Espace privé

Politique de protection des données

Préambule

Le GCS e-santé Bretagne (ci-après le « GCS ») s’est engagé à ce que la collecte et le traitement des données personnelles soient conformes au règlement général sur la protection des données 2016/679 (RGPD) et à la Loi Informatique et libertés du 6 janvier 1978, telle qu’amendée.

Dans le cadre de ses activités, le GCS, en tant que responsable du traitement, est amené à collecter et à traiter des données personnelles relatives notamment à ses utilisateurs, via leurs sites internet www.esante-bretagne.fr et www.esante-bretagne.fr/segur/.

Soucieux de construire avec ces derniers des relations de confiance durables, le GCS a mis en place les moyens techniques et organisationnels nécessaires afin de protéger les données personnelles qu’il traite.

La présente politique a ainsi pour objet de présenter les engagements pris par le GCS en matière de protection des données personnelles.

L’objectif principal de cette politique est de concentrer dans un document unique des informations claires, simples et précises concernant les traitements de données opérées par le GCS, pour permettre aux personnes concernées de comprendre quelles données personnelles sont collectées, leur utilisation et les droits sur ces données.

Définition

  • « Cnil » : commission nationale de l’informatique et des libertés ;
  • « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «Personne concernée»); est réputée être une «Personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
  •  « DPO » : délégué à la protection des données tel que prévu par l’article 37 du règlement 2016/679 du 27 avril 2016 ;
  • « Fichier » : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;
  • « Flux transfrontières » : transmission par tout moyen de données à caractère personnel à un destinataire localisé dans un pays situé hors de l’Union européenne ;
  • « Personne concernée » : personne à laquelle se rapportent les données qui font l’objet d’un traitement ;
  • « Responsable du traitement » : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un Etat membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un Etat membre ;
  • « Sécurité des données » : la notion de sécurité des données à caractère personnel comprend des impératifs d’intégrité et de confidentialité des données à caractère personnel. En effet, tout responsable d’un traitement de données à caractère personnel doit prendre toutes les précautions utiles qui, au regard de la nature des données et des risques présentés par un traitement, s’imposent pour préserver l’intégrité et la confidentialité des données et ainsi empêcher que ces dernières ne soient déformées, endommagées ou que des tiers non autorisés en prennent connaissance et y aient accès ;
  • « Système d’informations » : le système d’informations et de communication, les ordinateurs (fixes ou portables), les périphériques, les assistants personnels, les réseaux informatiques, les photocopieurs, les téléphones, les logiciels, les bases de données, les systèmes de messagerie, intranet, extranet, les services interactifs et les sessions des postes de travail ;
  • « Traitement » : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;
  • « Utilisateur » : les personnes salariées ou non, tous statuts juridiques confondus, permanents ou temporaires, autorisées à utiliser les systèmes d’information du GCS ;
  • « Violation de données à caractère personnel » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ;
  • « Zones de commentaires libres » : zones de saisie libre des applications informatiques des systèmes d’information, par exemple les zones « Observations ».

Data Protection Officer

Le GCS a désigné un délégué à la protection des données (« DPO ») qui exerce ses missions pour le GCS.

Le DPO a notamment pour mission de veiller au respect de la règlementation en matière de protection des données personnelles.

Il est l’interlocuteur de la Cnil et des personnes concernées par une collecte ou un traitement de données à caractère personnel.

Vous pouvez contacter directement le DPO du GCS aux coordonnées suivantes : dpo@esante-bretagne.fr ou par téléphone au : 02 96 33 59 07.

Traitements

Le GCS traite notamment vos données pour les finalités suivantes :

  • Promouvoir, informer et communiquer sur les activités, projets et services du GCS
  • Promouvoir, informer et communiquer sur les activités en lien avec le programme Ségur
  • Mise en ligne de différents formulaires (contact, adhésion, demande d’activation d’un service, inscription à la newsletter et de participation à des webinaires, ateliers) ;
  • Gérer les contacts par e-mail ;
  • Réaliser des statistiques ;
  • Gérer les demandes d’activation d’un service du GCS.

Les bases juridiques sur lesquelles sont susceptibles de se fonder les traitements vous concernant sont :

  • l’intérêt légitime du GCS ;
  • votre consentement au traitement de vos données.

Traitement de vos données personnelles pour des finalités compatibles

Vos données personnelles ne seront utilisées que pour les finalités pour lesquelles le GCS les a collectées, sauf s’il est raisonnablement estimé qu’elles doivent être utilisées pour une autre raison et que cette raison est compatible avec la finalité initiale.

En cas d’utilisation de vos données personnelles à des fins ultérieures non liées à la finalité initiale, le GCS vous en informera en précisant la base juridique alors applicable.

Le recueil de votre consentement pour le traitement de vos données personnelles

Certaines des finalités des traitements mis en œuvre dans le cadre du site internet du GCS requièrent votre consentement.

