Protection des données

Protection des données à caractère personnel au CHU de Rennes

Le CHU de Rennes est soucieux de la protection de vos données personnelles et s’engage à les protéger en conformité avec la loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée et le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (Règlement Général sur la Protection des Données dit « RGPD »).

Le CHU de Rennes a désigné un Délégué à la Protection des Données (DPO) que vous pouvez contacter afin de répondre à toutes vos questions concernant la protection des données personnelles.

Contacts Délégué à la Protection des Données (DPO)
- courriel : dpo@chu-rennes.fr
- adresse : Délégué à la Protection des Données (DPO) du CHU de Rennes, 2 rue Henri Le Guilloux 35033 Rennes Cedex 9.

Vos droits vis-à-vis de vos données à caractère personnel

Conformément à la réglementation en vigueur, vous bénéficiez de droits à l’information, d’accès, de rectification, d’opposition, à la portabilité, d’effacement et de limitation (détails plus bas). Vous pouvez exercer ces droits en contactant le Délégué à la Protection des Données (DPO).

De même, vous pouvez vous opposer à votre participation à un traitement des données vous concernant pour des motifs légitimes, sans que cela modifie en aucune façon la prise en charge médicale dont vous bénéficiez au CHU de Rennes ou votre relation avec ses personnels.

Si vous estimez que vos données ne sont pas traitées conformément à la réglementation relative aux données personnelles, vous pouvez adresser une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL).

  • Droit à l’information : des mesures appropriées sont prises pour fournir toute information conforme au RGPD et procéder à sa communication. Chaque traitement de données est enregistré dans le registre des traitements du CHU de Rennes.
  • Droit d’accès : vous pouvez obtenir des informations concernant le traitement de vos données personnelles ainsi qu’une copie de ces données personnelles.
  • Droit de rectification : si vous estimez que vos données personnelles sont inexactes ou incomplètes, vous pouvez exiger que ces données personnelles soient modifiées en conséquence.
  • Droit d’opposition : vous pouvez vous opposer au traitement de vos données personnelles pour des motifs liés à votre situation particulière. Le responsable de traitement démontre qu’il existe des motifs légitimes et impérieux pour le traitement de données qui prévalent sur vos intérêts et vos droits et libertés.
  • Droit à la portabilité des données : pour les traitements de données fondés sur le consentement ou sur un contrat, vous avez le droit à la restitution des données personnelles que vous nous avez fournies ou, lorsque cela est possible techniquement, de les transférer à un tiers.  
  • Droit à l’effacement ou « droit à l’oubli » : vous pouvez exiger l’effacement de vos données personnelles excepté pour les traitements de données nécessaires aux fins de diagnostics médicaux, de la gestion des services de soins de santé, pour des motifs d’intérêt public dans le domaine de la santé publique.
  • Droit à la limitation du traitement de données : la limitation du traitement de vos données personnelles peut être effectuée dans certains cas.

INS "Bien identifié.e Bien soigné.e "

Le CHU de Rennes s'assure de l'enregistrement de votre identité en conformité avec les procédures d’identitovigilance en vigueur.
 
Vos données de santé sont référencées à l’aide de votre identifiant national de santé (INS) et traitées dans un fichier informatisé géré par le CHU de Rennes. La base légale de ce traitement est l’obligation légale (Articles L. 1111-8-1 et R. 1111-8-1 et suivants du code de la santé publique).
Ce traitement a pour finalité de permettre votre identification certaine, en vue d’assurer votre prise en charge dans les meilleures conditions grâce à un téléservice développée par l'Assurance Maladie. La présentation d'un titre d’identité peut vous être demandée et sa copie peut être conservée par l’établissement dans des conditions de sécurité réglementées.
La durée de conservation de vos données est limitée à l'atteinte de la finalité indiquée. Les destinataires de ces données sont situés en Union européenne et participent à assurer votre prise en charge dans les meilleures conditions.
 
