Politique de confidentialité et de protection des données personnelles

Les traitements des données à caractère personnel sont mis en œuvre sous la responsabilité de la Directrice du Centre Hospitalier Universitaire Grenoble Alpes.

Le délégué à la protection des données (DPO) veille au respect des règles de protection de vos données personnelles. À ce titre, il est votre interlocuteur privilégié par un traitement de données à caractère personnel vous concernant. Le DPO est à votre disposition pour toute question relative à la protection des données ou pour l’exercice de vos droits informatique et libertés.

Le traitement de vos données s’effectue conformément au Règlement européen général sur la protection des données (RGPD) (règlement n°679/2016) et à la loi dite « Informatique et Libertés » du 6 janvier 1978 modifiée, ainsi qu’aux référentiels édictés par la Commission nationale de l’informatique et des libertés (Cnil). Les données personnelles de santé sont encadrées également par le Code de la santé publique, le Code de la sécurité sociale et le Code pénal.

Le Centre Hospitalier Universitaire Grenoble Alpes s’engage à assurer la protection et la confidentialité de l’ensemble de vos données personnelles.

Le Centre Hospitalier Universitaire Grenoble Alpes (CHUGA) collecte et traite vos données personnelles pour remplir ses missions de service public hospitalier, conformément au Code de la santé publique. Ces missions incluent :

• La prise en charge médicale globale, de la consultation initiale au suivi post-hospitalisation
• La recherche scientifique et l'innovation en santé ou hors santé
• La formation des professionnels de santé
• La participation à la veille sanitaire et à la gestion des crises sanitaires
• La mise en œuvre d'actions de santé publique et de prévention

Plus spécifiquement, vos données sont utilisées pour :

• Assurer la prise en charge médicale et administrative ainsi que la bonne coordination de soins
• Mettre en œuvre, collaborer et participer à des recherches médicales et scientifiques
• Répondre aux exigences de santé publique et d'épidémiologie
• Améliorer la qualité et la sécurité des soins
• Respecter les obligations légales et réglementaires : gérer les vigilances sanitaires, la pharmacovigilance et événements indésirables
• Répondre aux demandes des autorités administratives ou judiciaires
• Satisfaire les demandes d’exercice de droits informatiques et libertés 
• Développer des outils d'aide à la décision médicale intégrant ou non de l’IA.
• Constituer et gérer des entrepôts de données de santé
• Analyser et piloter l’activité de l’établissement
• Assurer le financement des soins et la gestion de l'établissement
• Protéger les biens et les personnes (vidéoprotection)

Lors de votre prise en charge ou lors de tout échange avec le CHUGA, nous collectons directement vos données personnelles afin de remplir nos missions de service public hospitalier, telles que :

Données d'identification : nom, prénom, pièce d'identité, Identifiant National de Santé (INS), Numéro de Sécurité Sociale (NIR), etc.

Données de contact : numéro de téléphone, adresse mail, adresse postale, personne de confiance, personne à contacter, etc.

Données relatives à la vie privée et professionnelle : habitudes de vie, situation familiale, profession, etc.

Données économiques et sociales : moyens de paiement, carte vitale, carte mutuelle, etc.

Données relatives à votre santé ou autres données sensibles : rendez-vous médicaux, diagnostics médicaux, traitements, antécédents, résultats d'examen, vidéo/photographies, données génétiques, données ethniques, données relatives à votre vie sexuelle, etc.

Échantillons biologiques, leurs résidus et données associées.

Autres données collectées automatiquement :  notamment via l'utilisation d'outils connectés, du site internet, et la vidéoprotection.

Certaines données peuvent également nous être transmises par des organismes tiers, tels que votre médecin traitant ou le médecin qui vous a adressé au CHUGA, les organismes d'Assurance Maladie via votre Carte Vitale, les mutuelles, etc.

Le CHU Grenoble Alpes (CHUGA) collecte et traite vos données à caractère personnel et vos données de santé sur la base des fondements juridiques suivants :

Missions d'intérêt public : Le CHUGA s'appuie principalement sur l'exercice de ses missions d'intérêt public, qui incluent notamment la prise en charge des patients, la recherche en santé et l'optimisation des politiques de soins.

