Le règlement général sur la protection des données

Introduction

Les logiciels LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum sont des plateformes informatiques en ligne favorisant la coordination d'acteurs médico-sociaux autour d'une personne. L’utilisation de nos logiciels implique la collecte de données à caractère personnel dont certaines sont par nature qualifiées de « sensibles » dans la mesure où elles sont en lien direct avec l'état de santé de l’individu.
Le traitement des données à caractère personnel est soumis au respect du Règlement Européen n° 2016/679 du 27 avril 2016 sur la Protection des Données (ou « RGPD »), et à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée par la loi n° 2018-493 du 20 juin 2018.
Selon l'article 4 du RGPD est appelé traitement "toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction."

Comment réaliser votre mise en conformité ?

Désignez un délégué à la protection des données

Le délégué à la protection des données (DPO) pilote la gouvernance des données personnelles de votre structure, en assure la mise en conformité et exerce une mission d'information, de conseil et de contrôle.
Pour réaliser cette démarche CNIL : désigner un pilote

Cartographiez vos traitements de données personnelles

Pour chacun de vos traitements de données personnelles, cette phase a pour objectif de documenter :
  • les catérogies des données personnelles traitées
  • l'objectif de ce traitement
  • les acteurs internes ou externes qui traitent ces données
  • les flux entrant et sortant des données traitées
Pour réaliser cette démarche CNIL : cartographier vos traitements
Types de données collectées

En accord avec votre DPO, utilisez notre module de gestion des permissions pour autoriser uniquement la collecte des informations indispensables à votre activité.
Lors de ce paramétrage, soyez attentifs aux données sensibles et notamment à celles visibles ou non selon les profils d'utilisateurs.

Etendue des actions autorisées

Vous devez également attribuer des permissions spécifiques aux personnes que vous avez désigné comme légitimes à répondre aux demandes de consultation, modification ou suppression des données collectées.

Priorisez les actions à mener

Parmi les traitements que vous avez identifié certains sont plus "sensibles" que d'autres selon le type de données traité. Vous devez maintenant identifier les actions à mettre en oeuvre pour vous conformer à la RGPD en priorisant les traitements ayant un impact fort sur les droits et libertés des personnes concernées.
Pour réaliser cette démarche CNIL : prioriser les actions à mener

Gérez les risques

Si votre cartographie vous a permis d'identifier des traitements de données personnelles pouvant engendrer des risques importants pour les droits et libertés des personnes concernées, vous devez décrire pour chacun d'entre eux une Analyse d'Impact à la Protection des Données.
Pour réaliser cette démarche CNIL : gérer les risques

Organisez des processus internes

Ces étapes d'analyses permettent d'identifier et de planifier des actions concrètes vous menant à la mise en conformité de vos traitements de données personnelles. Il est maintenant temps de définir des processus internes garantisant la protection des données à tout moment.
Pour réaliser cette démarche CNIL : organiser des processus internes
Suivi de vos processus

Bénéficiez de notre module de traçabilité pour suivre, par exemple, le recueil des différents consentements ou encore la pseudonymisation* des dossiers de plus de 3 ans.

Documentez la conformité

Centralisez l'ensemble de votre réflexion et actions au sein d'une documentation claire et accessible à tout moment pour prouver et améliorer votre démarche au fil du temps.
Pour réaliser cette démarche CNIL : documenter la conformiter

Les différents types de données traitées par nos logiciels

Les différentes catégories de données traitées dans nos logiciels peuvent être regroupées de la façon suivante :
  • les données permettant l’identification de la personne directement ou indirectement : nom, prénom, sexe, date et lieu de naissance, adresse e-mail, adresse postale, numéro de téléphone, numéro de sécurité sociale, etc
  • les données relatives à la situation professionnelle et personnelle de la personne : statut marital, nombre d’enfants, mesure de protection juridique, situation professionnelle, etc
  • les données d’ordre économique et financier : revenus, aides ou allocations financières perçues, etc
  • les données relevant de l'état de santé de la personne : mobilisation d'intervenants médico-sociaux, identification de pathologies, identification d'ALD, etc

Dans le cadre d'un accompagnement médico-social les équipes exploitant nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum) sont amenées à collecter et traiter des données de santé à caractère personnel.
Conformément à l'article L. 1111-8 du code de la santé publique des directives sont à respecter en termes d'hébergement, de stockage et de conservation des données.
Pour répondre à ces directives les données collectées et traitées au sein de nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum) sont hébergées par la société OVH (prestation OVH Health-care).

  • les données de connexion : identifiants de connexion, informations d'horodatage, traçabilité etc.
  • les données relatives à l’utilisation d’un navigateur Internet : utilisation de cookies.

Les cookies utilisés ont pour unique objectif l'amélioration de l'expérience utilisateur lors de la navigation au sein de nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum).
Aucune données personnelles ne sont traitées par le biais de ces cookies et conformément au RGPD ces derniers ont une durée de vie de 13 mois.

