
Le CHU de Rennes est soucieux de la protection de vos données personnelles et s’engage à les protéger en conformité avec la loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée et le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (Règlement Général sur la Protection des Données dit « RGPD »).
Le CHU de Rennes a désigné un Délégué à la Protection des Données (DPO) que vous pouvez contacter afin de répondre à toutes vos questions concernant la protection des données personnelles.
Contacts Délégué à la Protection des Données (DPO)
- courriel : dpo@chu-rennes.fr
- adresse : Délégué à la Protection des Données (DPO) du CHU de Rennes, 2 rue Henri Le Guilloux 35033 Rennes Cedex 9.
Conformément à la réglementation en vigueur, vous bénéficiez de droits à l’information, d’accès, de rectification, d’opposition, à la portabilité, d’effacement et de limitation (détails plus bas). Vous pouvez exercer ces droits en contactant le Délégué à la Protection des Données (DPO).
De même, vous pouvez vous opposer à votre participation à un traitement des données vous concernant pour des motifs légitimes, sans que cela modifie en aucune façon la prise en charge médicale dont vous bénéficiez au CHU de Rennes ou votre relation avec ses personnels.
Si vous estimez que vos données ne sont pas traitées conformément à la réglementation relative aux données personnelles, vous pouvez adresser une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL).
Le CHU de Rennes s'assure de l'enregistrement de votre identité en conformité avec les procédures d’identitovigilance en vigueur.
Vos données de santé sont référencées à l’aide de votre identifiant national de santé (INS) et traitées dans un fichier informatisé géré par le CHU de Rennes. La base légale de ce traitement est l’obligation légale (Articles L. 1111-8-1 et R. 1111-8-1 et suivants du code de la santé publique).
Ce traitement a pour finalité de permettre votre identification certaine, en vue d’assurer votre prise en charge dans les meilleures conditions grâce à un téléservice développée par l'Assurance Maladie. La présentation d'un titre d’identité peut vous être demandée et sa copie peut être conservée par l’établissement dans des conditions de sécurité réglementées.
La durée de conservation de vos données est limitée à l'atteinte de la finalité indiquée. Les destinataires de ces données sont situés en Union européenne et participent à assurer votre prise en charge dans les meilleures conditions.
Vous pouvez accéder aux données vous concernant, les rectifier, ou exercer votre droit à la limitation du traitement de vos données, en contactant le Délégué à la Protection des Données (DPO).
Vous ne disposez pas en revanche du droit de vous opposer au référencement de vos données de santé à l’aide de l’INS (Cf. article R. 1111-8-5 du code de la santé publique).
Si vous estimez, après avoir contacté l’établissement, que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL (www.cnil.fr) .
Textes de référence INS: Loi n° 2016-41 du 26 janvier 2016; Décret n° 2019-1036 du 08 octobre 2019; Décret n° 2017-412 du 27 mars 2017; Arrêté du 24 décembre 2019
Le CHU de Rennes met en œuvre :
Vos droits s’exercent auprès du Délégué à la Protection des Données (DPO) du CHU de Rennes. Pour toute réclamation relative au traitement de vos données de santé, vous pouvez saisir la Commission Nationale Informatique et Liberté (CNIL).
Le CHU de Rennes propose une organisation « DUTI (Désengorgement des Urgences Traumatologiques par l’Intelligence artificielle) » sur la base légale d’intérêt légitime, à ses patients des Services d’Urgences avec suspicion de fracture qui consentent à participer.
Un outil d’intelligence artificielle aide à la lecture de radiographies de membres permettant de diminuer le risque d’erreurs diagnostiques et le temps d’attente aux urgences. Le dispositif médical de classe IIa BoneView utilisé, est destiné à fournir des données préliminaires pour le diagnostic sur la radiographie standard.
En aucun cas, la décision humaine d’un professionnel de santé n’est remplacée par un dispositif d’intelligence artificielle.
