Protection des données

Vos données de santé

Notice d’information relative à la protection des données personnelles sur les données de santé vous concernant pour les soins et la recherche.

Des informations nominatives, administratives et médicales vous concernant sont recueillies au cours de votre venue au CHU de Rouen ou d’une téléconsultation qui vous est proposée par le CHU de Rouen.

Le CHU de Rouen (ci-après « Nous »), en tant qu’établissement de Santé, s’engage à ce que les traitements de données à caractère personnel soient conformes à la réglementation française et européenne, en particulier le Règlement (UE) général sur la protection des données du 27 avril 2016 dit « RGPD » et la Loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée dite « Loi Informatique et Libertés ». Les données personnelles de santé sont encadrées également par le Code de la santé publique, le Code de la sécurité sociale et le Code pénal.

La présente Notice a pour objectif d’informer les patients et toute personne concernée sur la manière dont le CHU de Rouen traite les données personnelles.

Cette politique pourra être actualisée afin notamment, de prendre en compte les évolutions législatives et réglementaires s’imposant à nous.

  • Votre prise en charge médicale et administrative

Dans le cadre de votre prise en charge médicale, certaines données vous concernant seront collectées et traitées afin de faciliter le suivi de votre prise en charge, la coordination des soins, la tenue et la gestion de votre dossier administratif et médical, la facturation des actes médicaux, l’édition des résultats d’examens, la prise de rendez-vous et, le cas échéant, la prise en charge via un dispositif de télémédecine.

Dans ce cadre, le CHU de Rouen traite vos données de santé à des fins de médecine préventive, de diagnostics médicaux, de prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé principalement sur le fondement juridique d’une obligation légale relevant du Code de la Santé Publique.

Ces données administratives et médicales sont également utilisées par le CHU de Rouen pour des traitements obligatoires du fait de la réglementation tels que l’évaluation des pratiques professionnelles, la gestion des évènements indésirables, l’analyse de l’activité, etc.

Enfin, le CHU de Rouen est également susceptible de collecter et traiter vos informations personnelles, avec votre consentement, si vous souhaitez bénéficier de services de conciergerie ou de facilités logistiques (ambulances…).

  • Amélioration de la qualité des soins et services, satisfaction

Afin d’améliorer la qualité des services et des soins offerts aux usagers, le CHU de Rouen réalise des enquêtes de satisfaction pour son propre compte et participe par ailleurs à la démarche nationale engagée par le Ministère de la santé ayant vocation à mesurer la satisfaction des personnes hospitalisées (enquête nationale dénommée e-satis) pour laquelle avec votre accord vous pouvez être contacté (téléphone ou courriel). Ces enquêtes restent, dans tous les cas, facultatives et donnent lieu à l’établissement de statistiques pour calculer des scores de satisfaction.

  • La recherche

Le CHU de Rouen, est susceptible d’utiliser vos données de santé pour des travaux de recherche. Vos données sont traitées sur le fondement juridique de l’exécution d’une mission d’intérêt public dont est investi le CHU.

Les recherches impliquant la personne humaine (interventionnelle ou non) et/ou n’impliquant pas la personne humaine (réutilisation de données, d’échantillons…) sont réalisées dans le but d’avoir une meilleure connaissance des pathologies et l’amélioration de la qualité des soins et de la prise en charge médicale.

Dans le cadre des soins, lorsque des prélèvements (sanguins, biologiques, tissus, cellules…) sont réalisés, il arrive que ces prélèvements ne soient pas utilisés en totalité. Sauf opposition de votre part, des échantillons issus du soin peuvent être utilisés pour la recherche, en gardant la priorité pour une utilisation dans le cadre des soins apportés. Sachez qu’aucun test génétique ne sera réalisé sans votre accord écrit.

Pour plus d’information sur les recherches réalisées au sein du CHU de Rouen, vous pouvez consulter la page La recherche biomédicale au CHU de Rouen.

  • La réalisation d’études d’analyse d’activité et de pilotage ou de recherche en santé grâce à l’Entrepôt de données de santé du CHU de Rouen

Afin de faciliter la réalisation, à partir de certaines données administratives et médicales recueillies pour les soins (données pseudonymes), de recherches en santé, d’études d’amélioration et d’optimisation de la prise en charge et de pilotage stratégique de l’activité hospitalière, un Entrepôt de données de santé (EDS) a été mis en place au CHU de Rouen sur le fondement juridique de la mission d’intérêt public dont est investi le CHU.

L’Entrepôt de données de santé constitué par le CHU de ROUEN (EDSaN) a obtenu l’autorisation de la CNIL le 19 octobre 2020.

Pour plus d’information sur les études ou les recherches à partir d’EDSaN, vous pouvez consulter la page EDSaN – L’entrepôt de données de santé du CHU de Rouen.

  • La sécurité des personnes et biens sur les sites du CHU de Rouen – dispositif de vidéo protection

Afin d’assurer la sécurité des personnes et biens et sur la base légale de l’intérêt légitime, les sites du CHU de Rouen sont placés sous vidéoprotection. Les images sont conservées pendant 30 jours, sauf disposition légales contraires. Elles ne peuvent être visionnées que par le personnel habilité du CHU de Rouen (liste déposée annuellement en préfecture) et par les forces de l’ordre sur réquisition.