Vous avez le droit de retirer votre consentement pour ce traitement spécifique à tout moment en vous adressant directement au DPO du GCS. Dès réception d’une telle notification, le GCS ne traitera plus vos données personnelles pour les finalités initialement consenties, à moins qu’une autre base juridique ne le justifie. Pour information, le retrait d’un tel consentement n’affectera pas la licéité du traitement fondé sur ce consentement avant son retrait.

Catégories de données collectées par le GCS e-santé Bretagne

Afin de procéder aux traitements décrits plus haut, le GCS traite plusieurs types de données personnelles vous concernant.

Ainsi, le GCS est susceptible de traiter, notamment mais non exclusivement, les données suivantes :

Par ailleurs, les utilisateurs du site peuvent se voir associer, par les appareils, applications, outils et protocoles qu’ils utilisent, des identifiants en ligne tels que des adresses IP, des témoins de connexion (« cookies ») ou d’autres identifiants de connexion. Dans le cadre de l’utilisation des cookies, le GCS est susceptible de traiter des données à caractère personnel vous concernant, telles que des adresses IP, en tant que responsable du traitement.

Les finalités de ces cookies sont détaillées au sein de la politique cookie du GCS e-santé Bretagne disponible à l’adresse suivante : www.esante-bretagne.fr/#cookies

Personnes concernées

Les personnes concernées par les traitements sont :

  • les utilisateurs du site internet du GCS e-santé Bretagne.

Durée de conservation

Nous faisons en sorte que les données ne soient conservées sous une forme permettant l’identification des personnes concernées que pendant une durée nécessaire au regard des finalités pour lesquelles elles sont traitées.

Les données collectées seront conservées pour la durée nécessaire à l’accomplissement des finalités décrites plus haut, augmentée du délai de la prescription légale de 5 ans dès la fin du traitement.

Pour toute question, vous pouvez contacter directement le DPO du GCS aux coordonnées suivantes : dpo@esante-bretagne.fr ou par téléphone au : 02 96 33 59 07.

Les destinataires des données

Le GCS veille à ce que seul le personnel habilité de la société et le cas échéant ses sous-traitants (prestataires ou fournisseurs) aient accès aux données collectées.

Dans le cadre des finalités décrites ci-dessus et dans les limites nécessaires à la poursuite de ces finalités, les données collectées par le GCS pourront être transmises à tout ou partie des destinataires suivants :

  • les salariés habilités du GCS.

Vos droits

Descriptif de vos droits

Nous sommes particulièrement soucieux du respect des droits qui vous sont accordés dans le cadre des traitements de données à caractère personnel que nous mettons en œuvre, pour vous garantir des traitements équitables et transparents compte tenu des circonstances particulières et du contexte dans lesquels vos données personnelles sont traitées.

Vous disposez des droits suivants pour la protection de vos données à caractères personnel : droit d’information, d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité, de retirer votre consentement, d’introduire un recours et de définir des directives post-mortem. Leurs conditions d’exercice sont détaillées ci-après.

Droit d’accès

Vous avez le droit d’obtenir la confirmation que vos données personnelles sont ou ne sont pas traitées et lorsqu’elles le sont, vous disposez du droit d’obtenir une copie de vos données ainsi que les informations suivantes :

  • les finalités du traitement ;
  • les catégories de données à caractère personnel concernées ;
  • les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
  • lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
  • l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • lorsque les données ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
  • l’existence d’une prise de décision automatisée, y compris un profilage, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente ;
  • lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées en ce qui concerne ce transfert.

Le GCS fournit gratuitement une copie des données à caractère personnel faisant l’objet d’un traitement. Pour toute copie supplémentaire demandée, veuillez noter que le GCS peut facturer des frais raisonnables en fonction des frais administratifs.

Droit de rectification de vos données

Vous avez le droit de nous demander que vos données à caractère personnel soient, selon les cas, rectifiées et/ou complétées si elles sont inexactes, incomplètes, équivoques ou périmées.

Droit à l’effacement de vos données

Sauf dans les cas où le traitement est basé sur une obligation légale ou un intérêt public, vous avez le droit d’obtenir du GCS l’effacement, dans les meilleurs délais, de données à caractère personnel vous concernant lorsque l’un des motifs suivants s’applique :

  • les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
  • le retrait de votre consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement ;
  • l’opposition au traitement et il n’existe pas de motif légitime impérieux pour le traitement ;
  • les données à caractère personnel ont fait l’objet d’un traitement illicite ;
  • les données à caractère personnel doivent être effacées pour respecter une obligation légale à laquelle le GCS est soumis ;
  • les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information à des mineurs.

Droit à la limitation des traitements de vos données

Vous avez le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :

  • vous contestez l’exactitude des données à caractère personnel (dans un tel cas, la limitation pourra être mise en place pendant une durée permettant au GCS de vérifier l’exactitude des données à caractère personnel) ;
  • le traitement est illicite et vous vous opposez à leur effacement et exigez à la place la limitation de leur utilisation ;
  • le GCS n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
  • vous vous opposez au traitement, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le GCS prévalent sur ceux de la personne concernée.
  • si vous exercez votre droit à la limitation, le GCS ne pourra plus traiter vos données à caractère personnel, sauf :
  • si vous avez donné votre accord ;
  • pour la constatation, l’exercice ou la défense de droits en justice ;
  • pour la protection des droits d’une autre personne physique ou morale ;
  • pour des motifs importants d’intérêt public de l’Union ou d’un État membre.