Les données concernent vos images radiologiques et le diagnostic proposé par le dispositif d’intelligence artificielle. Au CHU de Rennes, le service de radiologie effectue l’acquisition de l’image, son interprétation puis sa confrontation avec celle proposée par le dispositif d’intelligence artificiel. Le service informatique assure la maintenance et l’administration. Dans le respect de la réglementation en vigueur, de la confidentialité et de la sécurité, votre identité sera masquée en dehors du CHU de Rennes. Les sociétés Incepto (France) et Gleamer (France) réalisent le traitement et l’analyse de l’image. Gleamer (France) et AWS HDS (Irlande) assurent l’administration logicielle et la maintenance.
Vos données vous concernant sont conservées une durée limitée, pendant 3 jours en dehors du CHU de Rennes et dans votre dossier médical au CHU de Rennes pendant la durée rendue nécessaire par la législation en vigueur.
Votre participation à ce circuit est entièrement volontaire. Vous êtes libres de refuser d’y participer ainsi que de mettre un terme à votre participation à n’importe quel moment, sans encourir aucun préjudice et sans que cela n’entraîne de conséquence sur la qualité des soins qui vous seront prodigués. En cas de refus, vous bénéficierez de la prise en charge habituelle par le service des Urgences.
Vous disposez du droit de demander au responsable du traitement l'accès aux données à caractère personnel vous concernant, la rectification ou l'effacement de celles-ci, ou une limitation du traitement s’appliquant à votre personne, ainsi que du droit de vous opposer au traitement de données, dans le respect de la réglementation en vigueur.
L’exercice de vos droits d’opposition ou d’effacement peuvent entrainer votre exclusion du parcours. L’ensemble de vos droits s’exercent auprès du Délégué à la Protection des Données (DPO) du CHU de Rennes ou auprès du contact médical, le Dr Donval.
Pour toute réclamation relative au traitement de vos données de santé, vous pouvez saisir la Commission Nationale Informatique et Liberté (CNIL).
Télécharger la note d'information
Conformément à la loi n°78-17 du 6 janvier 1978 relative à l’informatique et aux libertés modifiées et au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données dit « RGPD », le patient et toute personne concernée peut demander l’exercice de ses droits par courrier auprès du responsable du traitement : Délégué à la Protection des Données (DPO) du CHU de Rennes.
Tous les échanges de données de votre ordinateur avec le serveur du CHU de Rennes sont cryptés selon un protocole SSL.
Vos données de santé sont considérées comme sensibles par la CNIL, et à ce titre il est nécessaire d’être vigilant en tant qu’utilisateurs du service.
Les professionnels de santé en charge de votre suivi via le système d’information hospitalier et selon les droits et habilitations sont couverts par le respect de la confidentialité et du secret médical.
Les personnes en charge de la maintenance et de l’exploitation du site Internet du CHU de Rennes sont engagées au secret professionnel.
Le traitement de vos données personnelles au CHU de Rennes sera effectué s’il est nécessaire :
Certains traitements de données nécessitent votre consentement. Cela concerne principalement des travaux de recherches.
Nous collectons et traitons notamment les données administratives, sociales et médicales. Selon votre prise en charge au CHU de Rennes, différentes catégories de données personnelles sont recueillies.
Vos données sont enregistrées pour la durée strictement indispensable à la finalité du traitement auxquelles elles se rapportent.
Ensuite, vos données médicales sont conservées pendant la durée prévue par les dispositions légales et réglementaires en vigueur, applicables en matière de conservation des données médicales.
Vos données sont traitées par des personnels du CHU de Rennes soumis au secret professionnel et participant à votre prise en charge dans la limite des catégories de données qui sont nécessaires à l’exercice de leur profession.
Elles peuvent être communiquées à des établissements participant à votre parcours de soins, à des prestataires de services et sous-traitants réalisant des prestations pour le CHU de Rennes. Dans ce cas, des clauses de conformité au Règlement Général sur la Protection des Données (RGPD) sont mises en place dans les contrats de traitement des données avec les sous-traitants. Vos données peuvent être transmises aux organismes publics, autorités de santé, professions règlementées (Trésor public, Agences régionales de Santé, organismes d’assurance maladie et complémentaire, commissaires aux comptes…) sur demande et dans la limite de la règlementation en vigueur.