Vous pouvez accéder aux données vous concernant, les rectifier, ou exercer votre droit à la limitation du traitement de vos données, en contactant le Délégué à la Protection des Données (DPO).
Vous ne disposez pas en revanche du droit de vous opposer au référencement de vos données de santé à l’aide de l’INS (Cf. article R. 1111-8-5 du code de la santé publique).
Si vous estimez, après avoir contacté l’établissement, que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL (www.cnil.fr) .
Textes de référence INS: Loi n° 2016-41 du 26 janvier 2016; Décret n° 2019-1036 du 08 octobre 2019; Décret n° 2017-412 du 27 mars 2017; Arrêté du 24 décembre 2019

Solution de dictée de comptes rendus et de dématérialisation des courriers

Le CHU de Rennes met en œuvre :

  • la solution « Dragon Medical One » (Nuance Communications - société Microsoft) de dictée de comptes rendus médicaux par reconnaissance vocale et de restitution de contenu dans des documents textes utilisant l’intelligence artificielle et un hébergement externalisé sur une base légale d’intérêt légitime. Elle permet l’amélioration des profils vocaux (entrainement des données de profils d'enregistrement et enrichissement grâce aux algorithmes développés sur d'autres profils) ; ainsi que la mutualisation des licences dans les établissements du Groupement Hospitalier de Territoire (GHT).
    En aucun cas, la décision humaine d’un professionnel de santé n’est remplacée par un dispositif d’intelligence artificielle. Chacun texte est révisé par le secrétariat médical du professionnel et vérifié, corrigé, validé puis signé par le professionnel de santé qui a dicté le compte rendu à voix haute. En savoir plus sur la solution et la reconnaissance vocale
     
  • la solution LIFEN de dématérialisation des courriers (société Honestica) pour remplir ses obligations d’échange sécurisé d’informations médicales nécessaires à l’information des patients et à leur prise en charge, dans le respect des meilleures conditions de sécurité d’envoi de documents et de vérification des destinataires dans les annuaires professionnels.
    Les données traitées sont des données de santé des patients requises dans le cadre de l’échange, des données relatives à l’identité du patient et également des données d’identité et de coordonnées des destinataires.
    Au CHU de Rennes, ces données sont traitées par les professionnels de santé et secrétariats médicaux de l’équipe de soins d’un patient. Le service informatique assure l’administration et la maintenance de la solution. En dehors du CHU de Rennes, la société Honestica, extrait et expédie ces informations aux destinataires désignés.

Vos droits s’exercent auprès du Délégué à la Protection des Données (DPO) du CHU de Rennes. Pour toute réclamation relative au traitement de vos données de santé, vous pouvez saisir la Commission Nationale Informatique et Liberté (CNIL).

Aide au diagnostic par Intelligence Artificielle des patients s’adressant à un service d’urgence du CHU de Rennes avec suspicion de fracture : DUTI

Le CHU de Rennes propose une organisation « DUTI (Désengorgement des Urgences Traumatologiques par l’Intelligence artificielle) » sur la base légale d’intérêt légitime, à ses patients des Services d’Urgences avec suspicion de fracture qui consentent à participer.
Un outil d’intelligence artificielle aide à la lecture de radiographies de membres permettant de diminuer le risque d’erreurs diagnostiques et le temps d’attente aux urgences. Le dispositif médical de classe IIa BoneView utilisé, est destiné à fournir des données préliminaires pour le diagnostic sur la radiographie standard.
En aucun cas, la décision humaine d’un professionnel de santé n’est remplacée par un dispositif d’intelligence artificielle.

Les données concernent vos images radiologiques et le diagnostic proposé par le dispositif d’intelligence artificielle. Au CHU de Rennes, le service de radiologie effectue l’acquisition de l’image, son interprétation puis sa confrontation avec celle proposée par le dispositif d’intelligence artificiel. Le service informatique assure la maintenance et l’administration. Dans le respect de la réglementation en vigueur, de la confidentialité et de la sécurité, votre identité sera masquée en dehors du CHU de Rennes. Les sociétés Incepto (France) et Gleamer (France) réalisent le traitement et l’analyse de l’image. Gleamer (France) et AWS HDS (Irlande) assurent l’administration logicielle et la maintenance.
Vos données vous concernant sont conservées une durée limitée, pendant 3 jours en dehors du CHU de Rennes et dans votre dossier médical au CHU de Rennes pendant la durée rendue nécessaire par la législation en vigueur.

