Politique des données à caractère personnel

Objet

Dans le cadre de ses missions de soins, d’enseignement et de recherche, des données à caractère personnel sont recueillies et traitées par le CHRU de Nancy :

-       des patients,

-       des professionnels de l’établissement,

-       des étudiants intervenant au CHRU de Nancy,

-       des divers partenaires de l’établissement.

Le responsable de ces traitements est le CHRU de Nancy, représenté par son Directeur Général.

La présente politique des données personnelles informe les personnes concernées de la manière dont ces informations sont recueillies et traitées.

Cette politique est actualisée régulièrement pour prendre en compte les évolutions législatives et réglementaires, et tout changement dans l’organisation du CHRU de Nancy.

Domaine d’application

Cette politique s’applique à toutes les personnes concernées par un traitement de données à caractère personnel sous la responsabilité du CHRU de Nancy.

Définitions et abréviations

CNIL : Commission Nationale Informatique et Liberté – autorité de contrôle française chargée de surveiller l’application du RGPD et de la LIL.

CSP : Code de la Santé Publique

DMP : dossier médical partagé

Données à caractère personnel (DCP)

Toute information se rapportant à une personne physique identifiée, directement identifiable ou indirectement identifiable.

Parmi ces données, certaines sont dites « sensibles » (au regard de l’article 9 du RGPD) en raison de leurs impacts potentiels pour les droits et libertés des personnes concernées : raciales, ethniques, politiques, philosophiques, religieuses, syndicales, génétiques, biométriques, sexuelles, de santé.

Les données anonymisées, (transformées de manière irréversible et ne permettant plus l’identification, même par croisement d’information) ne sont pas considérées comme des DCP.

DPI : dossier patient informatisé

DPO : data protection officer – délégué à la protection des données personnelles.

Contact : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

DPO recherche : correspondant local du DPO de l’établissement, dédié à la recherche.

Contact : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

LIL : Loi Informatique et Libertés

Personne concernée (PC) : personne physique à laquelle se rapportent les données à caractère personnel d’un traitement.

Responsable de traitement (RT) : La personne, le service, l’organisme, etc. qui détermine les finalités (objectifs), les moyens de traitement, ainsi que les données personnelles nécessaires au traitement.

RGPD : Règlement Général sur la Protection des Données.

RSSI : responsable de la sécurité des systèmes d’information.

SIH : système d’information hospitalier.

Traitement de données

Toute opération portant sur des données personnelles, quel que soit le support : collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication, transmission, diffusion, mise à disposition, rapprochement, interconnexion, limitation, effacement, destruction, etc.

Violations de données

Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Responsabilités

Le responsable de traitement doit veiller à ce que les droits des personnes concernées soient respectés, il doit également s’assurer que les traitements respectent les exigences légales et règlementaires.

Le DPO a pour mission de conseiller le responsable de traitement dans la mise en œuvre de ces droits, d’intervenir sur sollicitation et d’assurer les déclarations auprès de la CNIL lorsque nécessaire. Il est le point de contact privilégié des différents acteurs : personne concernée, responsable de traitement, autorité de contrôle.

Principes généraux applicables à la protection des données personnelles

Les principes généraux applicables à la protection des données personnelles que le CHRU veille à respecter sont les suivants :

• Le principe de limitation des finalités

Les données sont collectées pour des finalités :

-          Déterminées préalablement, ce qui exclut toute collecte de données au hasard ou à des fins préventives,

-          Explicites, c’est-à-dire communiquées à la personne concernée,

-          Légitimes par rapport à l’activité de l’organisme mettant en œuvre le traitement.

• Le principe de minimisation des données

Les données doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elle sont traitées.

Également appelé principe de proportionnalité, il vise à garantir que l’ensemble des données collectées est strictement nécessaire par rapport à l’objectif poursuivi et à exclure toute collecte réalisée au cas où ces données pourraient éventuellement s’avérer utiles a posteriori.

• Le principe de licéité

Les données doivent être traitées de manière licite.