Dans le cadre de projets de recherche, le CHU de Rennes peut également être amené, après vous avoir informé individuellement et sauf opposition de votre part, à transmettre vos données, préalablement rendues non-nominatives à d’autres professionnels de santé. Les conditions ne permettront pas de vous ré-identifier.
Gestion de l'épidémie de Covid-19
Dans le cadre de la gestion de l’épidémie Covid-19, le CHU de Rennes alimente des systèmes d’information sous responsabilité du Ministère des Solidarité et de la Santé :
- SI-VIC, système d'information d'identification unique des victimes, base de données sur les hospitalisations conventionnelles ou en soins critiques (réanimation, soins intensifs et soins continus), utilisée notamment pour les patients hospitalisés ou positifs au test Covid-19,
SI-VIC a été créé par l’article L. 3131-9-1 du code de la santé publique. Il a pour finalité l’aide au pilotage, l’établissement d’une liste unique de victimes en cas d’attentat, et l’information des familles et proches de victimes dans le cadre de situations sanitaires exceptionnelles.
Ce système d’information, activé en situations exceptionnelles, permet aux autorités sanitaires d’effectuer un suivi global et individuel des personnes concernées par l’évènement. Les informations qu’il contient sur les modalités des prises en charge sanitaire peuvent être utilisées si besoin pour informer les familles et les proches, ainsi que pour faciliter l’accompagnement dans d’éventuelles futures démarches. Ces données, de type administratives et strictement non médicales, sont accessibles à l’ensemble des acteurs coordonnant la situation sanitaire exceptionnelle, selon leurs habilitations.
Depuis le 10 décembre 2021, la transmission de données anonymisées de suivi des hospitalisations Covid-19 est effectuée, sauf opposition des personnes concernées, vers le Health Data Hub (ou HDH) pour permettre des travaux de recherche dans le cadre d’appels à projets mis en œuvre par le groupement d’intérêt public HDH. Les personnes concernées disposent de droits d’accès aux informations les concernant, leur rectification, et peuvent exercer leur droit d’opposition à la transmission ou introduire une réclamation relative aux données utilisées dans le cadre des projets de recherche portés par le HDH auprès de dgs-rgpd@sante.gouv.fr
Télécharger la note d'information
- SI-DEP, système d’information sur le dépistage populationnel, base de données sur les résultats des tests Covid-19,
SI-DEP est un traitement de données à caractère personnel, placé sous la responsabilité de la direction générale de la Santé (DGS) du ministère des Solidarités et de la Santé, qui s’inscrit dans le cadre de l’exécution des missions d’intérêt public confiées à la direction générale de la Santé. Il bénéficie également d’un encadrement législatif et réglementaire (article 11 de la loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire – décrets d’application pris après avis de la CNIL).
Il a pour finalité de centraliser les données des patients ayant fait l’objet d’un test de dépistage de la Covid-19 en vue de permettre :
La transmission des résultats d’analyse biologique au patient, au médecin traitant et/ou au médecin prescripteur identifiés lors du prélèvement, dans le cadre de la prise en charge du patient ;
La transmission aux organismes en charge de la réalisation d’enquêtes sanitaires destinées à identifier les cas contacts pour limiter la propagation du virus (Santé publique France, agences régionales de santé, organismes d’assurance maladie) et de l’accompagnement des personnes infectées et de leurs cas contacts ;
La mise à disposition de données pseudonymisées utiles à la surveillance épidémiologique (production de statistiques au niveau national ou régional permettant d’analyser l’évolution de l’épidémie et les besoins relatifs à l’organisation des soins) ;
La recherche sur le virus et les moyens de lutter contre sa propagation ;
La création et l’édition de passes sanitaires.
Les personnes concernées disposent d’un droit d’accès, de rectification et de limitation à SI-DEP et du droit de s’opposer à la réutilisation des données les concernant à des fins de recherche. En effet, les données pseudonymisées sont transmises à la Plateforme des données de Santé dans le but d’effectuer des études sur le virus SARS-COV-2. Pour exercer l’un de ces droits ou obtenir davantage d’information sur le traitement, les personnes peuvent s’adresser au ministère de la Santé, en justifiant de leur identité, soit par voie électronique à l’adresse suivante sidep-rgpd@sante.gouv.fr, soit par courrier postal : Ministère des Solidarités et de la Santé – Référent en protection des données - Direction générale de la santé - 14, avenue Duquesne 75350 PARIS 07 SP
- VAC-SI, système d’information Vaccin Covid, base de données sur les vaccinations Covid-19.
