1. INTRODUCTION

Les informations personnelles relatives à la santé bénéficient de conditions particulières de protection.

Le respect de la vie privée est un droit fondamental.

Dans le cadre de la mise à disposition de l’Application DESTIVA®, les Etablissement de santé, les Professionnels de santé, et l’Editeur s’engagent à respecter la réglementation française et européenne sur la protection des données à caractère personnel, en particulier le Règlement (UE) général sur la protection des données du 27 avril 2016 (“RGPD”) et la Loi Informatique et Libertés du 6 janvier 1978 modifiée (“LIL”).

Les règles mises en œuvre sont conformes aux standards et normes les plus avancées en matière de sécurité et de confidentialité des Données à caractère personnel (“Données personnelles”) des professionnels de santé, ainsi que des patients, dans le strict respect du secret médical.

Les Données personnelles sont stockées en France chez un hébergeur spécialisé certifié « HDS » (« Hébergeur de Données de Santé ») conformément à la loi et aux normes établies par l’ANS (« Agence du Numérique en Santé »), en concertation avec la CNIL (« Commission nationale de l’informatique et des libertés »), l’autorité française de protection des données.

Cet hébergeur est également certifié par les principales normes internationales, dont ISO/IEC 27001 et s’agissant des Données personnelles actives la certification SecNumCloud.

2. DÉFINITIONS

« Programme DESTIVA® » ou « Programme » : Ce terme désigne l’ensemble du dispositif organisationnel et technique sous la gouvernance d’un consortium réunissant la société Novartis Pharma SAS et le CHU de Nantes et qui vise à prévenir la récidive des accidents cardio-neurovasculaire chez des patients victimes d’un premier accident et pris en charge dans un établissement de soins participant au Programme.

« Application DESTIVA® » : Ce terme désigne l’ensemble des Applications informatiques mises à disposition des patients et des professionnels de santé participant au Programme sous la forme d’Application web et mobiles à télécharger sur des terminaux mobiles.

« Services » : Ce terme désigne l’ensemble des fonctionnalités proposées par l’Application DESTIVA® et notamment la possibilité de créer son compte donnant accès à l’Application, de saisir les données de santé utiles au suivi des facteurs de risques permettant de prévenir les récidives et de moyens de communication entre les professionnels de santé et le patient.

« Données personnelles » : données à caractère personnel qui identifient directement ou indirectement une personne concernée.

3. OBJECTIF DE LA POLITIQUE DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL

La Politique de protection des Données à caractère personnel vise à informer les Utilisateurs patient ou professionnel de santé sur la façon dont leurs Données personnelles sont utilisées et protégées dans le cadre du Programme DESTIVA®.

4. RÔLE DU RESPONSABLE DE TRAITEMENT ET DU SOUS-TRAITANT

Conformément au RGPD, il existe deux principaux rôles :

• Le responsable du traitement des Données personnelles est la personne qui détermine les raisons et la façon dont vos Données personnelles sont traitées ;
• Le sous-traitant est la personne traitant des Données personnelles pour le compte du responsable du traitement des Données personnelles. Il agit sous l’autorité du responsable du traitement des Données personnelles et sur instructions de celui-ci.

5. IDENTIFICATION DU RESPONSABLE DE TRAITEMENT

Le responsable de traitement de vos Données personnelles est :

• Pour les patients, l’établissement de soins ou le professionnel de santé libéral qui vous a pris en charge et vous a proposé de rejoindre ce programme
• Pour les professionnels de santé non libéraux, l’établissement dans lequel vous travaillez en tant que salarié.

6. FINALITÉS DE TRAITEMENT DE DONNÉES PERSONNELLES

Les finalités et les bases légales des traitements de Données personnelles mis en œuvre sont relatifs :

La mise à disposition de l’Application DESTIVA® est assurée par le laboratoire Novartis Pharma SAS (ci-après « Novartis »), en sa qualité d’Editeur et de sous-traitant, dans le cadre d’une collaboration avec le Centre Hospitalier Universitaire de Nantes. Novartis ne dispose d’aucun accès à vos Données personnelles.

La société IMPACT HEALTHCARE, également sous-traitante, réalise les développements techniques de la solution et son hébergement en France sur des infrastructures certifiées « Hébergement de Données de Santé (HDS) » et conforme au référentiel de sécurité « SecNumCloud ».