Consentement : dans certains cas spécifiques, notamment pour des projets de recherche particuliers, le CHUGA peut demander votre consentement écrit pour traiter vos données.

Il est important de noter que la collecte de ces données n'est pas obligatoire et n'affectera en aucun cas votre prise en charge médicale ou votre relation avec l'équipe soignante. Vous trouvez toutes les informations concernant la recherche au CHUGA, ainsi que vos droits informatiques et libertés en cliquant ici.

Le respect d'une obligation légale : certaines de vos données sont traitées par le CHUGA pour répondre à ses obligations légales, notamment la constitution du dossier médical, la gestion des demandes des droits RGPD des personnes concernées.

L'exécution des relations contractuelles avec le CHUGA : vos données sont nécessaires à l'exécution du contrat auquel vous avez souscrit ou vous souhaitez souscrire, ou à l'exécution de mesures précontractuelles.

La sauvegarde des intérêts vitaux : vos données sont susceptibles d'être traitées à des fins de sauvegarde de vos intérêts vitaux ou de ceux d'une autre personne physique.

Les intérêts légitimes du CHUGA : le CHUGA pourra traiter vos données personnelles aux fins de poursuite de son intérêt légitime, notamment pour assurer sa mission de pilotage, répondre à vos demandes et assurer la sécurité des biens et des personnes.

Le CHU Grenoble Alpes (CHUGA) conserve vos données pour la durée requise pour atteindre les objectifs spécifiques de leur collecte, cette période est prolongée pour respecter les délais de prescription légaux applicables.

Les durées de conservation varient selon le type de données et la situation, conformément aux durées légales en vigueur :

• Dossier médical : conservé pendant 20 ans à compter de la date du dernier séjour ou de la dernière consultation du patient dans l'établissement.
• Dossier de transfusion sanguine : conservé pendant 30 ans.
• Dossier médical en cas de décès : conservé pendant 10 ans après le décès.
• Dossier médical d'un mineur : conservé jusqu'au 28e anniversaire du patient.
• Dossier pharmaceutique : conservé pendant 15 ans en base intermédiaire.
• Données de dépistage organisé du cancer : conservées jusqu'à la fin du suivi décidé par le patient ou son médecin.
• Vigilances sanitaires : conservées pendant la durée d'utilisation courante, avec une durée maximale de 70 ans après le retrait d'un produit du marché.
• Réalisation des statistiques : les données sont anonymisées ou agrégées.
• Recherches scientifiques : les données peuvent être conservées jusqu'à la mise sur le marché du produit étudié ou jusqu'à deux ans après la dernière publication des résultats de la recherche, puis archivées conformément à la réglementation en vigueur.
• Gestion des réclamations légales : les informations personnelles sont conservées pour une durée conforme aux dispositions légales actuelles.
• Communications et d'informations : votre adresse e-mail est conservée jusqu'à votre désinscription.
• Traitement des demandes liées aux droits RGPD : les données sont conservées pendant l'examen de votre requête, puis archivées pour une durée de 5 ans, conformément aux délais de prescription légaux.
• Système de vidéoprotection : les enregistrements sont conservés pour une durée maximale de 30 jours. Seules les personnes habilitées y ont accès.

L'accès à vos données personnelles n’est accordé que sur la base du besoin d'en connaître aux professionnels de santé et autres professionnels de l’établissement, et dans le respect des réglementations en vigueur sur la protection des données personnelles. 

Ces professionnels sont soumis au secret médical et/ou professionnel et n'ont accès qu'aux données personnelles qui sont nécessaires dans le cadre de leurs missions. 

Dans ce cadre, le CHUGA peut être amené à partager vos informations personnelles avec différentes entités, uniquement lorsque cela est nécessaire pour accomplir ses missions :

Au sein de l'établissement : équipe soignante, dans le strict respect du secret professionnel, et services administratifs et techniques du CHUGA.

