Protection des données personnelles

Les dispositions générales

Pour le CHU DIJON BOURGOGNE, la protection de vos données est une priorité. 

Dans un souci de transparence, la présente Politique de « Protection des données personnelles » a pour objectif de vous expliquer pourquoi, en tant que patient, vos données personnelles sont collectées et traitées par le CHU DIJON BOURGOGNE, comment celles-ci sont traitées, quels sont les droits dont vous disposez sur vos données et comment vous pouvez les exercer.

Notre rubrique « Données personnelles » vient compléter la présente Politique et est destinée, quant à elle, à vous expliquer pourquoi, en tant qu’internaute, vos données personnelles sont collectées et traitées par le CHU DIJON BOURGOGNE.

Enfin, notre Politique de « Gestion des Cookies » vous informe des finalités et des conditions d'utilisation de fichiers cookies ou de données de navigation susceptibles d'être déployés sur notre site Internet. 

Le CHU DIJON BOURGOGNE se réserve le droit de modifier à tout moment la présente Politique de protection des données. Toute modification prendra effet immédiatement.

Par conséquent, nous vous invitons à consulter régulièrement notre Politique, accessible depuis toutes les pages du site et ce, afin de vous tenir informés de la dernière version en ligne applicable. Pour les changements que nous estimons les plus significatifs, une notification sera faite sur le site. 

Date de la dernière mise à jour : 24/06/2024

Qu’est-ce qu’une donnée à caractère personnel ? 

Toute information se rapportant à une personne physique identifiée ou identifiable. Une personne peut être identifiée directement (nom, prénom…) et/ou indirectement (numéro d’identification, numéro de téléphone, images.,). 

Qu’est-ce qu’un traitement de données personnelles ? 

Toute opération effectuée sur des données personnelles (collecte, enregistrement, modification, conservation, effacement) sur papier ou informatique.

Le responsable de traitement est la personne morale ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

Le responsable du traitement de vos données personnelles est le CHU DIJON BOURGOGNE. 

La présente politique de protection des données personnelles est régie par le Règlement Général sur la Protection des Données personnelles n°2016/679 (« RGPD ») et par la Loi Informatique et Libertés modifiée, sous le contrôle réglementaire de l’autorité française de protection des données personnelles, la CNIL (Commission Nationale de l’Informatique et des Libertés – www.cnil.fr).

Les catégories de données personnelles que nous traitons

Le CHU DIJON BOURGOGNE collecte différents types de données personnelles vous concernant. 

Nous collectons directement vos données lors de votre prise en charge ou de façon générale, lorsque vous échangez avec le CHU DIJON BOURGOGNE de toute autre manière. Par exemple, nous pouvons être amenés à collecter vos données d’identification (nom, prénom, pièce d’identité, Identifiant National de Santé (INS), Numéro de Sécurité Sociale…), les données relatives à votre vie privée (numéro de téléphone, adresse mail, adresse postale, personne de confiance, personne à contacter…), les  données relatives à votre vie professionnelle (métier, risques professionnels…), vos données économiques et sociales (moyens de paiement, carte vitale, carte mutuelle), les données relatives à votre santé ou autres données sensibles (diagnostics médicaux, traitements, antécédents médicaux, résultats d’examen, vidéo/photographies, données génétiques, données ethniques, données relatives à votre vie sexuelle…).  

La communication de vos données personnelles est volontaire, sauf en cas de la sauvegarde de vos intérêts vitaux. Certaines informations, identifiées par un astérisque, sont indispensables au CHU DIJON BOURGOGNE pour traiter votre demande. 

Dans le cadre de votre prise en charge, des données nous sont transmises par des organismes tiers, notamment votre médecin traitant ou celui qui vous a adressé au CHU DIJON BOURGOGNE, les organismes d’Assurance Maladie au travers de votre Carte Vitale ou encore les Mutuelles. 

Nous collectons automatiquement certaines informations vous concernant dans le cadre des actes de télémédecine ou d’usage d’outils connectés, ou de la vidéoprotection.