Pour être licite un traitement de données doit reposer sur un fondement, c’est-à-dire à l’une de ces conditions énoncées dans le RGPD :

-          Exécution de mesures contractuelles,

-          Respect d’une obligation légale s’imposant au responsable de traitement,

-          Sauvegarde de la vie de la personne concernée ou d’une autre personne,

-          Exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement,

-          À des fins d’intérêts légitimes poursuivis par le responsable de traitement ou par un tiers

Si aucune des conditions listées n’est remplie, le consentement éclairé de la personne concernée est obligatoire.

• Le principe de loyauté et de transparence

Ce principe renvoie à l’obligation du responsable de traitement d’informer la personne concernée du traitement de ses données personnelles, en des termes « clairs et simples ».

Le responsable de traitement doit fournir à la personne concernée, au moment où les données sont obtenues, toutes les informations suivantes :

-          L’identité du responsable du traitement et ses coordonnées,

-          Les coordonnées du DPO,

-          Les finalités du traitement et son fondement juridique (lorsque le traitement repose sur l’intérêt légitime du responsable de traitement cet intérêt doit être précisé),

-          Les destinataires des données, le cas échéant l’existence d’un transfert et les garanties mises en place pour permettre ce transfert,

-          La durée de conservation des données,

-          Les droits des personnes concernées,

-          Le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse,

-          L’existence d’une prise de décision automatisée, si concerné.

• Le principe de conservation limitée

Les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

• Le principe d’exactitude des données

Les données doivent être exactes, tenues à jour, et si nécessaire, les données obsolètes doivent être supprimées.

• Le principe d’intégrité et de confidentialité

Les données doivent être traitées de façon à garantir une sécurité appropriée contre :

-          les traitements illicites,

-          l’altération de données,

-          la perte de données,

-          la destruction de données.

Cadre de traitement des données

Les données à caractère personnel des patients, des professionnels, des étudiants et des partenaires du CHRU de Nancy, sont recueillies et utilisées dans le respect des lois et réglementations en vigueur, et notamment du Code de la santé publique, du Règlement Général sur la Protection des Données (RGPD), de la loi Informatique et Libertés du 6 janvier 1978 modifiée, ainsi que des référentiels édictés par la Commission nationale de l’informatique et des libertés (CNIL).

Ces traitements sont principalement nécessaires pour répondre :

-       aux obligations réglementaires et missions d’intérêt public dont est investi le CHRU de Nancy, dont la garantie de normes élevées de qualité et de sécurité des soins, ou encore la recherche et l’innovation en santé,

-       aux intérêts légitimes poursuivis par l’établissement, comme l’optimisation du fonctionnement de l’établissement, l’amélioration de la prise en charge du patient, etc.

Données des patients

Les données des patients sont principalement traitées afin de :

• assurer et faciliter la prise en charge médicale et hôtelière,
• répondre aux obligations réglementaires et missions d’intérêt public, dont la garantie de normes élevées de qualité et de sécurité des soins, la recherche en santé, etc.,
• assurer la gestion des systèmes et services de soins de santé,

• traiter les demandes, questions et réclamations patient.

Afin de répondre à certaines des finalités listées ci-dessus, certaines données des patients sont traitées dans l’entrepôt de données de santé du CHRU de Nancy DataStan.

Données des professionnels du CHRU de Nancy

Les données des professionnels font l’objet de traitements dans le cadre du fonctionnement de l’établissement.

Ces traitements sont liés notamment aux ressources humaines, au système d’information, à la sécurité sanitaire, aux recherches et au fonctionnement de l’entrepôt de données de santé, etc.

Données des étudiants

Il existe deux types d’étudiants dont les données sont traitées au CHRU de Nancy :

-          étudiants, stagiaires CHRU de Nancy : scolarisés dans les écoles du CHRU de Nancy,

-          étudiants, stagiaires extérieurs au CHRU de Nancy : tous les stagiaires des autres écoles.

Les données de ces étudiants font l’objet de traitements dans le cadre :

-          de leur prise en charge et gestion de leur formation : ressources humaines (dont rémunération), gestion de la scolarité et des diplômes, etc.

-          du fonctionnement de l’établissement : système d’information, sécurité sanitaire, recherches et fonctionnement de l’entrepôt de données de santé, etc.

