Politique de confidentialité Predigraft

Politique de confidentialité Predigraft

  1. Objet de la présente politique

CIBILTECH souhaite vous informer par l’intermédiaire de la présente politique  de la manière dont sont protégées vos données à caractère personnel traitées  via les deux solutions PREDIGRAFT :  

celle qui est destinée aux professionnels de santé (ci-après « Solution Professionnels de Santé ») 

celle qui est destinée aux patients (ci-après « Solution patients ») 

L’objectif principal des solutions PREDIGRAFT est le suivi des probabilités de survie  des greffons de reins sur la base des standards cliniques et biologiques afin  d’améliorer la qualité des soins apportés. 

La Solution Professionnels de Santé permet ce suivi des variables via la et d’être alerté  en cas d’évolution pouvant impacter la santé du patient 

La Solution Patient a pour objectifs : 

  1. de permettre la prise de photo ou la transmission en format PDF des résultats  d’analyse ou examens issus de laboratoires d’analyse. Ce document est  transmis au dossier patient du médecin dans la solution Predigraft accès  Professionnel de Santé.  
  2. fournir les informations des variables biologiques suivantes : poids, pression  artérielle et taille. 
  3. accéder à du contenu d’accompagnement thérapeutique sous forme de vidéos  et d’articles. 
  4. présenter une représentation graphique des informations transmises 

La présente politique décrit la manière dont CIBILTECH traite les données à caractère  personnel des utilisateurs (ci-après le/les « Utilisateur(s) ») lors leur utilisation de ses  solutions. 

Certaines Données Personnelles de l’Utilisateur doivent être considérées comme des  données à caractère personnelles de santé, et sont ci-après dénommées « Données  de santé ». 

  1. Définition

✔ Consentement : toute manifestation de volonté, libre, spécifique, éclairée et  univoque par laquelle la personne concernée accepte, par une déclaration  ou par un acte positif clair, que des données à caractère personnel la  concernant fassent l’objet d’un traitement ; 

✔ Donnée personnelle ou donnée à caractère personnel : toute information se  rapportant à une personne physique identifiée ou identifiable (ci-après  dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée,  directement ou indirectement, notamment par référence à un identifiant, tel  qu’un nom, un numéro d’identification, des données de localisation, un  identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son  identité physique, physiologique, génétique, psychique, économique,  culturelle ou sociale; 

✔ Donnée de santé : les données relatives à la santé physique ou mentale,  passée, présente ou future, d’une personne physique (y compris la  prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. Cela comprend : 

o les informations relatives à une personne physique collectées lors de  son inscription sur la solution 

o les informations obtenues lors du test ou de l’examen d’une partie du  corps ou d’une substance corporelle, y compris à partir des données  génétiques et d’échantillons biologiques 

o les informations concernant une maladie, un handicap, un risque de  maladie, les antécédents médicaux, un traitement clinique ou l’état  physiologique ou biomédical de la personne concernée 

✔ Traitement : toute opération ou tout ensemble d’opérations effectuées ou  non à l’aide de procédés automatisés et appliquées à des données ou des  ensembles de données à caractère personnel, telles que la collecte,  l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation  ou la modification, l’extraction, la consultation, l’utilisation, la communication  par transmission, la diffusion ou toute autre forme de mise à disposition, le  rapprochement ou l’interconnexion, la limitation, l’effacement ou la  destruction;  

✔ Responsable de traitement : la personne physique ou morale, l’autorité  publique, le service ou un autre organisme qui, seul ou conjointement avec  d’autres, détermine les finalités et les moyens du traitement ;  

✔ Sous-traitant : la personne physique ou morale, l’autorité publique, le service  ou un autre organisme qui traite des données à caractère personnel pour le  compte du responsable du traitement ;  

  1. Identité et coordonnées du responsable de traitement

Pour les Données de Santé des patients collectées par le Professionnel  de Santé : chaque Professionnel de Santé responsable du traitement des  données personnelles de ses patients (y compris leurs données de santé) tandis que CIBILTECH est sous-traitant, c’est-à-dire qu’il agit sur instruction  particulière de chaque hôpital, clinique etc. 

Pour les Données Personnelles collectées dans le cadre de la création du  compte personnel de l’Utilisateur et sa navigation sur les Solutions : CIBILTECH, Société par Actions Simplifiée, immatriculée au RCS sous le  numéro 848 185 765 et dont le siège social est situé au 66 AV DES CHAMPS  ELYSEES 75008 PARIS (ci-avant et ci-après « CIBILTECH ») est responsable  de traitement. 

  1. Comment sont collectées les données personnelles ?

Les données sont collectées lors de la création des comptes dans les solutions et  tout au long de leur utilisation lorsque de nouvelles variables ou nouveaux documents y sont intégrés.  

  • Solution Professionnels de Santé :

o les données concernant les Utilisateurs (les professionnels de santé) sont collectées directement auprès de ces derniers 

o les données relatives aux patients sont collectées par les Professionnels  de Santé 

Il revient aux Professionnels de Santé, qui utilisent la solution Predigraft pour les  Professionnels de Santé, d’informer leurs patients du traitement de leurs données  personnelles par un sous-traitant, en l’occurrence CIBILTECH et de leur permettre de  s’y opposer. 

