Capio et les données à caractère personnel

Dernière mise à jour – mai 2018

Contexte

Pour délivrer ses prestations médicales et gérer son activité de médecine privée, Capio met en œuvre des traitements de données à caractère personnel.

 

Ces données se rapportent aux patients (identité, coordonnées, données médicales, données administratives), à leur famille et à leurs proches, mais aussi aux praticiens en contrat d’exercice libéral et aux employés, intérimaires, stagiaires, prestataires, étudiants intervenant au sein des cliniques du groupe Capio.

 

Cette page d’information, régulièrement mise à jour, vous apporte une information que nous souhaitons simple et lisible sur la nature de ces traitements de données. Elle vous fournit les éléments pour comprendre l’usage fait de vos données, et le cas échéant pour exercer vos droits prévus par les réglementations en vigueur.

 

Réglementations en vigueur

La protection de vos données est gouvernée par trois textes principaux, à savoir la loi Informatique et Liberté française (dite loi CNIL – 1978 et révisions successives), le RGPD ou règlement européen sur la protection des données, et les divers codes dont le code de la santé et le code du travail.

 

Le RGPD – règlement européen général sur la protection des données – est en vigueur depuis le 25 mai 2018. Il s’applique à toutes les entreprises traitant des données à caractère personnel d’un citoyen de l’union européenne. Il confère aux personnes concernées des droits accrus d’accès, de rectification, d’opposition ou de portabilité selon le type de traitement de données. Il demande aux entreprises de mettre en œuvre un inventaire systématique des traitements de données et un suivi des risques associés, puis de déployer des moyens de protection et de suivi dans la durée. Il exige également de prévoir des dispositifs de réaction en cas d’atteinte aux données.

 

La loi française Informatique et Liberté (1978, révisée en 2001 et 2018) impose des obligations particulières aux entreprises françaises pour certains traitements de données sensibles. Elle désigne la CNIL – commission nationale informatique et liberté – comme autorité de contrôle et de sanction de la RGPD pour la France.

 

Le code de la santé publique et le code du travail fixent un ensemble d’obligations que doivent respecter les entreprises pour la bonne protection des données à caractère personnel des patients ou des employés : constitution et protection des dossiers médicaux, durées de conservation obligatoires, gestion des données du personnel, droits d’accès, etc.

 

Responsabilités

Les traitements de données – dans leur finalité et leurs moyens – sont définis et décidés par un ou plusieurs « responsables de traitement ». Dans la majorité des traitements de données, les cliniques Capio et les praticiens sont en charge de cette définition. Le directeur d’établissement est le représentant légal de la clinique.

 

Divers prestataires de services peuvent contribuer à la réalisation des traitements de données à caractère personnel en réalisant tout ou partie des actions de manipulation de données : collecte, stockage, archivage, effacement, accès… Au sens du RGPD, ils portent aussi de nombreuses obligations de protection.

 

Les contrats que Capio passe avec ses fournisseurs ou partenaires fixent le cas échéant les obligations des parties en matière de RGPD et de protection de données personnelles.

 

Recensement des traitements de données

Conformément aux exigences du RGPD, Capio a élaboré et maintient un inventaire des traitements de données personnelles recensant pour chacun, les responsabilités, les finalités, la base légale, les catégories de données personnelles et personnes concernées, les destinataires, l’hébergement dans l’UE, la durée de conservation, les mesures de sécurité.

 

Les informations concernant plus spécifiquement les employés de Capio France se trouvent dans la notice d’information sur les données personnelles des employés Capio, disponible en particulier sur les sites intranet des cliniques de Capio France.

 

Délégué à la protection des données – le DPO/DPD

Lorsque des entreprises traitent de grands volumes de données à caractère personnel ou des données sensibles (médicales p.ex.), le RGPD demande aux entreprises la désignation d’une personne portant un rôle de délégué à la protection des données.

 

Conformément à ces exigences, Capio a désigné un Délégué à la Protection des Données –  désigné par les sigles DPO ou DPD –  pour chacune de ses cliniques. Ses coordonnées électroniques directes sont disponibles à l’accueil des cliniques. Vous pouvez contacter ce délégué librement par courrier postal au :

 

Capio – Services du délégué RPGD

Immeuble Cristal Parc

113 boulevard de la bataille de Stalingrad,

69100 Villeurbanne

 

Il est l’interlocuteur de la CNIL pour toute investigation ou traitement d’incident relatif aux données des personnes. Il fournit par ailleurs expertise, méthodologie et suivi au directeur d’établissement et forme les personnels et intervenants dans la clinique. Enfin, il coordonne pour votre compte le traitement de vos requêtes si la réponse de la clinique en première intention est incomplète ou insuffisante.

 

Droits d’accès au dossier médical

(cf. articles L 1111-7 et R 1111-2 à R 1111-9 du code de la santé publique).

 

Un dossier médical est constitué au sein de la clinique. Il comprend des données informatisées ainsi que des données au format papier. Il comporte toutes les informations de santé vous concernant. Vous avez un droit d’accès à ces informations, exception faite des notes personnelles du professionnel de santé et des informations communiquées par un tiers.

 

Vous pouvez accéder à votre dossier médical. Une demande écrite doit être faite auprès de la Direction avec photocopie de votre carte d’identité recto-verso. La communication du dossier a lieu au plus tard 8 jours à compter de la date de réception de la demande et au plus tôt après l’observation d’un délai légal de quarante-huit heures. Pour une hospitalisation datant de plus de cinq ans, un délai de deux mois sera nécessaire. La consultation des données sur place est gratuite. Si vous souhaitez en obtenir la photocopie, les frais de reproduction et le cas échéant d’envoi sont à votre charge.

 

Votre dossier médical est conservé pendant vingt ans à compter de la date de votre dernier séjour.

 

Le Directeur de la clinique veille à ce que toutes dispositions, soient prises pour assurer la garde et la confidentialité des informations ainsi conservées ou hébergées.

 

Vos données sont transmises au médecin responsable de l’information médicale de l’établissement et sont protégées par le secret médical.

 

Les données anonymes et agrégées nous permettent également d’évaluer nos pratiques professionnelles, d’élaborer des indicateurs qualité (qualité du dossier anesthésie, …) que nous transmettons aux autorités de santé.

 

Hébergement : vos données de santé à caractère personnel recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins sont soit conservées au sein de la Clinique dans des installations informatiques sécurisées, soit déposées auprès d’un hébergeur informatique agréé en application des dispositions de l’article L 1111-8 du code de la santé publique.

Plus d’information

 

Dernière mise à jour – mai 2018