Données des partenaires du CHRU de Nancy

Les données des partenaires traitées par le CHRU de Nancy sont celles nécessaires à la bonne exécution des contrats ou des prestations, liant les parties, ainsi que les données nécessaires au fonctionnement et à la sécurité du SIH du CHRU de Nancy.

Sources des données

Données des patients

Les données peuvent être recueillies directement auprès du patient lors de l’admission, lors de la prise en charge du patient (les données administratives, médicales, etc.).

Elles peuvent également être obtenues via d’autres sources, comme par exemple par d’autres professionnels extérieurs dans le cadre de la coordination ou de la continuité des soins, de la prévention ou du suivi médico-social.

Les données peuvent également être transmises au CHRU par des sous-traitants, par exemple, pour la prise de rendez-vous en ligne.

Données des professionnels du CHRU de Nancy

Les données peuvent être transmises directement par les agents : lors de l’embauche, lors de la mise à jour des données des ressources humaines, etc.

Les données peuvent également être recueillies via d’autres sources, notamment par le biais d’administrations, telles que les impôts.

Données des étudiants

Les données peuvent être recueillies directement auprès des étudiants lors de l’entretien, formulaire d’inscription, ou autres supports.

Des données peuvent également être transmises au CHRU par les écoles et centres de formation, via différents supports (conventions, etc.).

Données des partenaires du CHRU de Nancy

Les données sont principalement transmises par les partenaires du CHRU de Nancy lors des signatures de contrats, des demandes d’accès, etc.

Ces données peuvent être collectées soit directement via la personne concernée, soit via son employeur.

Typologies des données concernées

Données à caractère personnel

• Patients :

-       Données relatives à l’identité (nom, prénom, date de naissance, etc.),

-       Données relatives à la vie personnelle (habitudes de vite, etc.),

-       Données relatives à la vie professionnelle (emploi, etc.),

-       Données relatives aux informations économiques (régime, mutuelle, etc.),

-       Données relatives à la localisation et aux connexions (logs, etc.),

-       Enregistrements d’images et de voix (photo, etc.).

• Professionnels du CHRU de Nancy :

-          Données relatives à l’identité (nom, prénom, date de naissance, etc.),

-          Données relatives à la vie professionnelle (emploi, grade, etc.),

-          Données relatives aux informations économiques (salaire, RIB, etc.),

-          Données relatives à la localisation et aux connexions (logs, etc.),

-          Enregistrements d’images et de voix (photo, etc.).

• Etudiants :

-          Données relatives à l’identité (nom, prénom, date de naissance, etc.),

-          Données relatives à la vie professionnelle (statut, service, etc.),

-          Données relatives aux informations économiques (salaire, RIB, etc.),

-          Données relatives à la localisation et aux connexions (logs, etc.),

-          Enregistrements d’images et de voix (photo, etc.).

• Partenaires du CHRU de Nancy :

-          Données relatives à l’identité (nom, prénom, date de naissance, etc.),

-          Données relatives à la vie professionnelle (emploi, grade, etc.),

-          Données relatives à la localisation et aux connexions (logs, etc.),

-          Enregistrements d’images et de voix (photo, etc.).

Données sensibles

• Patients :

-          Données relatives à l’origine raciale ou ethnique,

-          Données relatives aux convictions religieuses ou philosophiques,

-          Données relatives à la génétique,

-          Données relatives à la vie sexuelle ou à l’orientation sexuelle,

-          Données judiciaires,

-          Numéro d’identification national (NIR),

-          Données de santé.

• Professionnels du CHRU de Nancy :

-          Données relatives à l’appartenance syndicale,

-          Données judiciaires,

-          Numéro d’identification national (NIR),

-          Données de santé.

• Étudiants :

Aucune donnée sensible d’étudiants n’est traitée par le CHRU de Nancy.

• Partenaires du CHRU de Nancy :

Aucune donnée sensible de partenaires n’est traitée par le CHRU de Nancy.

Destinataires des données

Dans la limite de leurs attributions respectives et pour les finalités rappelées ci-dessus, les principaux collaborateurs du CHRU de Nancy susceptibles d’avoir accès aux données personnelles sont les membres des équipes de soins, les collaborateurs des services administratifs, logistiques et informatiques. Ils sont soumis à une obligation de confidentialité et au secret professionnel.

