Institut Médico-Educatif Marie Crué à Flers

Politique de confidentialité de l’IME Marie Crué

POLITIQUE PROTECTION DES DONNÉES PERSONNELLES – RGPD DE L’IME MARIE CRUÉ

L’IME Marie Crué attache une grande importance à la protection de vos données personnelles, et pour cela se conforme strictement aux dispositions de la loi informatique et libertés du 6 janvier 1978 et au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Du fait de l’application en France, le 25 mai 2018, du Règlement Général de Protection des Données (RGPD), cette établissement est désormais tenu de démontrer qu’il se met en conformité et respecte bien les principes posés par le RGPD.

Le RGPD poursuit un double objectif :

• D’une part, il renforce les droits des personnes et redonne aux citoyens le pouvoir sur leurs données personnelles ;
• D’autre part, il fait du droit à la protection des données personnelles un droit fondamental.

LA LICÉITÉ DE NOS TRAITEMENTS

Dire qu’un traitement est licite signifie qu’il est conforme à certaines conditions énoncées par le RGPD et à la loi Informatique et Liberté.

Les traitements mis en œuvre sont licites du fait que nos services exécutent des missions d’intérêt général souvent qualifiées de missions d’intérêt public. Ils le sont également du fait que certains de ces traitements reposent sur votre consentement et sur une “contractualisation” issue de la Loi 2002-2 telle qu’elle existe du fait des documents individuels de prise en charge ou contrat de séjour.

LE RESPONSABLE DE TRAITEMENT

Les responsables de traitements sont les Directeurs d’établissement et de service pour les traitements qu’ils mettent en œuvre, dans le périmètre de leurs délégations. Ils doivent assurer la confidentialité, la disponibilité et l’intégrité des données personnelles qui vous concernent.

Confidentialité signifie que nous devons nous assurer que seuls les professionnels qui vous accompagnent sont accès à vos données personnelles.

Disponibilité signifie que nous devons tout mettre en œuvre pour que vos données personnelles ne disparaissent pas, volontairement ou accidentellement.

Intégrité signifie que nous devons faire en sorte que vos informations ne soient pas transformées ou endommagées.

QU'EST-CE QU'UNE DONNÉE A CARACTÈRE PERSONNEL ?

Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable.

Est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Selon l’article 4 du RGPD, doivent être considérées comme des données concernant la santé « les données (…) relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne (passé, présent ou futur) (…) ». Le traitement de données de santé est régi par la Loi Informatique et Liberté, ainsi que par les dispositions du Code de la Santé Publique, et d’une façon générale par la réglementation en vigueur (en France et en Europe) qui encadre la collecte, l’utilisation et la conservation des données de santé, et qui vise à protéger les malades de toutes atteintes à leur vie privée.

Les différentes catégories de données traitées par nos services peuvent être regroupées de la façon suivante :

• Les données permettant l’identification de la personne directement ou indirectement : nom, prénom, sexe, date et lieu de naissance, adresse e-mail, adresse postale, numéro de téléphone, numéro de sécurité sociale, identifiants Caisses maladie, Mutuelle, CAF ;
• Les données concernant la santé de la personne en application de la législation en vigueur et dans le respect du secret médical auquel sont soumis les professionnels de santé : informations cliniques, bilans médicaux, comptes rendus médicaux, ordonnances, etc…
L’IME Marie Crué peut être amené à effectuer des traitements statistiques dans le cadre d’études internes aux fins d’évaluation des activités, de la qualité des prestations et des besoins à couvrir. Les données exploitées à cette fin font systématiquement l’objet d’un processus d’anonymisation et sont dès lors dénuées de tout caractère identifiant.

QU'EST-CE QU'UN TRAITEMENT ?

Il s’agit de toute opération effectuée à l'aide de procédés automatisés ou non et appliquée à des données ou à des ensembles de données à caractère personnel. Exemples : la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

COLLECTE DES DONNÉES PERSONNELS

L’ensemble des données vous concernant sont collectées directement auprès de vous : informations communiquées lors de la signature du contrat de séjour, de la complétion du formulaire d’admission, de la signature du contrat de prestations de services, au cours de votre vie quotidienne au sein des différents établissements ou dans le cadre des services d’accompagnement à la vie sociale, de la complétion du bulletin d’adhésion ainsi que via le formulaire de contact disponible sur notre site internet.

Dans tous les cas, vos données sont collectées et traitées uniquement pour les besoins du contrat de séjour ou du contrat de prestations de services, de leur exécution, pour le suivi de votre adhésion et pour vous permettre de répondre à vos demandes de renseignement sur l’ensemble des services proposés par notre établissement.

FONDEMENT DE LA COLLECTE DE DONNÉES PERSONNELS

En principe, les professionnels des structures médico-sociales n’ont pas besoin de recueillir le consentement individuel des personnes pour collecter et conserver les données personnelles les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires à la prise en charge sanitaire ou sociale des personnes concernées.

Néanmoins, ce consentement implicite de principe ne s’applique qu’aux données utiles à la prise en charge de la personne. Les données recueillies par notre établissement sont adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées.

À défaut, notre établissement demande le consentement exprès de la personne concernée ou celui de son représentant légal.

POUR QUELLES RAISONS VOS DONNÉES PERSONNELLES SONT-ELLES COLLECTÉES A L’IME MARIE CRUÉ ?