Les objectifs du traitement de vos données personnelles

Les données que le CHU DIJON BOURGOGNE collecte sont nécessaires pour nous permettre de répondre aux finalités suivantes :

  • La prise en charge en tant que patient, dès de la prise de rendez-vous jusqu’à la réalisation de vos consultations, vos soins et vos traitements et permettre, le cas échéant, votre hospitalisation ainsi que votre suivi médical ;
  • Les exigences de santé publique, d’épidémiologie et de qualité de soins ;
  • Les vigilances sanitaires ;
  • Les statistiques d’activités du CHU DIJON BOURGOGNE ;
  • Les recherches scientifiques ;
  • Le financement des soins ;
  • L’établissement, l’exercice ou la défense de réclamations légales contre le CHU DIJON BOURGOGNE ;
  • L’envoi des communications et d’informations sur le CHU DIJON BOURGOGNE à votre attention (newsletter, confirmation des rendez-vous, etc.) ;
  • La gestion des demandes d’exercice des droits RGPD ;
  • La protection des biens et des personnes par la vidéoprotection.

De façon générale, le CHU DIJON BOURGOGNE ne traite aucune de vos données à des fins incompatibles avec celles pour lesquelles elles ont été collectées, sauf accord préalable de votre part. 

Les fondements juridiques justifiant le traitement

Dans tous les cas, le CHU DIJON BOURGOGNE collecte vos données, uniquement lorsque leur collecte et leur traitement reposent sur un fondement juridique.

Certaines de vos données sont traitées dans le cadre de l’exécution d’une mission d’intérêt public dont est investie le CHU DIJON BOURGOGNE. 

Certains traitements sont nécessaires aux fins de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale.

Vos données peuvent également être traitées pour des motifs d'intérêt public dans le domaine de la santé publique, pour répondre à des objectifs tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux.

Enfin, certains traitements sont nécessaires à des fins de recherche scientifique ou historique ou à des fins statistiques.

Vos données sont susceptibles d’être traitées à des fins de sauvegarde de vos intérêts vitaux ou de ceux d’une autre personne physique. 

Certaines de vos données sont traitées par le CHU DIJON BOURGOGNE pour répondre à ses obligations légales, notamment la constitution du dossier médical, la gestion des demandes des droits RGPD des personnes concernées.

Certains traitements sont basés sur votre consentement préalable, qui pourra être retiré à tout moment, sans aucun préjudice sur votre prise en charge. Vous pouvez revenir sur votre choix et retirer votre consentement sans toutefois remettre en cause la légalité du traitement reposant sur le consentement et mis en œuvre avant le retrait.

Le CHU DIJON BOURGOGNE pourra traiter vos données personnelles aux fins de poursuite de son intérêt légitime notamment, pour répondre à vos demandes, pour améliorer la qualité des soins, assurer la sécurité des biens et des personnes. En outre, le CHU DIJON BOURGOGNE est susceptible de traiter certaines de vos données lorsque le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle.

Les durées de conservation

Nous recueillons et utilisons les données personnelles vous concernant pour les finalités principales décrites ci-dessus. Nous conservons vos données personnelles uniquement pendant la durée nécessaire à la satisfaction des différentes finalités, sauf dans les cas où la loi nous autorise ou exige de les conserver plus longtemps. 

En matière de prise en charge des patients, le CHU DIJON BOURGOGNE pourra conserver votre dossier médical, sauf les cas particuliers (Article R1112-7 du Code de la santé publique), pendant la durée de la prise en charge opérationnelle du patient, puis 20 ans à compter de la date du dernier séjour ou de la dernière consultation externe du patient dans l’établissement. Lorsque la durée de conservation s’achève avant le 28ème anniversaire de son titulaire, la conservation du dossier est prorogée jusqu’à cette date. Le dossier est conservé pendant une durée de 10 ans à compter de la date du décès

Le dossier médical partagé est conservé pendant le temps de l’utilisation du dossier par le patient, puis pour une durée de 10 ans à compter de sa clôture.

En matière de vigilances sanitaires, les données seront conservées pendant la durée d’utilisation courante de données. En l'absence de précision légale ou réglementaire, les données ne peuvent en principe être conservées au-delà d'une période de 70 ans à compter de la date du retrait sur le marché du médicament, du dispositif ou du produit.

En matière de réalisation des statistiques, les données sont devenues anonymes ou agrégées.  

En matière de recherches scientifiques, à titre d’exemple, les données pourront être conservées jusqu'à la mise sur le marché du produit étudié ou jusqu'à deux ans après la dernière publication des résultats de la recherche ou, en cas d’absence de publication, jusqu'à la signature du rapport final de la recherche. Elles feront ensuite l'objet d'un archivage sur support papier ou informatique pour une durée conforme à la réglementation en vigueur.