En fonction de votre prise en charge, nous pouvons être amenés à collecter différentes catégories de données personnelles nécessaires à l’administration, la constitution du dossier médical et la facturation des soins.

Le dossier administratif du patient contient les informations nécessaires à l’administration et la facturation des soins :

  • données d’identification : noms, prénoms, date de naissance, sexe, adresse, numéro de téléphone, adresse email, numéro d’identification patient, identité nationale de santé (INS)
  • le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) ou, le cas échéant, le numéro identifiant d’attente (NIA)
  • données d’ordre administratif, économique et financière : carte vitale, mutuelle et niveau de prise en charge,
  • données relatives à la situation familiale si nécessaire.

Son usage est réservé aux services chargés de ces opérations et les données nécessaires au remboursement des soins sont transmises aux organismes d’assurance maladie dans le cadre de la télétransmission pour le tiers payant.

Le dossier médical rassemble :

  • les informations de santé des patients, notamment celles confiées aux médecins du service (antécédents, état de santé, traitements et suivis…),
  • les informations relatives aux caractéristiques de votre prise en charge (dates d’entrée et de sortie, mode de prise en charge, personnes à contacter, médecins),
  • les résultats et les conclusions des examens cliniques, radiologiques et de laboratoires pratiqués, etc.

Lors de la prise en charge via un dispositif de télémédecine, nous pouvons être amenés à collecter ces mêmes données. Elles seront enregistrées dans votre dossier médical et conservées par le CHU de Rouen. Par ailleurs, la transmission du son et de la vidéo est nécessaire pour assurer la qualité et la sécurité des soins mais n’est pas enregistrée.

Par ailleurs, concernant les actes de télésurveillance, les données médicales ne sont pas conservées par le CHU de Rouen mais par des plateformes certifiées Hébergeur de Données de Santé.

L’accès au dossier médical est réservé aux membres de l’équipe de soins qui vous prennent en charge. 

Ces données peuvent être collectées directement auprès de vous ou provenir d’échanges d’information entre professionnels de santé ou au sein de réseaux sécurisés de soins ou être transmises par nos partenaires contractuellement liés avec nous (exemple : prise de rendez-vous en ligne, pré-admission en ligne, acte de télémédecine).

Des données sont également recueillies lorsque vous rentrez en contact avec nous, par exemple pour exprimer un avis ou une réclamation.

Les destinataires de vos données sont les membres des équipes de soins qui vous prennent en charge, les agents des services administratifs chargés de la gestion de votre dossier et les agents des services logistiques et informatiques dans la limite de leurs attributions respectives et de leurs habilitations. Ils sont soumis à une obligation de confidentialité et au secret professionnel.

Seuls les professionnels de santé de l’équipe de soins intervenant dans votre prise en charge, ou celle de votre enfant, peuvent accéder aux données médicales. Afin de garantir la coordination, la continuité des soins, le suivi médico-social ou social du patient, certaines informations peuvent être partagées ou échangées avec votre médecin traitant et les professionnels assurant votre prise en charge, sauf opposition pour un motif légitime de votre part. Dans ce cadre, les informations vous concernant sont susceptibles d’être déposées chez un hébergeur de données agréé à cet effet et traitées par des organismes partenaires.

Afin d’élaborer ou réviser le projet régional de santé, d’évaluer la qualité des soins, et d’assurer la veille et les vigilances sanitaires, ou également dans le cadre de la détermination des ressources ou du contrôle de l’activité du CHU de Rouen, certaines informations doivent être transmises à des organismes publics, autorités de santé, professions réglementées, conformément à la réglementation.

Certaines de vos données non directement identifiantes (données pseudonymes) transmises par notre département d’information médicale (DIM) à l’Agence technique de l’information sur l’hospitalisation (ATIH), alimentent le Système national des données de santé (SNDS). Le SNDS, géré par la Caisse nationale d’assurance maladie (CNAM), ne contient aucune donnée directement identifiante vous concernant (pas de noms/prénoms ou numéro de sécurité sociale, ni d’adresse postale).

Sont également susceptibles d’avoir accès à certaines de vos données des promoteurs de recherche dans le cadre de la recherche (données pseudonymes) et éventuellement des sous-traitants contractuellement liés avec le CHU de Rouen, dans le respect des mesures de sécurités adaptées aux données personnelles.

Enfin, les autorités de police, autorités judiciaires ou administratives peuvent être destinataires lorsque nous avons l’obligation légale de le faire ou afin de garantir les droits, les biens et la sécurité du CHU de Rouen.

Conformément au Code de la Santé Publique, les données constitutives du dossier médical sont conservées pendant une période de vingt ans à compter de la date du dernier passage, ou au moins jusqu’au vingt-huitième anniversaire du patient pour les enfants de moins de 8 ans, ou pendant dix ans à compter de la date du décès. Les données de transfusion sanguine sont quant à elle conservées au moins 30 ans. S’agissant des données administratives et en lien avec les services dits de confort, les données sont conservées le temps nécessaire à la facturation ou à la réalisation du service puis archivées en accord avec les durées de prescription légale.