Votre participation à ce circuit est entièrement volontaire. Vous êtes libres de refuser d’y participer ainsi que de mettre un terme à votre participation à n’importe quel moment, sans encourir aucun préjudice et sans que cela n’entraîne de conséquence sur la qualité des soins qui vous seront prodigués. En cas de refus, vous bénéficierez de la prise en charge habituelle par le service des Urgences.
Vous disposez du droit de demander au responsable du traitement l'accès aux données à caractère personnel vous concernant, la rectification ou l'effacement de celles-ci, ou une limitation du traitement s’appliquant à votre personne, ainsi que du droit de vous opposer au traitement de données, dans le respect de la réglementation en vigueur.
L’exercice de vos droits d’opposition ou d’effacement peuvent entrainer votre exclusion du parcours. L’ensemble de vos droits s’exercent auprès du Délégué à la Protection des Données (DPO) du CHU de Rennes ou auprès du contact médical, le Dr Donval.
Pour toute réclamation relative au traitement de vos données de santé, vous pouvez saisir la Commission Nationale Informatique et Liberté (CNIL).
 

Télécharger la note d'information

Droit d’accès aux informations

Conformément à la loi n°78-17 du 6 janvier 1978 relative à l’informatique et aux libertés modifiées et au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données dit « RGPD », le patient et toute personne concernée peut demander l’exercice de ses droits par courrier auprès du responsable du traitement : Délégué à la Protection des Données (DPO) du CHU de Rennes.

Sécurité et confidentialités des données recueillies

Tous les échanges de données de votre ordinateur avec le serveur du CHU de Rennes sont cryptés selon un protocole SSL.

Vos données de santé sont considérées comme sensibles par la CNIL, et à ce titre il est nécessaire d’être vigilant en tant qu’utilisateurs du service.

Les professionnels de santé en charge de votre suivi via le système d’information hospitalier et selon les droits et habilitations sont couverts par le respect de la confidentialité et du secret médical.

Les personnes en charge de la maintenance et de l’exploitation du site Internet du CHU de Rennes sont engagées au secret professionnel.

Pour en savoir plus à propos de la protection des données à caractère personnel...

Finalité et légitimité des traitements de données

Le traitement de vos données personnelles au CHU de Rennes sera effectué s’il est nécessaire : 

  • au respect d’une obligation légale et réglementaire de traiter et transmettre éventuellement aux agences régionales de l'hospitalisation, ainsi qu'à l'Etat et aux organismes d'assurance maladie, les informations relatives à leurs moyens de fonctionnement et à leur activité. Ces traitements concernent la gestion administrative, la facturation ainsi que les données du PMSI. 
  • à l’exécution d’une mission de service public dont est investi le CHU de Rennes. Ces traitements concernent notamment la gestion des lits, la gestion des rendez-vous, des prescriptions, des laboratoires, l’évaluation de la qualité des soins. Ces traitements peuvent être les dossiers médicaux à des fins d’amélioration du suivi de certaines pathologies, à des fins de recherche scientifique et de publications.
  • à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. Cela concerne les traitements nécessaires à des fins humanitaires pour suivre des épidémies ou dans les cas d’urgence humanitaire.

Certains traitements de données nécessitent votre consentement. Cela concerne principalement des travaux de recherches.

Données collectées

Nous collectons et traitons notamment les données administratives, sociales et médicales. Selon votre prise en charge au CHU de Rennes, différentes catégories de données personnelles sont recueillies.

Durée de conservation de vos données

Vos données sont enregistrées pour la durée strictement indispensable à la finalité du traitement auxquelles elles se rapportent. 

Ensuite, vos données médicales sont conservées pendant la durée prévue par les dispositions légales et réglementaires en vigueur, applicables en matière de conservation des données médicales. 

Destinataires de vos données

Vos données sont traitées par des personnels du CHU de Rennes soumis au secret professionnel et participant à votre prise en charge dans la limite des catégories de données qui sont nécessaires à l’exercice de leur profession.

Elles peuvent être communiquées à des établissements participant à votre parcours de soins, à des prestataires de services et sous-traitants réalisant des prestations pour le CHU de Rennes. Dans ce cas, des clauses de conformité au Règlement Général sur la Protection des Données (RGPD) sont mises en place dans les contrats de traitement des données avec les sous-traitants. Vos données peuvent être transmises aux organismes publics, autorités de santé, professions règlementées (Trésor public, Agences régionales de Santé, organismes d’assurance maladie et complémentaire, commissaires aux comptes…) sur demande et dans la limite de la règlementation en vigueur.  

