Le Centre Hospitalier de Grasse traite quotidiennement des données à caractère personnel dans le cadre de la prise en charge des patients, de la gestion administrative, et de l’organisation des soins. Conformément au Règlement (UE) 2016/679 dit Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés modifiée, le Centre Hospitalier de Grasse s’engage à assurer une protection élevée, transparente et responsable des données personnelles. Cette politique décrit de manière détaillée les traitements réalisés, les finalités poursuivies, les droits des personnes concernées ainsi que les mesures de sécurité mises en œuvre.
1. FINALITÉS DU TRAITEMENT DES DONNEES PERSONNELLES
Les traitements réalisés visent plusieurs finalités essentielles :
– Gestion du dossier administratif du patient : identification, admissions, droits sociaux, facturation, mutuelles.
– Gestion du dossier médical : diagnostics, prescriptions, examens biologiques, imagerie, comptes rendus, hospitalisations.
– Organisation de la continuité des soins : gestion des rendez-vous, suivi des prises en charge, coordination entre professionnels.
– Production d’indicateurs médico-administratifs (PMSI), obligations de reporting aux autorités sanitaires.
– Amélioration continue de la qualité et sécurité des soins : audits, enquêtes, évaluations internes, gestion des risques.
– Sécurisation des accès et traçabilité dans le système d’information (SI).
– Participation à des projets de recherche clinique, épidémiologique ou observationnelle, conformément aux méthodologies MR.
– Communication médico-administrative avec le patient (courriers, SMS, emails sécurisés) lorsque approprié.
Ces finalités sont strictement limitées et ne peuvent être étendues à d’autres usages non compatibles.
2. LES CATÉGORIES DE DONNÉES TRAITÉES
Les catégories de données suivantes peuvent être traitées :
– Données d’identité : nom, prénom, date de naissance, sexe, adresse, numéro de téléphone, adresse email.
– Données administratives : sécurité sociale, mutuelle, situation familiale, références bancaires (le cas échéant).
– Données relatives à la vie personnelle : personnes à contacter, situation familiale ou sociale si utile à la prise en charge.
– Données professionnelles : employeur, statut professionnel si pertinent.
– Données économiques et financières : informations nécessaires à la facturation.
– Données médicales : diagnostics, traitements, résultats d’examens, antécédents, données de suivi, données génétiques lorsque médicalement indiqué.
– Données issues d’échanges sécurisés entre professionnels de santé appartenant au parcours du patient.
– Données techniques : logs de connexion, habilitations, traces de sécurité pour la protection du SI.
3. LES BASES LÉGALES DU TRAITEMENT (ART. 6 ET 9 RGPD)
Les traitements du Centre Hospitalier de Grasse reposent sur :
– Une obligation légale (Code de la Santé Publique, facturation à l’Assurance maladie, PMSI).
– L’exécution d’une mission d’intérêt public liée à l’organisation et à la délivrance des soins.
– Le consentement éclairé du patient pour certains actes, recherches ou communications spécifiques.
– L’intérêt légitime de l’établissement (qualité, évaluation, sécurité des traitements).
– La sauvegarde des intérêts vitaux en situation d’urgence.
Les données de santé, relevant de l’article 9 du RGPD, sont traitées car nécessaires à la prise en charge médicale et à la santé publique.
4. LE PRINCIPE DE MINIMISATION ET EXACTITUDE DES DONNEES
Le Centre Hospitalier de Grasse applique un principe strict de minimisation : seules les données nécessaires à la finalité sont collectées. Les données sont vérifiées, actualisées si besoin et conservées de manière proportionnée.
5. LA DURÉES DE CONSERVATION DES DONNEES PERSONNELLES
Les principales durées retenues :
– Dossier médical : durée respectant la reglementation en vigueur
– Données de recherche : durée définie par le protocole, jusqu’à la publication jusqu’au maximum règlementairement autorisé, sauf exceptions réglementaires.
– Documents administratifs : selon Code du patrimoine et circulaires nationales.
– Logs de sécurité : durée conforme aux obligations en matière de sécurité et de traçabilité.
À l’expiration de ces durées, les données sont supprimées, archivées ou anonymisées selon les exigences légales.
6. LA SÉCURITÉ DES DONNÉES
Le Centre Hospitalier de Grasse met en œuvre une politique de sécurité robuste :
– Sécurité organisationnelle : procédures internes, sensibilisation du personnel, charte informatique.
– Sécurité logique : authentification forte, gestion des habilitations, segmentation réseau, antivirus, supervision.
– Sécurité physique : sécurisation des locaux, archivage protégé, contrôle des accès.
– Hébergement interne ou certifié HDS pour toutes les données de santé.
– Journalisation et traçabilité systématiques.
7. LES DESTINATAIRES DES DONNÉES
Les destinataires sont :
– Les professionnels de santé participant à la prise en charge.
– Le personnel administratif habilité.
– Les sous-traitants présentant des garanties RGPD (prestataires SI, outils de communication, hébergeurs certifiés).
– Les autorités sanitaires (ARS, Assurance maladie, Santé Publique France).
– Les partenaires de recherche, avec pseudonymisation ou anonymisation.
8. TRANSFERTS HORS UNION EUROPÉENNE
Ils demeurent exceptionnels et strictement encadrés :
– Mise en place des Clauses Contractuelles Types (CCT) de la Commission européenne.
– Information préalable du patient.
– Données rendues non nominatives lorsque cela est possible.
9. LE DROITS DES PERSONNES
Les patients disposent de droits renforcés pour la protection de leurs données :
– Droit d’accès à leurs données.
– Droit de rectification.
– Droit à l’effacement dans les limites légales.
– Droit à la limitation du traitement.
– Droit d’opposition.
– Droit à la portabilité pour les données fournies sur la base du consentement.
– Droit de retirer son consentement.
– Droit de définir des directives post-mortem.
Les demandes sont traitées par le Délégué à la Protection des Données.
10. CONTACT
Pour toute question ou demande d’exercice des droits : dpo@ch-grasse.fr