7. MODALITÉS DE RECUEIL DES DONNÉES PERSONNELLES

Les Données personnelles traitées par l’Application DESTIVA® proviennent de différentes sources :

1. Données personnelles directement recueillies auprès des patients :

   Sur proposition de votre équipe soignante ou de votre professionnel de santé libéral, vous avez été invité à créer un compte personnel sur l’Application DESTIVA®. Vous avez renseigné vos Données personnelles lors de la création de votre compte utilisateur te de l’utilisation de l’Application afin de renseigner les données de santé nécessaires à votre suivi médical.

2. Données personnelles recueillies auprès des professionnels de santé :

   Le compte permettant l’accès à l’Application DESTIVA® par les professionnels de santé est initié par l’établissement de soins dans lequel le professionnel de santé exerce par le biais d’un compte administrateur ce qui permet d’attester de sa qualité ou s’il est libéral par l’utilisation d’un moyen d’identification et d’authentification attestant directement de sa qualité professionnelle (Carte de Professionnel de Sante – CPS et ProSanté Connect).

   Les professionnels de santé saisissent des données de santé relatives aux patients dont ils assurent les soins.

3. Données personnelles collectées auprès de tiers :

   Les patients peuvent désigner un « aidant » de confiance qui peut accéder en lecture et en écriture aux Données personnelles de la personne aidée après que celle-ci lui ai adressé un code spécifique. Le patient peut décider de saisir dans son Application l’identité d’une personne qui recevra un code lui permettant de créer un compte aidant associé à celui du patient aidé, chaque personne se connectant avec ses propres identifiant et mot de passe.

4. Données collectées automatiquement :

   L’Application DESTIVA® peut être amené à recueillir automatiquement des Données personnelles lors de l’utilisation des Services et navigation sur l’Application. Ces Données personnelles sont exploitées nominativement par les seuls professionnels de santé en charge de votre santé afin de suivre votre usage de l’Application ou de façon strictement anonymes pour des analyses statistiques relatives à l’usage de l’Application et destinées aux utilisateurs professionnels de santé et au responsable de traitement. Sont ainsi produits des indicateurs sur le nombre de patients actifs, le nombre de perdus de vue et la distribution du nombre des utilisateurs par diagnostic et par service hospitalier.

8. CATÉGORIES DE DONNÉES COLLECTÉES

Données relatives aux patients ayant accepté de rejoindre le Programme

• Identité (état civil, téléphone, courriel, numéro de sécurité social)
• Equipe de soins (coordonnées des soignants issues du Répertoire Permanent des Professionnels de Santé : RPPS)
• Données de santé strictement nécessaires au suivi des facteurs de risques cardio-neurovasculaires pertinents pour chaque patient (pression artérielle, taux de cholestérol, consommation de tabac, poids, fonction rénale, activité physique en minutes par jour, traitement médicamenteux en cours).
• Données de connexion à l’Application (identifiants, mots de passe, date de connexion).
• Données relatives aux professionnels de santé
• Identité, lieux d’exercice et qualité professionnelle conformes au RPPS

10. À L’EXPIRATION DES DURÉES DE CONSERVATION, VOS DONNÉES PERSONNELLES SONT ARCHIVÉES, SUPPRIMÉES DE FAÇON DÉFINITIVE OU ANONYMISÉES.

Vos Données personnelles ne sont utilisées que pour les finalités décrites au 3. Vos données sont couvertes par le secret médical et ne peuvent être cédées à un tiers.

Outre le suivi médical des patients, des données pseudonymisées, c’est-à-dire ne contenant aucune Donnée personnelle susceptible de permettre directement votre identification telles que vos noms, prénoms, adresse de messagerie, numéro de téléphone, adresse postale, etc., peuvent être utilisées dans une finalité d’évaluation de l’efficacité de l’Application et permettre notamment de comparer la qualité de votre suivi médical avec celui de patients n’utilisant pas l’Application. Ces évaluations se font dans un cadre juridique strict de recherches, études et évaluations dans le domaine de la santé. Les projets sont détaillés sur le site du projet et disponibles auprès du responsable de traitement de Données personnelles.

Dans le cas où Novartis Pharma SAS serait le promoteur de telles recherches, études et évaluations dans le domaine de la santé impliquant une réutilisation des données pseudonymisées, Novartis Pharma SAS a mis en place un site internet dynamique (« portail de transparence ») que vous pourrez consulter régulièrement à l’adresse suivante : https://www.novartis.com/fr-fr/registre-des-recherches. Cette page détaillera l’ensemble des mentions obligatoires relatives à la protection des données personnelles, notamment pour chaque projet concerné, l’identité du responsable de traitement et les finalités poursuivies justifiant la réutilisation des données.

Vos Données personnelles peuvent être traitées par les employés de la société IMPACT HEALTHCARE et ses sous-traitants dans la limite de leurs attributions respectives et ce exclusivement afin de réaliser les finalités de la présente Politique de protection des Données à caractère personnel.