L’organisation, la traçabilité et le suivi de la vaccination contre la Covid-19 nécessitent la mise en œuvre d’un traitement de données nommé « Vaccin Covid » par la Caisse nationale de l’Assurance Maladie et la Direction générale de la santé. Ce traitement, basé sur l’intérêt public (article 5 - 5° de la loi du 6 janvier 1978), est nécessaire à l’organisation, la traçabilité et le suivi de la vaccination.
Il a pour finalités :
• L’identification des personnes éligibles à la vaccination au regard des recommandations vaccinales ;
• L’envoi ou l’édition d’invitations à la vaccination ;
• L’enregistrement des informations relatives à la consultation préalable à la vaccination et aux vaccinations ;
• La gestion des éventuels rappels sur la vaccination et la mise à disposition ou l’envoi à la personne vaccinée d’un récapitulatif des informations relatives à la vaccination ;
• Le suivi de l’approvisionnement en vaccins et consommables, afin d’organiser leur mise à disposition dans les lieux de vaccinations ;
• Le pilotage du dispositif et le suivi des actions ;
• L’information individualisée des personnes vaccinées en cas d’apparition d’un risque nouveau ;
• La prise en charge financières de la consultation préalable et des actes de vaccination ;
• La mise à disposition de données pour permettre leur réutilisation à des fins de présentation de l’offre de vaccination, de surveillance de la couverture vaccinale, de mesure de l’efficacité et la sécurité vaccinale, de pharmacovigilance, de production des indicateurs portant sur la qualité et la cohérence des statistiques produites dans le cadre de la crise sanitaire, d’appui à l’évaluation de la politique publique de vaccination, et de réalisation d’études et de recherches.
Toutes les personnes concernées disposent d’un droit d’accès et de rectification de leurs données ainsi qu’un droit à la limitation du traitement. Ces droits s’exercent sur demande écrite adressée soit au Directeur de l’organisme de rattachement (CPAM) ou de son Délégué à la Protection des Données, soit sur l’espace prévu à cet effet du compte « ameli » de la personne.
Les informations liées à vos droits SI-DEP, SI-VIC, VAC-SI sont consultables sur le site du ministère des solidarités et de la santé en cliquant sur le bandeau dédié Données personnelles et cookies - Ministère des Solidarités et de la Santé (solidarites-sante.gouv.fr)
Incident de sécurité Laboratoire – Cerba, sous-traitant du CHU de Rennes
Nous tenons à vous informer que le Laboratoire Cerba a été victime d’un vol de données à la suite d’une défaillance de l’un de nos prestataires, en charge de l’hébergement de l’une de nos bases de données.
Pour plus d’informations cliquez ici.
Cybertattaque au CHU de Rennes
Retrouvez tous les communiqués de presse ici
Retrouvez l'information à l'attention des patients et des usagers du CHU de Rennes ici
Le CHU de Rennes limite tous les transferts de données à caractère personnel en dehors d’Europe. Si néanmoins cela était nécessaire, vos données seraient rendues non nominatives, une information individuelle vous serait remise permettant de recueillir votre non opposition et des clauses contractuelles types strictes et approuvées par la Commission européenne seraient mises en place.
Réutilisation des données de santé pour la recherche, les études et l'évaluation
Le CHU de Rennes assure la transparence des traitements réalisés sur les données de santé des patients recueillies au cours des soins et les informe individuellement de leur réutilisation, conformément au règlement général sur la protection des données (RGPD) (UE 2016/79) et à la loi Informatique et libertés du 6 janvier 1978 modifiée. Patients de l'établissement, vous disposez d’un droit d‘opposition à la réutilisation de ces données. Une note d’information vous est remise par les services d’accueil administratif ou adressée avec le dossier de préadmission.