En matière de financement des soins, les données personnelles seront conservées pour une durée conforme à la réglementation en vigueur.

En matière d’établissement, d’exercice ou la défense de réclamations légales contre le CHU DIJON BOURGOGNE, les données personnelles seront conservées pour une durée conforme à la réglementation en vigueur.

En matière d’envoi des communications et d’informations sur le CHU DIJON BOURGOGNE, votre adresse e-mail sera conservée tant que vous ne vous êtes pas désinscrit (via le lien de désinscription intégré aux newsletters).

En matière de gestion des demandes d’exercice des droits RGPD, les données seront conservées le temps de l’instruction de votre demande, puis archivées conformément aux délais de prescription en vigueur (5 ans).

En matière de vidéoprotection, les images seront conservées pendant une période maximale de 30 jours avec un accès limité aux seules personnes habilitées. Ces données seront utilisées dans le respect de la réglementation en vigueur. 

Pour de plus amples informations sur les durées de conservation de vos données, vous pouvez vous rapprocher du DPO du CHU DIJON BOURGOGNE.

Les destinataires des données

Vos données personnelles peuvent être communiquées par le CHU DIJON BOURGOGNE.  

Il s’agit :

  • De l’équipe de soins dans le respect du secret professionnel (Article L1110-12 Code de la santé publique) ;
  • Des services médico-administratifs et techniques du CHU DIJON BOURGOGNE responsables de la mise en œuvre des vigilances, de la santé publique, de l’épidémiologie et de la facturation de soins, et de la recherche, et soumis au secret professionnel, dans la limite des missions qui leur sont confiées et de ce qu’ils ont à en connaître ;
  • Des laboratoires de recherches du CHU DIJON BOURGOGNE.

 Il s’agit :

  • Des partenaires du CHU DIJON BOURGOGNE (Institut de Recherche pour le Développement, Université BFC, INSERM et, avec votre accord, à des professionnels de santé hors de l’établissement) ;
  • Des Autorités habilitées (Trésor Public, Assurance Maladie obligatoire et complémentaire, Agence Régionale de Santé, Ministère chargé de la Santé, Commissaires aux comptes, Institutions judiciaires) ;
  • Des prestataires de services réalisant des prestations pour le compte du CHU DIJON BOURGOGNE dans le respect du RGPD, notamment de l’article 28, et dans les limites des contrats de sous-traitance ; 
  • Des partenaires industriels et académiques.

En outre, nous sommes susceptibles de communiquer vos données personnelles dans le cas où nous serions tenus de nous conformer aux lois et aux règlements et aux requêtes et ordres légaux ou si cela est permis par la loi (c’est à dire, pour la protection et la défense des droits, situation qui menace la vie, santé ou la sécurité, etc.). 

En tout état de cause, nous exigeons toujours de ces destinataires qu’ils présentent des garanties de confidentialité et de sécurité suffisante et qu’ils prennent les mesures physiques, organisationnelles et techniques nécessaires à la protection et la sécurisation de vos données personnelles, conformément à la législation en vigueur. 

Le transfert hors UE de vos données

Vos données sont hébergées sur des serveurs sécurisés du CHU DIJON BOURGOGNE.

Vos données sont susceptibles d’être transmises à nos sous-traitants, au sens de l’article 28 du RGPD, bénéficiant de toutes les autorisations nécessaires et respectant des règles strictes de sécurité notamment en ce qui concerne l’hébergement de vos données (certification HDS). 

Pour ce qui est de nos sous-traitants et partenaires, le plus souvent, les données sont hébergées au sein de l’Union Européenne et de l’Espace Economique Européen. Toutefois, si vos données venaient à être transférées hors UE et EEE, par le biais de nos sous-traitants et partenaires, nous apporterions une attention toute particulière à ce que ces derniers traitent vos données dans le plus strict respect de la règlementation en vigueur en matière de protection des données personnelles. Dans le cas où ces derniers seraient situés dans un pays ne faisant pas l’objet d’une décision d’adéquation par la Commission Européenne, reconnaissant un niveau de protection équivalent à celui prévu par l’Union Européenne, un contrat-type sera rédigé afin de se conformer au modèle établi par la Commission Européenne (Clauses Contractuelle Types) accompagné de mesures sécuritaires complémentaires. 

