La protection des données personnelles est l’une de nos préoccupations majeures.
La politique de confidentialité s’inscrit dans un contexte juridique marqué par le Règlement Européen sur la Protection des Données (Règlement UE 2016/679 du 27 avril 2016), applicable depuis le 25 mai 2018 et la Loi Informatique et Libertés n°7817 du 6 janvier 1978 modifiée relatif à l’informatique, aux fichiers et aux libertés.
Ainsi, la présente politique de protection des données a pour but de vous présenter :
- Le responsable de traitement des données à caractère personnel
- La manière dont sont collectées et traitées vos données.
- Vos droits concernant l’utilisation de vos données personnelles
- Les destinataires à qui vos données sont transmises
- La politique du site en matière de gestion des cookies
- Une Donnée Personnelle (ou Donnée à caractère personnel) est toute information relative à une personne identifiée ou identifiable, c’est à dire permettant de l’identifier directement (ex., le nom et le prénom) ou indirectement (ex., les cookies, le numéro de téléphone).
- Une personne concernée est une personne physique identifiée ou identifiable, directement ou indirectement, par le biais d’une ou plusieurs Données à caractère personnel traitées par l’ARS Grand Est.
- Un traitement de données personnelles est toute opération ou ensemble d'opérations (automatisées ou non) appliquées à des données ou des ensembles de données à caractère personnel, comme : la collecte, l'enregistrement, l'organisation, la conservation, la transmission de données (…). Le Responsable de traitement détermine les finalités (les objectifs du traitement) et les moyens des traitements.
- Le Sous-traitant traite des données à caractère personnel pour le compte du responsable du traitement et sous ses instructions.
Conformément aux dispositions de l’article 5 du Règlement Général sur la Protection des Données (RGPD), la collecte et le traitement de vos données personnelles respectent les principes suivants :
- Licéité, loyauté et transparence : la collecte et le traitement des données personnelles ne peuvent reposer que sur une base légale définie au préalable (exécution d’un contrat, obligation légale, consentement, intérêt légitime, préservation des intérêts vitaux) ;
- Finalités limitées : la collecte et le traitement des données personnelles sont réalisés pour répondre à un ou plusieurs objectifs définis ;
- Minimisation de la collecte et du traitement de données : seules les données strictement nécessaires à la bonne exécution des objectifs poursuivis sont collectées ;
- Conservation des données limitée dans le temps : le responsable de traitement est dans l’obligation de définir des durées de conservation concernant les données personnelles traitées ;
- Intégrité et confidentialité des données collectées et traitées : le responsable de traitement s’engage à garantir l’intégrité et la confidentialité des données collectées.
En tant que responsable de traitement, l’ARS Grand Est s’engage à respecter les obligations issues du Règlement et de la Loi Informatique et Libertés modifiée, concernant la collecte et le traitement des données à caractère personnel. Conformément à l’article 32 du RGPD, nous mettons en œuvre toutes les mesures techniques et organisationnelles pour assurer la protection de vos données personnelles.
Dans le cadre de nos différentes activités de mise en œuvre de la politique régionale de santé ainsi que de la régulation de l’offre sanitaire et médicosociale, l’ARS Grand Est collecte un certain nombre d’informations de données personnelles indispensable à ses missions.
C’est le cas par exemple lorsque vous nous contactez pour être mis en relation avec un de nos services, lorsque nous accompagnons l’ensemble des acteurs de la santé, lorsque vous candidatez à des offres d’emploi ou lorsque vous nous faites une réclamation. La nature et la qualité des données personnelles collectées à votre sujet varient selon les relations que vous entreprenez avec l’ARS Grand Est.
Les principales sont les suivantes :
- Données d’identification : nom, prénom, adresse postale, ainsi que toute information fournie par vous dans le cadre de votre demande de contact et le cas échéant, le contenu du message, ainsi que toute information communiquée ultérieurement lors de vos échanges avec l’ARS Grand Est.
- Données de la vie personnelle : habitudes de vie, situation familiale, nombre d’enfants, nom, prénom, date de naissance, numéro de téléphone ou adresse électronique. A qui parle-t-on ?
- Données de la vie professionnelle : emploi, fonction, lieu de travail, compétences, numéro de téléphone ou adresse électronique.
- Données de connexion : ce sont toutes les informations dont nous avons besoin pour accéder à votre compte personnel, comme le mot de passe, et autres informations nécessaires à l’authentification et à l’accès à un compte, ou encore vos données de navigation, telles que votre adresse IP.
- Données financières : données bancaires, un RIB, des ressources, un salaire, aides sociales.
- Données sensibles : dans le cadre de nos activités liées au développement de la politique régionale de santé, nous pouvons collecter des données sensibles vous concernant, telles que des données de santé (pathologie, traitement, état psychique par exemple), des données judiciaires (mesures de protection, condamnations pénales, jugements, …) ou des données de handicap, lorsqu’elles sont nécessaires au traitement concerné.