Droit d’opposition aux traitements de vos données

Vous disposez du droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement de vos données à caractère personnel dont la base juridique est l’intérêt légitime poursuivi par le responsable du traitement ou l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

En cas d’exercice d’un tel droit d’opposition, nous veillons à ne plus traiter vos données à caractère personnel dans le cadre du traitement concerné sauf si nous pouvons démontrer que nous pouvons avoir des motifs légitimes et impérieux pour maintenir ce traitement. Ces motifs devront être supérieurs à vos intérêts et à vos droits et libertés, ou le traitement devra se justifier par la constatation, l’exercice ou la défense de droits en justice.

Droit à la portabilité de vos données

Vous avez le droit de recevoir ou de transmettre ces données à caractère personnel que vous avez fourni au GCS, dans un format structuré, couramment utilisé et lisible par machine, à un autre responsable du traitement. Nous attirons votre attention sur le fait qu’il ne s’agit pas d’un droit général. En effet, toutes les données de tous les traitements ne sont pas portables et ce droit ne concerne que les traitements automatisés à l’exclusion des traitements manuels ou papiers.

Ce droit est en outre limité aux traitements dont la base juridique est votre consentement ou un contrat.

Votre droit d’introduire un recours

Vous avez le droit d’introduire une réclamation auprès de la Cnil (3 place de Fontenoy 75007 Paris) sur le territoire français et ce sans préjudice de tout autre recours administratif ou juridictionnel.

Votre droit de définir des directives post-mortem

Vous avez la possibilité de définir des directives particulières relatives à la conservation, à l’effacement et à la communication de vos données à caractère personnel après votre décès auprès de nos services selon les modalités ci-après définies.

Les directives particulières ne concerneront que les traitements que nous mettons en œuvre et seront limitées à ce seul périmètre.

Les modalités d’exercice de vos droits

Tous les droits énumérés ci-avant peuvent être exercés à l’adresse électronique suivante : dpo@esante-bretagne.fr ou par téléphone au : 02 96 33 59 07.

La sécurité des données personnelles

Le GCS prend en compte la nature des données personnelles et les risques que présentent les traitements, pour mettre en place les mesures techniques, physiques et organisationnelles appropriées visant à préserver la sécurité et la confidentialité des données personnelles et à empêcher qu’elles ne soient déformées, endommagées ou que des tiers non autorisés y aient accès.

Ces mesures assurent un niveau de sécurité approprié des données personnelles et tiennent compte de l’état des connaissances, des coûts de mise en œuvre par rapport aux risques et de la nature des données à protéger.

Le GCS garantit par ailleurs que les membres de son personnel et toute autre personne amenée à traiter les données personnelles vous concernant respectent les règles et procédures internes applicables en la matière et notamment les mesures de sécurité techniques et organisationnelles mises en place pour protéger vos données personnelles.

En cas de violation de données personnelles, le GCS vous informera ainsi que l’autorité de protection des données personnelles compétente si les conditions requises par la réglementation relative à la protection des données personnelles sont réunies.

En cas de questions, vous pouvez vous référer à la politique de sécurité du GCS.

Le GCS choisit des sous-traitants ou des prestataires qui présentent des garanties en termes de qualité, de sécurité, de fiabilité et de ressources pour assurer la mise en œuvre de mesures techniques et organisationnelles y compris en matière de sécurité des traitements. Les sous-traitants et les prestataires s’engagent à respecter des niveaux de confidentialité au moins identiques à ceux du GCS.

Sous-traitant

Les données à caractère personnel confiées à nos sous-traitants sont traitées en accord avec les clauses contractuelles types de la commission européenne insérées dans les contrats de sous-traitance et conforme à l’article 28 du RGPD.

Les contrats entre le GCS et ses sous-traitants de données personnelles sont mis en œuvre selon la politique de sous-traitance définis par la société en accord avec son DPO.

Le GCS dispose d’un droit d’audit de la conformité de ses sous-traitants mis en œuvre selon la procédure d’audit des sous-traitants de la société.

Flux transfrontières

Les différentes catégories de données collectées et traitées dans le présent site peuvent être transmises à des sociétés prestataires situées dans des pays hors de l’Union européenne tels que les Etats-Unis.

Ces transferts de données sont encadrés par une convention de flux transfrontières établie conformément aux clauses contractuelles types de responsable du traitement à sous-traitant émises par la Commission européenne et actuellement en vigueur.

En cas de question, vous pouvez vous référer à la liste des flux transfrontière du GCS.

Evolution

La présente charte pourra évoluer en fonction du contexte légal et réglementaire et de la doctrine de la Cnil.

Les éventuelles modifications seront portées à la connaissance des utilisateurs et entreront en vigueur un mois à compter de leur mise à disposition par voie d’affichage.