Les mesures de sécurité mises en oeuvre

Le CHU DIJON BOURGOGNE sécurise vos données personnelles en mettant en place des mesures physiques, organisationnelles, et techniques adéquates afin d’éviter tout accès, utilisation, divulgation, modification ou destruction non autorisé, conformément à la réglementation en vigueur. 

Ces mesures incluent notamment : 

  • Un stockage sur des serveurs sécurisés au sein de l’Union Européenne ; 
  • Des procédés de chiffrement des données transmises et la mise en œuvre de moyens permettant de garantir la confidentialité, l’intégrité et la disponibilité de vos données ; 
  • Des tests d’intrusion réalisés fréquemment, ainsi que des sauvegardes régulières avec des tests de restauration ;
  • L’utilisation d’une authentification forte ;
  • Une politique de gestion des accès ; 
  • La sécurisation contractuelle prévue à l’article 28 du RGPD ; 
  • La mise en place de mesures organisationnelles en interne afin de protéger vos données, dont la mise en place d’une procédure de gestion des violations de données personnelles.

Bien que le CHU DIJON BOURGOGNE mette en place toutes les mesures possibles pour protéger vos données personnelles, nous ne pouvons garantir la sécurité des informations transmises sur notre site Internet ou sur notre application mobile lorsqu’un défaut de sécurité affecte votre terminal ou navigateur.

Vos droits et leur exercice

Au titre du RGPD et de la Loi Informatique et Libertés, vous disposez de différents droits.

Vous pouvez obtenir du CHU DIJON BOURGOGNE la confirmation que vos données sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès à l’ensemble des données et informations détenu par le CHU DIJON BOURGOGNE.

Conformément à l’article L1111-7 du Code de la santé publique, vous pouvez accéder à votre dossier médical et en obtenir une copie ou une version scannée. Pour plus d'information, rendez-vous sur la page Mes droits et devoirs et cliquez sur la rubrique s'intitulant « Accès à votre dossier médical ».

Vous pouvez obtenir du CHU DIJON BOURGOGNE, dans les meilleurs délais, la rectification des données vous concernant qui seraient inexactes ou erronées. Vous pouvez également demander que vos données soient complétées, le cas échéant. Ce droit s’exerce auprès du médecin ou du service qui vous prend en charge.

Sauf exceptions légales, vous pouvez demander au le CHU DIJON BOURGOGNE l'effacement, dans les meilleurs délais, de vos données, si notamment, vous estimez que le traitement réalisé par le CHU DIJON BOURGOGNE sur vos données n’est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées. Ce droit s’exerce auprès du médecin ou du service qui vous prend en charge.

Pour des raisons légales, l’établissement n’est pas en mesure de faire droit à une demande d’effacement relative à des données contenues dans votre dossier patient informatisé. 

Vous pouvez vous opposer à ce que vos données soient utilisées par un organisme pour un objectif précis. Vous devez alors mettre en avant des raisons tenant à votre situation particulière. 

En matière de recherche, l’exercice de votre droit d’opposition n’est subordonné à aucune condition de motivation. Vous pouvez vous opposer à tout moment à la réutilisation de données de votre dossier médical à des fins de recherches scientifiques sur données médicales. 

Vous pouvez demander au CHU DIJON BOURGOGNE de conserver vos données sans pouvoir les utiliser, dans l’un des cas suivants :

  • Vous contestez l’exactitude des données utilisées par le CHU DIJON BOURGOGNE ;
  • Vous vous opposez à ce que vos données soient traitées ;
  • En cas d’usage illicite, mais vous vous opposez à leur effacement ;
  • Vous en avez besoin pour la constatation, l'exercice ou la défense de droits en justice.

Lorsque le traitement de vos données personnelles est fondé sur votre consentement, vous avez la possibilité de retirer, à tout moment, votre consentement.

Vous avez la possibilité de définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès. Ces directives définissent la manière dont vous souhaitez que soient exercés, après votre décès, vos droits sur vos données. 

Vous pouvez transmettre ces directives par courrier au médecin ou au service qui vous prend en charge, en mentionnant en objet « Directives post mortem ». Vous pouvez, à tout moment, modifier ou révoquer vos directives.