- Données hautement personnelles : nous pouvons traiter votre numéro de sécurité sociale lorsqu’il est nécessaire à la réalisation de nos missions (maladies à déclaration obligatoires) ou lorsque vous nous le communiquez volontairement.
L’ARS Grand Est veille à ce que la collecte de vos Données à caractère personnel soit pertinente, adéquate, non excessive et strictement nécessaire à ses activités. Vous êtes informés que certaines informations sont indispensables pour assurer nos missions.
Nous collectons vos données personnelles pour des finalités déterminées et sur différents fondements juridiques.
Activité de promotion de la santé, prévention et de santé environnementale
Dans le cadre de notre activité de promotion de la santé, prévention (maladies, risques liés aux comportements) et la santé environnementale, l’ARS Grand Est utilise notamment les données personnelles comme suit :
Finalités | Données personnelles collectées | Fondement juridique / Durée de conservation |
---|---|---|
|
|
|
Réaliser des contrôles santé environnementaux (insalubrités, qualité de l’eau, sites et sols pollués, urbanisme, air, surveillance entomologique, risques émergents…) |
|
|
Activité de veille et sécurité sanitaires
Dans le cadre de la veille et la sécurité sanitaires (des produits de santé, de la population, dans les établissements collectifs, les soins psychiatriques sans consentement…), l’ARS Grand Est utilise notamment les données personnelles comme suit :
Finalités | Données personnelles collectées | Fondement juridique / Durée de conservation |
---|---|---|
|
|
|
|
|
|
|
| Intérêt légitime Durée enquêtes : 5 ans |
Répertorier les certificats de décès | Données d’identification |
|
Activité d'organisation de l’offre de santé
Dans le cadre de l’organisation de l’offre de santé (pour le secteur ambulatoire, les établissements de santé et les établissements et services médicosociaux, à domicile), l’ARS Grand Est utilise notamment les données personnelles comme suit :
Finalités | Données personnelles collectées | Fondement juridique / Durée de conservation |
---|---|---|
Élaborer et piloter la stratégie régionale de l’offre hospitalière et assurer la coordination de la mise en œuvre des actions afférentes |
|
|
|
|
|
|
|
|
Accompagner les établissements dans la construction de leurs budgets |
|
|
Gérer et suivre les financements des hôpitaux et analyser la performance financière des établissements de santé
|
|
|
|
|
|
Conclure et suivre les contrats de partenariat avec les collectivités territoriales et les partenaires (CLS, CLSM…) |
|
|
Conclure et gérer les contrats de financement sur la mise en œuvre d’une action spécifique (subventions) |
|
|
Gérer les enregistrements des professionnels de santé (attributions des numéros ADELI) |
|
|
|
|
|
Activité d'amélioration de la qualité et de la performance du système de santé
Dans le cadre de l’amélioration de la qualité et de la performance du système de santé (inspections, contrôles, bon usage des soins, démarches d’amélioration de la qualité…), l’ARS Grand Est utilise notamment les données personnelles comme suit :
Finalités | Données personnelles collectées | Fondement juridique / Durée de conservation |
---|---|---|
|
|
|
|
|
|
Contrôler la facturation des établissements (PMSI) |
|
|
|
|
|
Gérer les signalements déontologie, laïcité, lutte contre la fraude et lanceur d’alerte |
|
|
Activité d'amélioration du parcours de prise en charge des usagers
Dans le cadre de l’amélioration du parcours de prise en charge des usagers (personnes âgées, personnes en situation de handicap…), l’ARS Grand Est utilise notamment les données personnelles comme suit :
Finalités | Données personnelles collectées | Fondement juridique / Durée de conservation |
---|---|---|
|
|
|
|
|
|
|
|
|
Gestion et suivi des personnes avec des mesures d’injonctions thérapeutiques | Injonction thérapeutique : 10 ans à partir de la décision de l’injonction |
Activité de mise à disposition d’information utile
Dans le cadre de la mise à disposition de l’information utile au grand public, aux professionnels et établissements de santé, aux collectivités territoriales ainsi qu’aux autres acteurs et partenaires du système de santé, l’ARS Grand Est utilise notamment les données personnelles comme suit :
Finalités | Données personnelles collectées | Fondement juridique / Durée de conservation |
---|---|---|
|
|
|
|
|
|
|
|
|
L’ARS Grand Est s’engage à ne transmettre vos données personnelles qu’aux seules personnes habilitées en interne et aux tiers autorisés, en vertu de dispositions légales, tels que :
- L’administration fiscale ;
- Ministère de la Santé ;
- Préfectures ;
- Les organismes de sécurité sociale ;
- Les administrations de la justice, de la police et de la gendarmerie ;
- Les huissiers de justice.