Enfin, afin de satisfaire ses obligations légales, le responsable de traitement de Données personnelles peut transmettre des Données personnelles à des autorités publiques ou judiciaires.

11. DROITS SUR VOS DONNÉES PERSONNELLES

1. Vos droits :

   Conformément au RGPD et à la loi n° 78-17 du 6 janvier 1978, vous disposez des droits suivants sur ces Données personnelles dans les conditions et selon les limites autorisées par la législation :

   • Droit d’accès (article 15 RGPD) : vous pouvez à tout moment accéder aux Données personnelles vous concernant et détenues au sein de l’Application DESTIVA®.
   • Droit de rectification (article 16 RGPD), et droit d’effacement (article 17 du RGPD) : vous pouvez demander la modification ou la suppression de vos Données personnelles.
   • Droit à la limitation du traitement (article 18 RGPD) : vous disposez du droit de limiter les traitements effectués sur vos Données personnelles uniquement lorsque l’une des situations suivantes se présente : (i) lorsque vous contestez l’exactitude de vos données, (ii) lorsque vous pensez que le traitement de vos Données personnelles est illicite, ou (iii) lorsque vous avez besoin de cette limitation pour la constatation, l’exercice ou la défense de vos droits en justice.
   • Droit d’opposition (article 21 RGPD) : vous pouvez vous opposer à tout moment au traitement de vos Données personnelles.

   Si vous pensez que vos droits ne sont pas respectés, vous avez le droit d’introduire une réclamation auprès d’une autorité de contrôle, et notamment de la CNIL (https://www.cnil.fr/fr/plaintes).

   Pour plus d’information sur vos droits, vous pouvez consulter le site de la CNIL ici.

2. Comment exercer vos droits :

   Pour toutes les demandes concernant vos Données personnelles, vous devez contacter l’établissement de soins / le professionnel de santé libéral vous ayant proposé d’utiliser l’Application DESTIVA® et notamment le Délégué à la Protection des Données.

12. MODALITÉS DE PROTECTION DE VOS DONNÉES

Les responsables de traitement de Données personnelles et leurs sous-traitants mettent en œuvre les mesures techniques et organisationnelles appropriées liées à la sécurité conformément aux dispositions prévues par la Loi Informatique et Libertés et le RGPD, et visant à garantir un niveau de sécurité approprié face aux risques présentés par le traitement de vos Données personnelles.

Chaque professionnel de santé libéral / établissement de soins qui reçoit des Données personnelles en lien avec son usage des Services garantit leur sécurité et confidentialité

13. CONDITIONS D’APPLICATION DE LA POLITIQUE

Les acteurs du Programme DESTIVA® sont susceptibles de modifier, compléter ou mettre à jour la présente Politique afin de prendre en compte toute évolution légale, réglementaire, jurisprudentielle et/ou technique.

En cas de modifications significatives (relatives aux finalités de traitement de Données personnelles, aux Données personnelles collectées, à l’exercice des droits, des termes de la présente Politique, le responsable de traitement de Données personnelles s’engage à vous en informer par tout moyen écrit dans un délai minimum de quinze (15) jours avant leur date de prise d’effet.

Vous êtes informé que l’unique version de la Politique qui fait foi est celle qui se trouve en ligne, ce que vous reconnaissez.

Vous êtes tenus de vous référer à la version en ligne de la Politique à la date de votre accès et de chaque utilisation des Services.

14. POUR CONTACTER L’ÉDITEUR

Pour toutes questions ou réclamations concernant le respect de la présente Politique, ou pour toutes recommandations ou tous commentaires visant à améliorer la qualité de la présente Politique, vous pouvez contacter les acteurs du Programme DESTIVA® par écrit à l’adresse suivante : contact@destiva.fr.

15. ANNEXE 1 : LISTE DES SOUS-TRAITANTS

Dans le cadre de la fourniture de ses Services, le responsable de traitement de Données personnelles, qui est l’établissement de soins ou le professionnel de santé libéral, fait appel à des prestataires qui agissent comme sous-traitants au sens du RGPD. Ces derniers peuvent avoir accès aux Données personnelles collectées dans le cadre et pour les besoins des opérations de traitement mentionnées ci-dessous. Ces sous-traitants mettent en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données traitées.

Conformément au RGPD et dans un souci de transparence, ci-dessous la liste de ses sous-traitants susceptibles d’accéder à des Données personnelles dans le cadre de leurs missions  :

Mise à disposition / Hébergement / Développements techniques et administration des Services :