Dans le cadre de la coordination ou de la continuité des soins, de la prévention ou du suivi médico-social, certaines de ces données peuvent être partagées avec les professionnels de santé, membres de l’équipe de soins (par exemple, dans le cadre d’une structure de coopération, d’exercice partagé ou de coordination sanitaire ou médico-sociale).

Sont également susceptibles d’avoir accès à certaines de ces données :

• Les sous-traitants du CHRU de Nancy, qui interviennent notamment :
  • sur la gestion des services hôteliers et des transports,
  • sur la maintenance des logiciels et parfois l’hébergement des données,
  • l’analyse et/ou le contrôle de l’activité,
  • la gestion des archives.

• Des promoteurs de recherche externes : (par exemple un autre centre hospitalier ou un laboratoire pharmaceutique) dans le cadre de la participation à un essai clinique, ou d’une autre recherche en santé.

Dans ce cas, les partenaires extérieurs n’auront accès qu’à des données préalablement pseudonymisées.

• Les autorités de police, autorités judiciaires ou administratives : lorsque le CHRU de Nancy a l’obligation légale de le faire ou afin de garantir les droits, les biens et la sécurité de l’établissement, de ses patients ou agents, ou dans le cadre du fonctionnement habituel de l’établissement.

• Les plateformes de réseaux sociaux : l’utilisation des boutons et liens permettant d’interagir entre le site internet du CHRU de Nancy et les pages de ce dernier sur les réseaux sociaux (Facebook, Twitter, LinkedIn, YouTube), est susceptible d’entraîner des échanges de données vers ces réseaux sociaux. Les personnes concernées sont alors invitées à consulter les politiques de gestion des données personnelles de ces différents réseaux sociaux.

Hébergement des données

Les données personnelles traitées par l’établissement sont hébergées sur les serveurs du CHRU de Nancy. Ces derniers sont sécurisés, redondés, et physiquement installés dans les locaux du CHRU de Nancy.

Le CHRU de Nancy est certifié ISO 27001 et Hébergeur de Données de Santé (HDS) en ce qui concerne le Dossier Patient Informatisé. Ces certifications permettent de démontrer la mise en place d’un système de management de la sécurité et de l’information ainsi que d’assurer un niveau de protection des données suffisant.

L’entrepôt de données de santé (DataStan), hébergé sur les serveurs du CHRU rassemble des données issues de son système d’information hospitalier, en vue de leur réutilisation dans le cadre de recherches scientifiques, de veilles sanitaires, d’enseignement ou encore d’appui aux professionnels de santé.

Pour certains traitements identifiés, il est possible que des données traitées par le CHRU de Nancy, soient hébergées à l’extérieur de l’établissement, par des partenaires identifiés présentant les garanties nécessaires.

Transferts des données

Transfert des données des patients

Transmission des données dans le cadre du système national de santé (SNDS)

Afin d’élaborer ou réviser le projet régional de santé, d’évaluer la qualité des soins, et d’assurer la veille et les vigilances sanitaires, ou également dans le cadre de la détermination des ressources ou du contrôle de l’activité du CHRU de Nancy, certaines informations doivent être transmises à des organismes publics, autorités de santé, professions réglementées, conformément à la législation.

Une partie de ces données, transmises par le Département d’Information Médicale du CHRU de Nancy à l’Agence technique de l’information sur l’hospitalisation, alimente le Système National des Données de Santé (SNDS), dont l’objectif est de contribuer :

• à l’information sur la santé, l’offre de soins, la prise en charge médico-sociale et leur qualité ;
• à la définition, à la mise en œuvre et à l’évaluation des politiques de santé et de protection sociale ;
• à la connaissance des dépenses de santé, d’assurance maladie et médico-sociales ;
• à l’information des professionnels, des hôpitaux ou médico-sociaux sur leur activité ;
• à la surveillance, à la veille et à la sécurité sanitaire ;
• à la recherche, aux études, à l’évaluation et à l’innovation dans les domaines de la santé et de la prise en charge médico-sociale.

La loi interdit l’utilisation des données contenues dans ce fichier à des fins de promotion des produits de santé et à des fins d’exclusion de garanties des contrats d’assurance ou la modification des cotisations et des primes d’assurance, et les accès sont strictement réglementés.