  • Solution Patients :

o Les données concernant les patients, en tant qu’utilisateurs de la  solution, sont collectées directement auprès de ces derniers. 

Toutefois, l’email du patient est transmis par son médecin. 

  1. Quelles sont les finalités de la collecte de vos données personnelles et les bases légales associées ?

Solution Professionnels de santé 

  • Les traitements des données des professionnels de santé concernant les finalités suivantes reposent sur l’exécution du contrat de licence et maintenance entre CIBILTECH et l’établissement de santé : 

o Permettre aux professionnels de santé de se connecter à la Solution ; o Permettre aux professionnels de santé d’y saisir les variables qu’ils  jugent pertinentes au regard du suivi médical du patient greffé ; 

o Alerter professionnels de santé en cas de variabilité de certaines  données pour contacter les patients et organiser leur suivi médical ;

o Présenter aux professionnels de santé des rapports créés par  PREDIGRAFT ; 

o Permettre à CIBILTECH de réaliser les activités de maintenance et  de support concernant le fonctionnement de la solution.  

  • Le traitement des données des professionnels pour assurer la sécurité de la solution, la sécurité de la navigation, pour prévenir et pour lutter contre la fraude informatique repose sur l’intérêt légitime de CIBILTECH. 

Solution Patients 

  • Les traitements des données des patients concernant les finalités suivantes s’appuient sur leur consentement, donné lors de la finalisation de la création du compte :

o Être stockées de manière sécurisée 

o Permettre aux patients de se connecter à la solution et d’y saisir les  informations les concernant  

o Permettre aux patients de partager des données médicales et des résultats d’analyse/d’examen avec leurs médecins  

o Permettre à CIBILTECH de réaliser les activités de maintenance. 

Les patients peuvent à tout moment retirer leur consentement au traitement de  leurs données en envoyant leur demande à privacy@cibiltech.com.  Conformément à la réglementation en vigueur, ce retrait n’implique pas l’effacement  de ces données du dossier médical. Le médecin pourra poursuivre le suivi médical du  patient. 

  • Le traitement des données (non médicales) des patients pour assurer la sécurité de la solution, la sécurité de la navigation, pour prévenir et pour lutter contre la fraude informatique repose sur l’intérêt légitime de CIBILTECH. 
  • Lorsqu’un patient accepte de participer au programme ETAPE, ses données font l’objet d’un traitement permettant d’obtenir des métriques qui sont transmises aux différentes institutions en charge de l’évaluation du programme.  Cette transmission est une obligation légale. Les métriques transmises ne  permettent pas de remonter à l’individu. 
  1. Quelles données sont collectées et traitées ?
  • Solution Professionnels de santé

Certaines données sont obligatoires :

Les données d’identification : identifiant, adresse email, numéro de téléphone  (pour double authentification), identification CPS. 

D’autres sont facultatives : 

Données relatives aux connexions/ actions réalisées dans la solution (logs). 

  • Solution Patients

Certaines données sont obligatoires : 

Données d’identification pour la création du compte : nom, prénom, adresse  email fournie par le médecin lors de la création du compte patient, mot de  passe. 

D’autres sont facultatives : 

o Les données relatives aux variables biologiques : taille, poids,  pression artérielle 

o Les historiques des documents transmis (résultats d’analyses,  examens). 

o Données relatives aux connexions/ actions réalisées dans la solution (logs) 

  1. A qui vos données peuvent-elles être transmises ?

Nos destinataires internes 

Par défaut vos données ne sont pas accessibles par CIBILTECH. Elles peuvent être rendues  accessibles à notre service maintenance uniquement si l’anomalie à résoudre ne peut pas être  traitée sans cet accès. Il s’agit de cas très exceptionnels. 

Une gestion stricte des accès est en place. 

Nos prestataires (ou sous-traitant au sens de l’article 28 du RGPD) 

CIBILTECH fait appel à COREYE pour l’hébergement des données de PREDIGRAFT. Il s’agit  d’un hébergeur certifié Hébergeur de Données de Santé. 

Pour plus d’informations : https://pictime-groupe.com/certification-hds 

COREYE a recours à Amazon Web Services en tant qu’Hébergeur de Données de Santé (dits  “HDS”) bénéficiant aussi de cette certification. 

L’ensemble des Données à caractère personnel de santé sont hébergées en France. CIBILTECH peut faire appel des sous-traitants pour la gestion de la maintenance de la solution.

Un contrat est mis en place avec tous les sous-traitants et des engagements de confidentialité sont  systématiquement signés individuellement par chaque intervenant. 

  1. Vos données sont-elles transmises hors de l’UE ?

Les données sont hébergées par COREYE, via Amazon Web Services, en France. Un contrat lie COREYE à Amazon. Le siège d’Amazon est basé à Seattle aux USA. Un accès par  les autorités américaines ne pouvant pas être écarté, cela constituerait un transfert hors de l’UE. 