Dans le cadre de projets de recherche, le CHU de Rennes peut également être amené, après vous avoir informé individuellement et sauf opposition de votre part, à transmettre vos données, préalablement rendues non-nominatives à d’autres professionnels de santé. Les conditions ne permettront pas de vous ré-identifier.

Gestion de l'épidémie de Covid-19

Dans le cadre de la gestion de l’épidémie Covid-19, le CHU de Rennes alimente des systèmes d’information sous responsabilité du Ministère des Solidarité et de la Santé :
 
- SI-VIC, système d'information d'identification unique des victimes, base de données sur les hospitalisations conventionnelles ou en soins critiques (réanimation, soins intensifs et soins continus), utilisée notamment pour les patients hospitalisés ou positifs au test Covid-19,
SI-VIC a été créé par l’article L. 3131-9-1 du code de la santé publique. Il a pour finalité l’aide au pilotage, l’établissement d’une liste unique de victimes en cas d’attentat, et l’information des familles et proches de victimes dans le cadre de situations sanitaires exceptionnelles.
Ce système d’information, activé en situations exceptionnelles, permet aux autorités sanitaires d’effectuer un suivi global et individuel des personnes concernées par l’évènement. Les informations qu’il contient sur les modalités des prises en charge sanitaire peuvent être utilisées si besoin pour informer les familles et les proches, ainsi que pour faciliter l’accompagnement dans d’éventuelles futures démarches. Ces données, de type administratives et strictement non médicales, sont accessibles à l’ensemble des acteurs coordonnant la situation sanitaire exceptionnelle, selon leurs habilitations.
Depuis le 10 décembre 2021, la transmission de données anonymisées de suivi des hospitalisations Covid-19 est effectuée, sauf opposition des personnes concernées, vers le Health Data Hub (ou HDH) pour permettre des travaux de recherche dans le cadre d’appels à projets mis en œuvre par le groupement d’intérêt public HDH. Les personnes concernées disposent de droits d’accès aux informations les concernant, leur rectification, et peuvent exercer leur droit d’opposition à la transmission ou introduire une réclamation relative aux données utilisées dans le cadre des projets de recherche portés par le HDH auprès de dgs-rgpd@sante.gouv.fr

Télécharger la note d'information
 

- SI-DEP, système d’information sur le dépistage populationnel, base de données sur les résultats des tests Covid-19,
SI-DEP est un traitement de données à caractère personnel, placé sous la responsabilité de la direction générale de la Santé (DGS) du ministère des Solidarités et de la Santé, qui s’inscrit dans le cadre de l’exécution des missions d’intérêt public confiées à la direction générale de la Santé. Il bénéficie également d’un encadrement législatif et réglementaire (article 11 de la loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire – décrets d’application pris après avis de la CNIL).
Il a pour finalité de centraliser les données des patients ayant fait l’objet d’un test de dépistage de la Covid-19 en vue de permettre :
La transmission des résultats d’analyse biologique au patient, au médecin traitant et/ou au médecin prescripteur identifiés lors du prélèvement, dans le cadre de la prise en charge du patient ;
La transmission aux organismes en charge de la réalisation d’enquêtes sanitaires destinées à identifier les cas contacts pour limiter la propagation du virus (Santé publique France, agences régionales de santé, organismes d’assurance maladie) et de l’accompagnement des personnes infectées et de leurs cas contacts ;
La mise à disposition de données pseudonymisées utiles à la surveillance épidémiologique (production de statistiques au niveau national ou régional permettant d’analyser l’évolution de l’épidémie et les besoins relatifs à l’organisation des soins) ;
La recherche sur le virus et les moyens de lutter contre sa propagation ;
La création et l’édition de passes sanitaires.
 