Le SNDS ne contient aucune donnée directement identifiante concernant les bénéficiaires (pas de noms/prénoms ou numéro de sécurité sociale, ni d’adresse postale). Pour en savoir plus (lien CNIL https://www.cnil.fr/fr/snds-systeme-national-des-donnees-de-sante).

Transmission des données dans le cadre de l’alimentation du Dossier Médical Partagé (DMP)

L’alimentation du DMP est une obligation légale prévue à l’article L. 1111-15 du Code de la santé publique, et l’arrêté du 26 avril 2022 fixe la liste des documents soumis à cette obligation. Le patient doit être informé, par les professionnels de santé, de l’alimentation de son DMP.

Cette obligation concerne trois types de documents : le compte-rendu des examens de biologie médicale, le compte-rendu des examens radio-diagnostiques et la prescription de produits de santé. La liste des documents versés dans le DMP est définie et validée par la Commission Médicale d’Établissement (CME).

Le patient peut s’opposer à l’alimentation de son DMP en cas de motif légitime. Cette possibilité est prévue par l’article R. 1111-4 du Code de la santé publique. Dans ce cas il peut prendre contact avec le DPO du CHRU de Nancy.

Transmission des données lors de la prise en charge médico-administrative du patient

Lors de la prise en charge médico-administrative du patient, des transferts de données se produisent entre le CHRU et des administrations et autres organismes. Ces organismes sont le Trésor public, les archives départementales, la Caisse Nationale de l’Assurance Maladie (CNAM), la plateforme de la sécurité sociale, la complémentaire santé ou encore vers d’autres établissements hospitaliers.

Transfert des données des agents

Les données des agents peuvent être transférées à divers organismes tels que les impôts, l’URSSAF, les centres de gestion des retraites, etc.

Conservation des données

Les données à caractère personnel sont conservées pendant une durée limitée qui n’excède pas la durée nécessaire aux finalités des traitements. Elles varient selon la nature des données, la finalité des traitements, ou les exigences légales et réglementaires.

Ces durées de conservation peuvent être soit :

-          Fixées par les réglementations et lois qui encadrent le traitement de données (Code de la santé publique, Code de la commande publique, Code du patrimoine, Loi Jardé, règlement européen relatif aux essais cliniques de médicaments à usage humain, Code de la sécurité sociale, Code civil, etc.)

-          Définies par les contraintes du traitement (contrats, limites techniques, etc.)

Il existe au CHRU de Nancy une politique de conservation des données consultable sur GEDoc (POL-00050).

Mesures mises en place pour assurer la sécurité des données

En tant que responsable du traitement, l’établissement met en œuvre des mesures techniques et organisationnelles adaptées à la nature des données traitées et des activités, conformément aux dispositions légales applicables, ceci dans le but de protéger les données personnelles contre l’altération, la perte accidentelle ou illicite, l’utilisation, la divulgation ou l’accès non autorisé, et notamment :

• la sensibilisation aux exigences de confidentialité et aux bonnes pratiques ;
• la sécurisation de l’accès au SIH, aux locaux et aux plateformes informatiques ;
• la mise en œuvre d’une politique générale de sécurité du système d’information;
• la sécurisation du partage, de la transmission et de la conservation des données ;
• la gestion des relations avec les sous-traitants.

Les mesures de sécurité applicables au CHRU sont notamment définies dans La politique de sécurité du système d’information en vigueur dans l’établissement (POL-00038).

Droits des personnes concernées

Toute personne faisant l’objet d’un traitement de données à caractère personnel géré par l’établissement, peut exercer ses droits octroyés par le RGPD et la LIL.

Seule la personne concernée (ou son représentant légal) est habilitée à demander pour elle-même (ou pour la personne qu’elle représente) l’exercice de ses droits.

La personne a la possibilité d’organiser le sort de ses données personnelles après sa mort à travers des directives à un tiers de confiance.

La vérification de l’identité

Lorsque la personne concernée exerce l’un de ses droits, elle peut justifier de son identité par tout moyen.

Lorsque le RT a des doutes raisonnables quant à l’identité de cette personne, il peut demander des informations supplémentaires nécessaires, y compris lorsque la situation l’exige une photocopie d’un titre d’identité portant signature du titulaire. Une telle demande ne saurait être systématique mais dépend des circonstances et de la sensibilité des données concernées.