Partenaires de recherche : laboratoires de recherche internes et institutions collaboratrices (Institut de Recherche pour le Développement, Université Grenoble Alpes, INSERM, CNRS, etc.). Dans certains cas, vos données sont partagées avec les registres ayant une finalité de soins et/ou une finalité de recherche (SNDS, BAMARA, registres nationaux des cancers).

Organismes publics et autorités : notamment Trésor Public, Agence Régionale de Santé, Ministère de la Santé, Assurance Maladie (obligatoire et complémentaire), et institutions judiciaires, le cas échéant.

Partenaires externes : établissements de santé, Groupement de coopération sanitaire (GCS), Groupement d’intérêt économique (GIE) et les autres structures sanitaires dans le cadre d’une prise en charge médicale (groupe d’imagerie du Mail, Dossier Patient Partagé Régional, etc.).

Prestataires externes : prestataires de services agissant pour le compte du CHUGA dans le respect du RGPD, et partenaires industriels et académiques, dans le cadre de projets spécifiques.

Votre épisode de soin peut également nécessiter la coordination de plusieurs établissements du Groupement Hospitalier de Territoire auquel appartient le CHUGA. A cette fin, vos données peuvent être transmises aux établissements membres de ce groupement impliqués dans votre prise en charge.

Enfin, le CHUGA utilise des services de communication électronique et services régionaux e-santé, en lieu et place de la correspondance par voie postale, et notamment :

• MonSisra : qui est un outil permettant d’échanger de façon sécurisée vos données personnelles avec d’autres professionnels de santé et professionnels ou structures des secteurs sanitaire, social, et médico-social, intervenant dans votre prise en charge. Seuls les professionnels participant à votre prise en charge peuvent accéder à ces informations, après s’être dûment authentifiés. Pour plus d’information sur les services du GCS SARA, vous pouvez consulter MonSisra, messagerie sécurisée de santé - GCS Sara . 
• MES : Mon Espaces Santé qui est un service public vous permettant de stocker et partager les documents et les données de santé en toute sécurité. Pour plus d’information, vous pouvez consulter Mon espace santé - CHU Grenoble Alpes
• MyChuga est un service proposé par le CHU Grenoble Alpes vous permettant d’accéder à vos documents et rendez-vous en ligne Se connecter à son espace patient MYCHUGA

De même, le CHUGA peut être amené à consulter et/ou alimenter votre DMP (dossier médical partagé) dès lors que vous l’avez créé ou que vous ne vous êtes pas opposés à sa création. L’objectif étant de faciliter votre prise en charge et son suivi. Ces dispositifs relèvent de la politique de santé publique nationale.

Dans le respect du cadre légal applicable, vos informations pourront également être traitées via des solutions numériques intégrant des algorithmes d’intelligence artificielle afin d’améliorer la précision et l’efficacité des diagnostics médicaux rendus par les professionnels de santé, contribuer à l’identification de traitements appropriés ainsi qu’aider à la gestion et au pilotage de l’activité de l’établissement.

Ces outils intégrant de l’IA sont utilisés comme des outils d’aide à la décision et à la pratique professionnelle, ils ne se substituent jamais à l’analyse et au jugement clinique du professionnel de santé. Toute décision médicale vous concernant reste prise par les professionnels de santé appartenant à votre équipe de prise en charge, qui demeurent seuls responsables des décisions et du suivi des patients.

Ces outils sont notamment déployés dans le domaine de l’imagerie pour analyser des images médicales telles que les radiographies, les IRM ou des scanners, ou en radiothérapie pour le contourage des tumeurs. Les algorithmes d'IA peuvent ici aider les médecins à détecter ou prédire les anomalies et les maladies, par exemple en identifiant des tumeurs, des fractures ou d'autres pathologies.

D’autres outils peuvent être utilisés pour l’automatisation de certaines tâches comme la transcription de votre consultation médicale, transmission de comptes rendus médicaux, et d’autres cas d’usages dans le cadre de la recherche médicale.

Notre établissement et ses partenaires s’assurent que ces systèmes soient utilisés dans un cadre règlementaire strict, respectueux des normes éthiques, de la protection des données personnelles et de la confidentialité. Les données de santé utilisées font l’objet de mesures de sécurité renforcées et sont traitées conformément à la règlementation en vigueur.