Nos services collectent des données personnelles dans le but de procéder à :

• La communication avec vous ;
• L’admission, l’organisation du séjour, la prise en charge de l’usager ;
• La gestion administrative, comptable et financière du dossier de l’usager ;
• La coordination des soins médico-sociaux ;
• L’élaboration et le suivi du projet d’accompagnement personnalisé ;
• L’élaboration des rapports et comptes rendus destinés à l’autorité ayant décidé de votre orientation ;
• Les échanges avec les intervenants sociaux, médicaux, paramédicaux ;
• La gestion des procédures d’aides sociales et le suivi des trajectoires des personnes ;
• La gestion financière et comptable de l’établissement et de ses services ;
• La gestion et la réponse à des demandes d’exercice des droits Informatique et Libertés ;
• L’orientation, la mise en relation avec un ESAT, le suivi.

BASE JURIDIQUE

Les activités que l’établissement met en œuvre sont des activités d’intérêt général et d’utilité sociale autorisées, habilitées par l’Agence Régionale de Santé ou le Conseil départemental ou l’Etat. La plupart des traitements mis en œuvre par l’IME Marie Crué relève de missions de service public que nous exerçons, d’autres reposent sur un contrat que nous passons avec vous.

QUI SONT LES DESTINATAIRES DE VOS DONNÉES PERSONNELLES ?

• Le personnel de l’établissement, les services ou organismes concourant à votre prise en charge, à votre accompagnement et à votre suivi social et médico-social ainsi que l’équipe soignante qui vous suit ;
• Nos personnels habilités en charge de la gestion administrative
• La Maison départementale des personnes handicapées (MDPH) ;
• Nos prestataires intervenant dans la mise en œuvre des services proposés ;
• Les organismes instructeurs et payeurs des prestations sociales ;
• La Caisse Primaire d’Assurance Maladie (CPAM) ;
• La Caisse Nationale de Solidarité pour l’Autonomie ;
• L’Autorité Régionale de Santé (ARS).

COMMENT SONT PROTÉGÉES VOS DONNÉES PERSONNELLES ?

Nous respectons des règles de sécurité pour protéger vos données contre des accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle. Des mesures techniques et organisationnelles appropriées sont mises en place pour préserver la confidentialité, la disponibilité et l’intégrité des données (Exemples : mot de passe alphanumérique conforme aux recommandations de la CNIL, surveillance des systèmes pour détecter d'éventuelles vulnérabilités et attaques, sécurisation des accès au Système d’information avec une politique d'habilitations stricte, sensibilisation de tout le personnel à la protection des données et aux exigences de confidentialité, exigence de conformité lors de la sélection de nos prestataires, vérification de leur conformité RGPD, mise en place d’un PRA, et d’un PCA, journalisation des données etc…).

QUELLE EST LA DURÉE DE CONSERVATION DE VOS DONNÉES PERSONNELLES ?

Les données sont conservées en base active pendant deux années. Cela signifie qu’elles sont encore accessibles pendant deux années après la fin de votre accompagnement et /ou accueil. Elles le sont sous une forme qui permet votre identification pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Vos données sont ensuite archivées de manière sécurisée (droit d’accès limité) et détruites également de manière sécurisée après observance de leur durée d’archivage (Code du Patrimoine).
Ces données sont par ailleurs supprimées sans délai en cas de décès de la personne concernée.

Lorsqu'il existe un recours contre un tiers ou un contentieux, les données peuvent être conservées jusqu'à l'intervention de la décision définitive.

QUELS SONT VOS DROITS SUR VOS DONNÉES PERSONNELLES ?

Conformément à la Loi Informatique et Libertés et au RGPD, vous disposez des droits suivants :

• Droit d’accès (article 15 RGPD), de rectification (article 16 RGPD), de mise à jour, de complétude de vos données ;
• Droit de verrouillage ou d’effacement de vos données à caractère personnel (article 17 RGPD), lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ;
• Droit de retirer à tout moment votre consentement (article 13-2c RGPD) ;
• Droit à la limitation du traitement de vos données (article 18 RGPD) ;
• Droit d’opposition au traitement de vos données (article 21 RGPD) ;
• Droit à la portabilité des données que vous nous avez fournies, lorsque vos données font l’objet de traitements automatisés fondés sur votre consentement ou sur un contrat (article 20 RGPD) ;
• Droit de définir le sort de vos données après votre mort et de choisir que nous communiquions (ou non) vos données à un tiers que vous aurez préalablement désigné.

En cas de décès et à défaut d’instructions de votre part, nous nous engageons à détruire vos données, sauf si leur conservation s’avère nécessaire à des fins probatoires ou pour répondre à une obligation légale.

COMMENT NOUS CONTACTER ?

L’usager peut exercer ses droits d’accès, de rectification, d’opposition, de suppression, d’oubli, de portabilité en s’adressant à nos Directions ou à notre Délégué à la Protection des données personnelles : contact.dpo@normandie-generations.fr par lettre simple accompagnée de la copie d’une pièce d’identité. En cas de réponse insuffisante, une réclamation auprès de la CNIL peut être effectuée soit en ligne www.cnil.fr, soit par voie postale.

Notre Délégué à la Protection des Données a pour mission d’informer, de conseiller et de contrôler la conformité de notre établissement dans la réalisation des opérations de traitements effectuées.

Conformément à la réglementation en matière de protection des données, le DPO fait office de point de contact
vis-à-vis des personnes concernées pour tous sujets relatifs aux traitements de données effectués par nos établissements (informations sur l’intérêt légitime…) ou l’exercice de vos droits.