Nous pouvons également être amenés, lorsque cela est strictement nécessaire à la réalisation de nos services, à partager vos données à nos prestataires auxquels nous faisons appel pour réaliser un ensemble d’opérations et tâches, en notre nom, telles que :
- Hébergement et la sauvegarde des données ;
- La gestion et le suivi de la commande publique ;
- La réalisation d’enquêtes et de statistiques ;
- La gestion du contentieux et du précontentieux ;
- La sécurité physique des locaux ;
- La réalisation de contrôles (cabinets d’expertise…).
- Le recours à ces prestataires est nécessaire à la bonne réalisation de nos services.
Nous nous engageons à vérifier et garantir le respect de leur conformité au regard du RGPD et de la Loi Informatique et Libertés.
Nous pouvons enfin transmettre vos données à des partenaires institutionnels dans cadre de nos missions de suivi des parcours de soins. Cependant, ce partage de données avec nos prestataires et partenaires n’est réalisé qu’après avoir obtenu votre consentement, ou lorsque cela est nécessaire à l’exécution de notre contrat avec vous, ou pour l’exécution de notre mission d’intérêt public.
En outre, ne leur sont communiqués que les informations dont ils ont besoin pour la réalisation du service. Il leur est également demandé de ne pas utiliser les données pour des finalités autres que celles initialement prévues. Nous mettons tout en œuvre pour nous assurer que ces tiers préservent la confidentialité et la sécurité de vos données.
Dans son activité, l'Agence Régionale de Santé n'est pas amenée à vendre vos données.
Nous conservons vos données à caractère personnel uniquement le temps nécessaire à la réalisation de la finalité pour laquelle nous les collectons, afin de répondre à vos besoins ou pour remplir nos obligations légales (cf. paragraphe ci-dessus "Le traitement de vos données personnelles").
Les durées de conservation varient en fonction de plusieurs facteurs, tels que :
- Les besoins des activités de l’ARS Grand Est
- Les exigences contractuelles
- Les obligations légales
- Les recommandations des autorités de contrôle
L’ARS Grand Est s’engage à protéger les données personnelles que nous collectons, ou ce que nous traitons, contre toute perte, destruction, altération, accès ou divulgation non autorisée.
Nous avons mis en place des mesures techniques et organisationnelles pour assurer un niveau de protection des données adéquat par rapport à la nature et la finalité des traitements.
Ainsi, conformément à l’article 32 du RGPD relatif à la sécurité des traitements l’ARS Grand Est a mis en place :
- Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et services de traitement ;
- Des moyens permettant de rétablir la disponibilité des données et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
- Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Sur les données à caractère personnel que nous collectons/traitons, vous pouvez exercer les droits suivants :
- Droit d’accès : Vous pouvez, à tout moment, accéder à vos données personnelles que nous détenons sur vous.
- Droit de rectification : Vous pouvez formuler une demande afin de compléter ou de procéder à une correction ou une clarification de vos informations personnelles.
- Droit de suppression : Vous pouvez également nous demander la suppression de vos données personnelles.
- Droit d’opposition : Vous conservez, à tout moment, le droit de vous opposer à l’utilisation de vos données personnelles dans le cadre des activités menées par notre agence en ce qui concerne les traitements de vos données.
- Droit à la limitation : Vous pouvez revendiquer la limitation du traitement futur de vos données à caractère personnel sous certaines conditions.
- Droit à la portabilité : Dans certaines conditions, vous pouvez recevoir directement toutes les données personnelles vous concernant que vous nous avez fournies ou demander que cellesci soient transmises à un autre responsable de traitement, dans un format structuré.
- Droit de définir le sort de vos données après votre mort et de choisir que nous communiquions (ou non) vos données à un tiers que vous aurez préalablement désigné (Loi pour une République Numérique – en savoir plus).
Vous pouvez exercer l’ensemble de ces droits sur simple demande auprès du Délégué à la Protection des Données (DPO) de l’ARS Grand Est, à l’adresse suivante :
- ars-grandest-dpo@ars.sante.fr
- ou au : 3 Boulevard Joffre – CS 80071 – 54036 NANCY CEDEX.
Lorsque vous nous transmettez une demande d’exercice de droit, il vous est demandé de préciser le périmètre de la demande, le type de droit exercé, le traitement de données personnelles concerné, et tout autre élément utile, afin de faciliter l’examen de votre demande. En outre, en cas de doute raisonnable sur votre identité, un justificatif d’identité pourra vous être demandé.
Si vous estimez, après avoir nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation à la Commission nationale de l’informatique et des libertés (CNIL).
La présente politique sera revue en fonction des évolutions des textes. Il est recommandé de la consulter régulièrement sur ce site internet.
Mise à jour le 05/11/2024.