Les durées de conservation varient selon la nature des données et les finalités poursuivies.

À l’issue des durées applicables, les données sont supprimées, archivées ou anonymisées conformément à la réglementation en vigueur.


10. Sécurité des données

Le GHRMSA met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité, l’intégrité et la confidentialité des données personnelles traitées et d’empêcher leur divulgation, accès, altération ou destruction non autorisés.

Ces mesures tiennent compte de la nature des données traitées, des risques présentés par les traitements et de l’état des connaissances techniques.


11. Droits des personnes concernées

Conformément à la réglementation applicable, les personnes concernées disposent, selon les cas, des droits suivants :

  1. droit d’accès ;
  2. droit de rectification ;
  3. droit à l’effacement ;
  4. droit à la limitation du traitement ;
  5. droit d’opposition ;
  6. droit à la portabilité des données ;
  7. droit de définir des directives relatives au sort de leurs données après leur décès.

Certains droits peuvent faire l’objet de limitations ou restrictions prévues par la réglementation applicable au secteur de la santé.


12. Exercice des droits

Les personnes concernées peuvent exercer leurs droits ou adresser toute question relative à la protection des données personnelles auprès du Délégué à la Protection des Données du GHRMSA :

Délégué à la Protection des Données (DPO)

GHR Mulhouse Sud-Alsace

87 Avenue d’Altkirch Bp 1070,

68100 Mulhouse

Adresse électronique : dpd@ghrmsa.fr

Une pièce d’identité pourra être demandée en cas de doute raisonnable sur l’identité du demandeur.


13. Réclamation auprès de la CNIL

Les personnes concernées disposent également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :

https://www.cnil.fr


14. Mise à jour de la politique

La présente politique de protection des données personnelles peut être modifiée à tout moment afin de tenir compte des évolutions réglementaires, organisationnelles ou techniques.