  1. Quels sont mes droits sur mes données personnelles et comment les exercer ?

Conformément à la Loi Informatique et Libertés modifiée et la réglementation européenne sur  la protection des données personnelles, vous disposez de droits sur les données vous  concernant. 

Droit d’accès 

Vous avez le droit de demander confirmation à CIBILTECH que vos données font bien l’objet  d’un traitement et obtenir les informations relatives à ce traitement (finalités, destinataires  etc…). 

Vous êtes informé que CIBILTECH n’ayant pas le droit d’accéder aux données de santé des  patients, il est recommandé de contacter directement votre médecin si vous souhaitez accéder  à votre dossier médical. 

Droit de rectification et d’effacement des données 

Vous pouvez demander la rectification de vos données lorsqu’elles sont inexactes ou  incomplètes.  

Vous pouvez demander l’effacement de vos données dans certaines situations, lorsque par  exemple vous vous êtes opposé au traitement ou lorsque les données ne sont plus  nécessaires au regard des finalités pour lesquelles elles ont été collectées. 

Droit à la limitation du traitement 

Ce droit peut s’exercer dans plusieurs situations. Vous pouvez par exemple demander la  limitation du traitement que nous opérons sur vos données pendant la période de vérification  de l’exactitude de vos données par CIBILTECH ou bien préférer la limitation du traitement à  l’effacement de vos données. 

Droit d’opposition au traitement 

Le droit d’opposition peut s’exercer à tout moment au traitement que nous opérons sur vos  données dans les situations suivantes : 

o Lorsque votre situation particulière justifie la fin du traitement 

o Lorsque le traitement de vos données est nécessaire aux fins des intérêts légitimes  poursuivis par CIBILTECH 

Dans ce cas, CIBILTECH ne traitera plus les données personnelles, à moins de démontrer  qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et  les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense  de droits en justice. 

Droit à la portabilité de vos données

Vous avez le droit de demander à CIBILTECH de vous transmettre les données personnelles  qui vous concernent et que vous avez fournies. CIBILTECH vous les fournira dans un format  structuré, couramment utilisé et lisible par machine. 

Droit de définir le sort de vos données après le décès 

Vous avez la possibilité de nous communiquer des directives relatives à la conservation, à  l’effacement et à la communication de vos données personnelles après votre décès. 

Droit d’introduire une réclamation auprès de l’autorité de contrôle (la Commission Nationale Informatique et Libertés) 

Vous avez le droit d’introduire une réclamation auprès de la CNIL si vous considérez que le  traitement de données à caractère personnel qui vous concerne constitue une violation du  Règlement Européen sur la Protection des Données (RÈGLEMENT (UE) 2016/679 DU  PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des  personnes physiques à l’égard du traitement des données à caractère personnel et à la libre  circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la  protection des données). 

Comment exercer vos droits ? 

Pour exercer vos droits, il suffit d’écrire à 

Délégué à la Protection des Données                                                                                                                                                                                                                   CIBILTECH 130 rue de Lourmel                                                                                                                                                                                                                                    75015 Paris, France 

Ou envoyer un email à privacy@cibiltech.com en justifiant de votre identité 

Nous vous adresserons une réponse dans un délai de 1 mois après la réception d’une  demande recevable. 

  1. Combien de temps mes données sont-elles conservées ?

Vos données sont conservées tant que vous utilisez la solution PREDIGRAFT augmentée  des durées de prescriptions légales pouvant découler du Code de la santé publique et des  référentiels publiés par la CNIL. 

  1. Quelles mesures de sécurité sont mises en place pour protéger mes données ?

CIBILTECH met en œuvre toutes les mesures techniques et organisationnelles afin  d’assurer la sécurité des traitements de données à caractère personnel et leur confidentialité. 

CIBILTECH prend toutes les précautions utiles, au regard de la nature des données et  des risques présentés par le traitement, afin de préserver la sécurité des données et,  notamment, d’empêcher qu’elles soient déformées, endommagées, ou que des tiers  non autorisés y aient accès.

Parmi les mesures de sécurité mises en place, CIBILTECH a notamment mis en place  : 

✔ La sensibilisation de tous les collaborateurs à la protection des données  personnelles et à leur sécurité ; 

✔ La protection physique des locaux de CIBILTECH et des locaux où les  données sont hébergées ; 

✔ Des procédés d’authentification conformes à l’état de l’art ; 

✔ Une gestion rigoureuse des accès et des habilitations ; 

✔ La journalisation des connexions ; 

✔ Le chiffrement de certaines données ; 

✔ Le cloisonnement des environnements de développement et de production. 

  1. Comment nous contacter – Coordonnées du DPO ?

Si l’Utilisateur a des questions ou des réclamations concernant le respect par  CIBILTECH de la présente Politique, ou si l’Utilisateur souhaite faire part à CIBILTECH de recommandations ou des commentaires visant à améliorer la qualité de la présente  politique, l’Utilisateur peut contacter CIBILTECH par écrit à l’adresse suivante : 

Délégué à la Protection des Données 

CIBILTECH                                                                                                                                                                                                                                                                           130 rue de Lourmel 75015 Paris, France  

Ou envoyer un email à privacy@cibiltech.com en justifiant de votre identité