Les données exploitées à des fins de recherche sont conservées jusqu’au rapport final de la recherche ou jusqu’à la publication des résultats de la recherche. Elles font ensuite l’objet d’un archivage sur support papier ou informatique pour une durée conforme à la réglementation en vigueur.

Les données intégrées dans l’entrepôt de données de Santé EDSaN sont conservées pendant vingt ans à compter du dernier séjour du patient.

Une politique générale de sécurité des systèmes d’information de santé (PGSSI-S) fixe les exigences de sécurité des services numériques en santé. Sur la base de ce référentiel, une déclinaison propre au CHU de Rouen est appliquée au travers d’une politique de sécurité du système d’information pour définir les orientations et les exigences de sécurité mises en œuvre et adaptées au niveau de l’établissement au regard de la nature des données traitées et aux activités. Des mesures de sécurité physiques, logiques et organisationnelles appropriées sont prévues pour garantir la confidentialité des données, et notamment éviter tout accès non autorisé. Des dispositifs permettent de s’assurer que les sous-traitants présentent des garanties appropriées pour assurer la sécurité et la confidentialité des données personnelles.

Par principe, nous privilégions l’hébergement et le traitement de vos données personnelles au sein de notre établissement. En cas de recours à des prestataires extérieurs, nous privilégions un hébergement en France ou au sein de l’Union européenne (UE) et de l’Espace économique européen (EEE).

Toutefois, des données personnelles peuvent faire l’objet de transferts vers des pays hors de l’UE et de l’EEE.

Nous nous assurons dans ce cas que ce transfert est effectué en conformité avec la réglementation applicable et qu’un niveau de protection adéquat, afin de respecter votre vie privée, est assuré : en recourant par exemple à des clauses contractuelles types de la commission européenne ou en transférant dans un pays présentant un niveau de protection des données personnelles reconnu comme adéquat.

Par ailleurs, lorsque les données médicales ne sont pas conservées au sein du CHU de Rouen mais par des plateformes extérieures, par exemple pour les actes de télésurveillance, nous nous assurons que ces plateformes sont certifiées Hébergeur de données de santé (HDS).

Dans la limite du droit applicable, vous disposez de droits sur les données personnelles vous concernant, à savoir :

  • Un droit d’accès : vous avez le droit à l’accès et à la communication des données collectées et traitées par le CHU de Rouen vous concernant à tout moment.

   ♦ Dossier médical : pour l’accès à votre dossier médical, une procédure spécifique existe au sein du CHU de Rouen. Vous trouverez les formulaires en consultant la page Obtenir votre dossier médical

  • Un droit de rectification : vous pouvez demander la rectification des données inexactes ou incomplètes.
  • Un droit à l’oubli : vous pouvez demander l’effacement de vos données dans la limite du droit applicable.
  • Un droit à la limitation du traitement de vos données : vous pouvez demander la limitation des traitements de vos données, dans les limites du droit applicable.
  • Un droit d’opposition : vous disposez d’un droit d’opposition au traitement, sous réserve d’un motif légitime et dans les limites du droit applicable.

   ♦ Dossier médical : pour la gestion de votre dossier médical, en application des dispositions de l’article 21 du RGPD et l’article 56 de la loi Informatique et Libertés, le droit d’opposition ne trouvera pas à s’appliquer au dossier médical puisqu’il est basé sur le fondement juridique de l’obligation légale.

Concernant l’utilisation de vos données à des fins de recherche ou l’intégration de vos données à l’EDSaN, vous pouvez à tout moment exprimer votre opposition à leur traitement, sans justification et via le présent formulaire d’opposition : Formulaire d’opposition à l’utilisation des données de santé pour la recherche.

   ♦ Recherche : conformément à la loi, certaines données traitées peuvent ne pas être effacées si cela a pour effet de rendre impossible ou compromet gravement la réalisation des objectifs de la recherche.

  • Un droit à la portabilité : vous disposez du droit à la portabilité des données vous concernant. Ce droit vous permet de récupérer vos données sous une forme lisible et aisément réutilisable et, le cas échéant, de les transférer ensuite à un tiers.
  • Un droit de retrait du consentement : lorsqu’un consentement à la collecte et au traitement des données vous a été requis, vous avez le droit de le retirer à tout moment.

Par ailleurs, vous pouvez déposer des directives relatives à la conservation, à l’effacement et à la communication de vos données en cas de décès.

Nous contacter

Pour exercer vos droits sur vos données personnelles ou pour toute information sur les traitements des données personnelles gérés par le CHU de Rouen, vous pouvez contacter le délégué à la protection des données (DPO) :

  • par courriel à l’adresse : dpd@chu-rouen.fr
  • par courrier postal : Délégué à la protection des données (DPO) – CHU de Rouen – Direction des affaires juridiques – 1 rue de Germont – 76031 Rouen cedex

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL par son site internet www.cnil.fr ou par courrier à l’adresse suivante : CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.

© CHU de Rouen - Tous droits réservés