Les personnes concernées disposent d’un droit d’accès, de rectification et de limitation à SI-DEP et du droit de s’opposer à la réutilisation des données les concernant à des fins de recherche. En effet, les données pseudonymisées sont transmises à la Plateforme des données de Santé dans le but d’effectuer des études sur le virus SARS-COV-2. Pour exercer l’un de ces droits ou obtenir davantage d’information sur le traitement, les personnes peuvent s’adresser au ministère de la Santé, en justifiant de leur identité, soit par voie électronique à l’adresse suivante sidep-rgpd@sante.gouv.fr, soit par courrier postal : Ministère des Solidarités et de la Santé – Référent en protection des données - Direction générale de la santé - 14, avenue Duquesne 75350 PARIS 07 SP
 
- VAC-SI, système d’information Vaccin Covid, base de données sur les vaccinations Covid-19.
L’organisation, la traçabilité et le suivi de la vaccination contre la Covid-19 nécessitent la mise en œuvre d’un traitement de données nommé « Vaccin Covid » par la Caisse nationale de l’Assurance Maladie et la Direction générale de la santé. Ce traitement, basé sur l’intérêt public (article 5 - 5° de la loi du 6 janvier 1978), est nécessaire à l’organisation, la traçabilité et le suivi de la vaccination.
Il a pour finalités :
•    L’identification des personnes éligibles à la vaccination au regard des recommandations vaccinales ;
•    L’envoi ou l’édition d’invitations à la vaccination ;
•    L’enregistrement des informations relatives à la consultation préalable à la vaccination et aux vaccinations ;
•    La gestion des éventuels rappels sur la vaccination et la mise à disposition ou l’envoi à la personne vaccinée d’un récapitulatif des informations relatives à la vaccination ;
•    Le suivi de l’approvisionnement en vaccins et consommables, afin d’organiser leur mise à disposition dans les lieux de vaccinations ;
•    Le pilotage du dispositif et le suivi des actions ;
•    L’information individualisée des personnes vaccinées en cas d’apparition d’un risque nouveau ;
•    La prise en charge financières de la consultation préalable et des actes de vaccination ;
•    La mise à disposition de données pour permettre leur réutilisation à des fins de présentation de l’offre de vaccination, de surveillance de la couverture vaccinale, de mesure de l’efficacité et la sécurité vaccinale, de pharmacovigilance, de production des indicateurs portant sur la qualité et la cohérence des statistiques produites dans le cadre de la crise sanitaire, d’appui à l’évaluation de la politique publique de vaccination, et de réalisation d’études et de recherches.
Toutes les personnes concernées disposent d’un droit d’accès et de rectification de leurs données ainsi qu’un droit à la limitation du traitement. Ces droits s’exercent sur demande écrite adressée soit au Directeur de l’organisme de rattachement (CPAM) ou de son Délégué à la Protection des Données, soit sur l’espace prévu à cet effet du compte « ameli » de la personne.
 
Les informations liées à vos droits SI-DEP, SI-VIC, VAC-SI sont consultables sur le site du ministère des solidarités et de la santé en cliquant sur le bandeau dédié  Données personnelles et cookies - Ministère des Solidarités et de la Santé (solidarites-sante.gouv.fr)

Incident de sécurité Laboratoire – Cerba, sous-traitant du CHU de Rennes

Nous tenons à vous informer que le Laboratoire Cerba a été victime d’un vol de données à la suite d’une défaillance de l’un de nos prestataires, en charge de l’hébergement de l’une de nos bases de données.
Pour plus d’informations cliquez ici.

Cybertattaque au CHU de Rennes

Retrouvez tous les communiqués de presse ici
Retrouvez l'information à l'attention des patients et des usagers du CHU de Rennes ici 

Transferts de données personnelles en dehors de l’Espace Economique Européen

Le CHU de Rennes limite tous les transferts de données à caractère personnel en dehors d’Europe. Si néanmoins cela était nécessaire, vos données seraient rendues non nominatives, une information individuelle vous serait remise permettant de recueillir votre non opposition et des clauses contractuelles types strictes et approuvées par la Commission européenne seraient mises en place.

 

Réutilisation des données de santé pour la recherche, les études et l'évaluation
Le CHU de Rennes assure la transparence des traitements réalisés sur les données de santé des patients recueillies au cours des soins et les informe individuellement de leur réutilisation, conformément au règlement général sur la protection des données (RGPD) (UE 2016/79) et à la loi Informatique et libertés du 6 janvier 1978 modifiée. Patients de l'établissement, vous disposez d’un droit d‘opposition à la réutilisation de ces données. Une note d’information vous est remise par les services d’accueil administratif ou adressée avec le dossier de préadmission.