La conservation du titre d’identité ne pourra excédée la durée nécessaire à la vérification de l’identité de la personne concernée. Ainsi, il ne pourra en aucun cas être stocké comme élément de preuve et devra être obligatoirement détruit, une fois l’identité de la personne confirmée.

Les différents droits applicables

Droit à l’information - articles 12 à 14 du RGPD / article 48 de la LIL

Le CHRU de Nancy prend des mesures appropriées pour fournir toute l’information nécessaire qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Il en est de même concernant l’information des personnes concernées en cas de violation de données à caractère personnel (cf. PROC-01453).

Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique.

Droit d’accès - article 15 du RGPD / articles 49/52 de la LIL

La personne concernée a le droit d’interroger le CHRU de Nancy pour savoir s’il traite des données la concernant et d’obtenir une copie de ces informations.

Cette communication doit être accompagnée d’une liste de mention d’information et doit être faite dans des termes clairs, simples, ainsi les codes sous lesquels l’information peut être stockée devront être traduits si concernés.

Droit de rectification - article 16 du RGPD / articles 50/52 de la LIL

Les personnes concernées peuvent demander au CHRU de Nancy de rectifier ou compléter leurs données à caractère personnel si elles sont incorrectes ou incomplètes.

En cas de rectification de données, le responsable de traitement doit notifier l’information à chaque destinataire des données, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés.

Droit à l’effacement - article 17 du RGPD / articles 51/52 de la LIL

Les personnes concernées peuvent demander au CHRU de Nancy d’effacer leurs Données à caractère personnel dans les cas suivants :

-          lorsqu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées,

-          lorsque les personnes concernées ont exercé leur droit d’opposition,

-          leurs Données à caractère personnel ont fait l’objet d’un traitement illicite,

-          pour respecter une obligation légale.

Le CHRU de Nancy n’est pas tenu de donner suite à la demande d'effacement des Données à caractère personnel, notamment si leur traitement est nécessaire au respect d’une obligation légale ou à la constatation, l’exercice ou la défense de droits en justice.

En cas d’effacement de données, le responsable de traitement doit notifier l’information à chaque destinataire des données, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés.

Droit à la limitation du traitement - article 18 du RGPD / article 53 de la LIL

Les personnes concernées peuvent demander au CHRU de Nancy de limiter le traitement de leurs Données à caractère personnel (c’est-à-dire de les conserver sans les utiliser) lorsque :

-          leur exactitude est contestée,

-          leur traitement est illicite mais que l’utilisateur ne veut pas qu’elles soient supprimées,

-          elles sont encore nécessaires pour la constatation, l’exercice ou la défense de droits en justice,

-          le CHRU de Nancy vérifie l’existence de motifs impérieux dans le cadre de l'exercice du droit d'opposition

Le CHRU de Nancy peut continuer d’utiliser les Données à caractère personnel à la suite d’une demande de restriction :

-          avec le consentement de l’utilisateur,

-          pour la constatation, l’exercice ou la défense de droits en justice,

-          ou pour protéger les droits de toute autre personne physique ou morale.

Droit à la portabilité - article 20 du RGPD / article 55 de la LIL

Ce droit, qui ne porte que sur les traitements automatisés reposant sur le consentement de la personne concernée ou nécessaires à l’exécution d’un contrat ou de mesures précontractuelles, permet à la personne concernée de récupérer les données qu’elle a fournie au CHRU de Nancy.

La personne concernée peut solliciter un transfert direct de ces données d’un responsable de traitement à un autre lorsque cela est techniquement possible. Le format de restitution de ces données doit être structuré, couramment utilisé et lisible par machine.

Droit d’opposition - article 21 du RGPD / article 56 de la LIL

La personne concernée peut s’opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement de ses données par l’établissement, si :

-          le traitement de données repose sur l’exécution d’une mission d’intérêt public dont est investi le CHRU de Nancy,

-          ce traitement est nécessaire aux fins des intérêts légitimes de l’établissement,

-          si le traitement nécessite le consentement de la personne concernée.