Le CHUGA dispose d’un Entrepôt de Données de Santé (EDS) regroupant les données produites lors de votre prise en charge. Cet outil peut être utilisé pour des projets de recherche ou de pilotage de l’établissement. Le site internet du CHUGA présente les modalités d’utilisation de l’EDS et la liste des projets autorisés. Pour plus d'informations, vous pouvez consulter la page Entrepôt de Données de Santé (EDS) - CHU Grenoble Alpes.

Les données de votre dossier médical ainsi que vos échantillons, ou ceux de votre enfant, peuvent être utilisés, sauf opposition de votre part, à des fins scientifiques, de validation de méthode ou d’enseignement. Pour plus d'informations, vous pouvez consulter la page La recherche au CHUGA - CHU Grenoble Alpes.

Vous pouvez consulter la liste complète des projets de recherche sur la page : Projets de recherche - CHU Grenoble Alpes

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, le CHUGA s'engage à prendre toute mesure nécessaire pour réduire ce risque, notifier l'incident à la CNIL dans les 72 heures et informer les personnes concernées dans les meilleurs délais.

Vous disposez de plusieurs droits sur vos données personnelles :

Droit d'accès : vous pouvez demander l'accès à l'ensemble des données et informations détenues par le CHUGA. Notre établissement met à votre disposition une page dédiée afin de faciliter l’accès à votre dossier médical : Mon dossier médical - CHU Grenoble Alpes (chu-grenoble.fr)

Droit de rectification : vous pouvez obtenir du CHUGA, dans les meilleurs délais, la rectification des données vous concernant qui seraient inexactes ou erronées.

Droit à l'effacement : en règle générale, le CHUGA est légalement tenu de conserver vos données de santé pendant une durée déterminée. Cependant, sauf exceptions légales, vous pouvez demander l'effacement de vos données dans les meilleurs délais si vous estimez que leur traitement n'est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées. Le CHUGA examinera votre demande en tenant compte des exceptions légales et des durées de conservation obligatoires applicables aux données de santé.

Droit à la portabilité : ce droit s'applique uniquement aux données traitées sur la base de votre consentement ou dans le cadre d'un contrat. Dans ces cas spécifiques, vous avez la possibilité de récupérer une partie de vos données dans un format ouvert et lisible par une machine ou de demander au CHUGA de les transmettre à un autre organisme.

Droit d'opposition : vous avez le droit de vous opposer à l'utilisation de vos données personnelles pour un objectif spécifique. Ce droit peut s'appliquer, entre autres, à la réutilisation de vos données dans le cadre de la recherche. Cependant, il est important de noter que le droit d'opposition n'est pas applicable dans tous les cas, notamment lorsque des obligations légales ou des intérêts publics prévalent.

Droit à la limitation du traitement : vous pouvez demander au CHUGA de conserver vos données sans pouvoir les utiliser, notamment si vous en avez besoin pour la constatation, l'exercice ou la défense de droits en justice.

Droit de retirer votre consentement : lorsque le traitement de vos données personnelles est fondé sur votre consentement, vous avez la possibilité de retirer, à tout moment, votre consentement.

Droit de donner des directives anticipées : vous avez la possibilité de définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès. Pour plus d’information vous pouvez consulter notre page dédiée : Directives anticipées - CHU Grenoble Alpes (chu-grenoble.fr).

Pour exercer ces droits, vous pouvez contacter le délégué à la protection des données (DPO) à l’adresse suivante :

• Par courrier : protection-donnees@chu-grenoble.fr
• Par courrier : 
  • CHU Grenoble Alpes, 
  • Délégué à la protection des données
  • CS 10217, 
  • 38043 Grenoble CEDEX 9

Droit d'introduire une réclamation auprès de la CNIL : si vous considérez que vos droits ne sont pas respectés ou que la protection de vos données n'est pas assurée conformément au RGPD, vous pouvez introduire une réclamation auprès de la CNIL.