Objectifs des traitements réalisés

Les traitements réalisés au sein de nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum) ont pour principal objectif d'appuyer/de faciliter la coordination de professionnels medico-sociaux pour le bien être des personnes aidées.
Pour atteindre cet objectif plusieurs traitements permettent de :
  • Générer des études statistiques anonymes afin de quantifier et valoriser les programmes médico-sociaux ainsi que le travail fourni par les professionnels mobilisés
  • Générer des alertes afin d'identifier des situations nécessitant une attention particulière afin d'assurer le bien-être de la personne aidée
  • Suivre l'évolution administrative et détaillée des différents parcours médico-sociaux afin d'assurer le bien-être de la personne aidée
Les données à caractère personnel sont uniquement collectées afin d'atteindre des objectifs déterminés, explicites et légitimes dans le cadre du domaine de la coordination médico-sociale. Ces données sont stockées et traitées au sein de l'Union européenne, aucun transfert en dehors de ce territoire n'est réalisé. De plus les données à caractère personnel collectées ne sont pas utilisées à des fins de prospection commerciale.

Responsables des traitements

Les données à caractère personnel collectées au sein de nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum) font l’objet de traitements sous la responsabilité conjointe de la société SELIA et des parties prenantes du projet.
Tous les acteurs participant de près ou de loin au traitement de données à caractère personnel sont parties prenantes de la gestion et de la protection desdites données. Dans ce cadre, chaque directeur ou chef d’établissement ou de service utilisateur de nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum) est responsable des données saisies par le personnel de sa structure et de l’usage des données qui en est fait.

Accès aux données collectées

Dans le cadre de la coordination médico-sociale, différents profils de personnes peuvent avoir accès aux données collectées :
  • Les personnes aidées et leurs représentants : voir la section "Droits de la personne concernée"
  • Le personnel des structures de coordination : professionnels médico-sociaux assurant l'encadrement pour le bien-être de la personne aidée
  • Les informaticiens administrateurs autorisés : l'équipe technique de la société Selia et les équipes informatiques au sein des structures médico-sociales assurant le paramétrage et le bon fonctionnement des logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum)
Seules les personnes autorisées et habilitées ont accès aux données à caractère personnel collectées et traitées au sein de nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum) et ce avec un objectif clair et défini. L'ensemble des actions réalisées au sein de nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum) sont tracées.

Durée de conservation des données

  • Les données à caractère personnel relatives aux utilisateurs de nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum) : sont conservées 3 ans à compter de la date de désactivation du compte utilisateur associé.
  • Les données à caractère personnel relatives aux personnes aidées et à leurs entourages : sont conservées 3 ans à compter de la date de clôture du dossier ou du dernier échange tracé dans nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum).

Deux semaines avant la date théorique de pseudonymisation*, nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum) présentent la liste des personnes qui seront pseudonymisées* pour non activité.
Une tâche planifiée s'exécute tous les soirs sur nos serveurs afin de pseudonymiser* les données personnelles ne répondant plus aux critères de durée de conservation des données.

Droits de la personne concernée

  • Art 15 - Droit d'accès de la personne concernée : chaque membre du personnel de coordination a pour obligation d'informer la personne concernée du traitement de ses données personnelles au sein de nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum). Le consentement de la personne concernée ou de son entourage doit être obligatoirement renseigné. Chaque membre du personnel de coordination se doit de fournir une copie de ses données personnelles, à sa demande, à la personne concernée.

A la demande, nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum) permettent de générer un document PDF reprenant toutes les données de la personne concernée.

  • Art 16 - Droit de rectification : La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Chaque membre du personnel de coordination a pour obligation d'appliquer ce droit de rectification de la personne concernée.
  • Art 17 - Droit à l'effacement "droit à l'oubli" : conformément à l'article 17.3 du RGPD le droit à l'effacement ne s'applique pas lorsque le traitement " à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1".
    Dans ce contexte, à la demande de la personne concernée ou au-delà de la date de conservation des données les données de la personne concernée sont pseudonymisées*.
Pseudonymisation

Le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable

référence CNIL : RGPD chapitre 1

Les études menées par nos utilisateurs sont réalisées " à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques".
Cependant nous (société SELIA) tenons à ce que l'exercice du droit à l'effacement "droit à l'oubli" puisse être respecté au sein de nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum). C'est pourquoi nous avons fait le choix de la pseudonymisation.
La pseudonymisation se traduit par :

  • La concaténation de la clef (code alphanumérique unique) interne au logiciel attribuée à la personne concernée et du terme "CNIL" en remplacement du nom et prénom de la personne concernée
  • Suppression de l'entourage de la personne concernée
  • Suppression de l'adresse de la personne concernée ainsi que des informations complémentaires à l'exception de la ville et du code postal
  • Suppression des coordonnées de contact (adresse email, numéros de téléphone, informations complémentaires...)
Ainsi nos utilisateurs sont toujours en mesure de réaliser des études et le droit à l'effacement "droit à l'oubli" est respecté.

A la demande nos logiciels (LogiReso.net, LogiMAIA.net, PlaTerriA, Sorelis ainsi qu'Attentum) offrent une fonctionnalité de pseudonymisation* ponctuelle de la personne concernée.
Votre DPO doit identifier un ou plusieurs utilisateur.s autorisé.s à utiliser cette fonctionnalité afin de réaliser le paramétrage adéquat.

  • Art 18 - Droit à la limitation du traitement : la personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement.
  • Art 20 - Droit à la portabilité des données : chaque membre du personnel de coordination se doit de fournir une copie dans un format structuré de ses données personnelles, à sa demande, à la personne concernée.
  • Art 21 - Droit d'opposition : La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant à moins qu'un membre du personnel de coordination ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice.
La personne concernée peut exercer ses droits à tout moment, en adressant sa demande directement à l’un des professionnels en charge de son dossier ou au responsable du service ou de l’établissement qui détient ses informations.

Contactez nous