Nous contacter

Pour votre parfaite information, un délégué à la protection des données a été nommé au sein du CHU de Dijon. Pour toute question relative à la Protection des données à caractère personnel, vous pouvez le contacter : 

  • Par mail : dpo@chu-dijon.fr
  • Par voie postale : CHU Dijon Bourgogne, Direction Générale, délégué à la protection des données GHT 21-52, 1 bd Jeanne d'Arc. BP n°77908. 21079 Dijon.

Toute demande doit préciser, en objet, le motif de la demande (exercice du droit d’accès, d’opposition, etc.). La demande doit également être accompagnée d’un justificatif d’identité (par exemple, un numéro patient) et préciser l’adresse à laquelle doit parvenir la réponse.

Nous nous efforcerons de répondre à vos demandes dans les meilleurs délais et dans les conditions prévues par la réglementation applicable. Néanmoins, dans certains cas, il est possible que nous ne soyons pas en mesure d'y répondre favorablement afin de respecter nos obligations légales ou contractuelles. 

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés ou que la protection de vos données n’est pas assurée conformément au RGPD, vous pouvez, à tout moment, introduire une réclamation auprès de la CNIL sur le site https://cnil.fr/plaintes, ou par voie postale à : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07.

Les champs obligatoires

Les champs qui présentent un astérisque dans nos formulaires sont obligatoires. Les conséquences en cas de défaut de réponse sont uniquement l’absence de prise en compte de votre demande. L’obligation de fourniture des données demandées est contractuelle, car nécessaire à l’exécution du contrat auquel vous être partie ou de mesures précontractuelles réalisées à votre demande, notamment en cas de demande d’informations ou de devis concernant nos produits et services. 

L'usage de l'intelligence artificielle

Le CHU DIJON BOURGOGNE peut avoir recours à des solutions d’intelligence artificielle afin d’optimiser les pratiques médicales de professionnels de santé et les soins, au bénéfice des patients.

L’intelligence artificielle, ou IA, recouvre différentes techniques permettant d’aider les professionnels de santé dans leurs tâches, et ainsi de faciliter le traitement de vos données (images, scanner…) et d’améliorer les performances et les soins.

Par exemple :

  • L’IA peut servir à faciliter la lecture des images médicales (radiographies, IRM, scanners…) ;
  • L’IA peut également permettre d’analyser plus rapidement certaines constantes collectées au cours de la prise en charge.

L’IA peut donc fournir :

  • Un appui à l’élaboration de diagnostic plus précis ;
  • Une aide pour personnaliser davantage les traitements ;
  • L’accélération de la recherche médicale ;
  • L’amélioration de la gestion et des parcours de soins

L’IA est toujours soumise à une vérification des médecins. Les professionnels de santé restent maîtres des décisions et des diagnostics posés. L’IA est une aide à la décision. Elle fournit un appui technique.

Le CHU DIJON BOURGOGNE s’engage à ce que ces solutions d’IA mises en place soient strictement conformes à la législation applicable, et notamment celles relatives à la protection des données et à l’utilisation de l’intelligence artificielle. Le CHU DIJON BOURGOGNE s’assure également de mettre en place des mesures de sécurité robustes afin d’assurer la confidentialité de vos données personnelles et les protéger de tout accès non autorisé, perte ou divulgation accidentelle.

Chaque fois qu’un professionnel de santé utilisera une solution d’IA dans le cadre de votre prise en charge, vous en serez dument informé.

Le principe d’accountability

Afin de respecter le principe d’Accountability, le CHU DIJON BOURGOGNE :

  • Adopte des procédures internes dans le but d’assurer le respect du règlement (charte informatique, charte de protection des données à caractère personnel, procédures de violation de données, etc.) ;
  • Conserve une trace documentaire de tout traitement effectué sous sa responsabilité ou de celle du sous-traitant (tenue du registre des traitements, accords de confidentialité des salariés et des prestataires, politique de sécurité de l’entreprise, procédures de gestion des demandes d’accès, de rectification, d’opposition...) ;
  • Réalise des analyses d’impact (PIA) pour les traitements présentant des risques particuliers au regard des droits et libertés des personnes concernées.

L’objectif est de fournir une documentation riche permettant de démontrer à tout instant le respect par le CHU DIJON BOURGOGNE des règles relatives à la protection des données.