Nota : Opposition à la réutilisation des données à des fins de recherches en santé

Les personnes souhaitant s’opposer à la réutilisation de leurs données personnelles et/ou échantillons biologiques traités par l’établissement, à des fins de recherche en santé :

-       Complètent un formulaire d’opposition disponible sur le site internet du CHRU de Nancy https://www.chru-nancy.fr ou sur demande,

-       Retournent le formulaire complété par mail ou par voie postale au DPO de l’établissement.

Cette opposition est alors enregistrée par le DPO dans un registre dédié et également dans le dossier médical informatisé de la personne concernée.

Modalités d’exercice de droits

Pour l’exercice de leurs droits, les personnes concernées sont invitées à contacter le délégué à la protection des données personnelles (DPO), tel que désigné sur les mentions d’information,

• Soit par mail à l’adresse : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
• Soit par voie postale à l’adresse :

Délégué à la protection des données personnelles - DPO

Hôpital Marin – CHRU de Nancy

92 avenue de Lattre de Tassigny

54035 NANCY Cedex

Le CHRU de Nancy veille à répondre à une personne exerçant ses droits dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prorogé de 2 mois compte tenu de la complexité et du nombre de demandes, mais dans ce cas, l’établissement informera le requérant de cette prorogation et des motifs de ce report.

La personne concernée a le droit à tout moment de saisir l’autorité de contrôle, la CNIL, si elle estime que ses droits ne sont pas respectés ou si elle est insatisfaite de la réponse apportée par l’établissement.

1. 1.1.1 Frais de traitement et refus de répondre à la demande

Aucun paiement n'est exigé pour fournir à la personne concernée les informations obligatoires (articles 13 et 14 du RGPD), ni pour procéder à toute communication nécessaire, ni pour prendre toute mesure nécessaire à répondre à une demande d’exercice de droit (articles 15 à 22 + article 34 du RGPD).

Cependant, lorsque les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, l’établissement peut :

-       exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées (en cohérence avec les tarifs appliqués dans le cadre d’une demande d’accès au dossier médical),

-       refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

1. 1.1.2 Registre des demandes

Toutes les demandes d’exercice de droit des personnes concernées sont enregistrées dans le registre des demande d’exercice de droits.

Ce dernier est tenu à jour tout au long de l’avancée du traitement de la demande, et renvoie vers les preuves associées.

Particularité liée au dossier médical

Le droit d’accès au dossier médical est un droit spécifique qui répond à diverses exigences légales, notamment les articles L.1111-7 et R.1111-1 du code de la santé publique.

Au niveau de l’établissement, ces demandes sont entièrement gérées par le service dédié de la CAMAP, conformément à la procédure Accès dossier, dont le détail est disponible sur le site Internet du CHRU de Nancy.

Ces données de santé à caractère personnel peuvent être communiquées selon le choix de la personne concernée, à elle directement, ou par l’intermédiaire d’un médecin désigné par la personne concernée à cet effet.

Cas des patients mineurs

Le Code de la santé publique comme la loi Informatique et Libertés modifiée donnent des droits particuliers aux mineurs à partir de 15 ans.

-          la personne concernée de 15 ans ou plus peut s’opposer à ce que ses parents soient consultés et informés de ses soins, et des éventuels traitements de données à des fins de recherche qui y sont liés,

-          la personne concernée de 15 ans ou plus peut consentir seule au traitement de ses données fondé sur le consentement dans le cadre des services de la société d’information (réseaux sociaux, plateformes, newsletters, etc.).

En dessous de 15 ans, le consentement conjoint du mineur et du titulaire de l’autorité parentale est demandé.

Cas particulier des séjours anonymes

Par défaut, pour tous les séjours anonymes (venue confidentielle, anonymats réglementés, etc…) l’opposition à la réutilisation des données pour la recherche est considérée comme implicite et donc systématique.

Information des personnes décédées

Les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l'objet d'un traitement à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé, sauf si l'intéressé a, de son vivant, exprimé son refus par écrit.

Accès au portail de transparence

La liste de toutes les études portant sur la réutilisation de données et/ou d’échantillons biologiques est accessible sur le site du CHRU de Nancy
https://chru-ncy-recherche.dpo-assist.fr/