Protection des données

Logo Caledobio

Politique générale
de protection
des données du
Groupe CALEDOBIO


Collecte des données
personnelles

Le groupe de laboratoires CALEDOBIO recueille auprès de ses patients des données personnelles indispensables à la bonne exécution des analyses en respect des nombreux textes légaux ou obligations réglementaires applicables à l’activité de laboratoire d’analyses médicales et des recommandations de la CNIL auxquelles vient s’ajouter maintenant le Règlement Européen de Protection des Données (RGPD).

En accord avec ces exigences, CALEDOBIO s’engage à respecter :

  • le principe de minimisation et d’exactitude en recueillant des données personnelles adéquates, exactes et seulement celles qui sont nécessaires à la finalité de la mission de laboratoire de biologie médicale.
  • le principe de limitation de la conservation des données dans un environnement de confidentialité, de sécurité, pour une durée déterminée conforme à la législation en vigueur et variable selon la nature des données.
  • le principe de suppression des données au-delà du temps obligatoire de conservation

Nature des traitements des
données et des mesures de
sécurité

Traitements

CALEDOBIO recueille les données personnelles de ses patients et les traitent pour des finalités inhérentes à son activité de laboratoire de biologie médicale, les principaux traitements étant :

  • le droit d’information à dispenser au patient par le laboratoire au préalable de l’étape de recueil, sur la nature des données collectées, la finalité de leur utilisation ainsi que celle des échantillons biologiques prélevés.
  • Enregistrement des prescriptions d’analyses et constitution du dossier patient
  • Enregistrement de la “fiche de suivi médical » avec renseignements cliniques
  • Gestion des rendez-vous
  • Transmission de prélèvements aux fins d’analyses vers d’autres laboratoires spécialisés ou non
  • Gestion des analyses sur les plateaux techniques et production des comptes rendus de résultats
  • Diffusion des résultats par voie électronique ou matérielle par courrier aux professionnels de santé prescripteurs en ville ou en établissements de soins
  • Mise à disposition des patients des comptes rendus au format papier ou pdf sur serveur web sécurisé
  • Constitution des lots et télétransmission des feuilles de soins électroniques
  • Suivi du règlement des factures et mise en contentieux si nécessaire
  • Réalisation d’études statistiques à usage interne
  • Participation à des études épidémiologiques ou scientifiques
  • Réponses aux demandes officielles d’autorités autorisées
Données

Pour cela CALEDOBIO recueille les données personnelles suivantes :

  • Identité du patient : nom, prénom, date de naissance, sexe, adresse, numéros de téléphone fixe ou portable, adresse mail;
  • numéro CAFAT ou aide médicale et taux de prise en charge (régime d’exonération, durée de validité des droits) pour l’édition des feuilles de soins et la télétransmission aux organismes assurant la gestion du régime d’assurance maladie dont il dépend ;
  • santé : prescriptions médicamenteuses ou de traitements divers, identité du préleveur externe, coordonnées des médecins traitants, renseignements biologiques, cliniques et thérapeutiques, antécédents, traitements en cours ;
  • informations relatives aux habitudes de vie avec l’accord du patient et uniquement si elles sont nécessaires à la réalisation ou à l’interprétation des examens demandés.

Mesures de sécurité

CALEDOBIO s’engage à renforcer la sécurité des systèmes d’informations qu’il détient en propre ou via ses sous-traitants et à mettre en œuvre les mesures correspondantes aux exigences de sécurité suivantes

  • pour le traitement des données : dès la conception des traitements avant leur mise en œuvre lors de tests et de l’évaluation des risques potentiels (protection by design) ou pour les traitements déjà en cours lors de l’étude d’impact (PIA) sur la vie privée des personnes concernées
  • pour l’accès aux données : seulement réservé aux personnels habilités et selon leur fonction dans le laboratoire en appliquant le principe de moindre privilège.
  • pour l’authentification des intervenants utilisateurs à l’aide de dispositifs d’authentification sécurisés (identifiant, mot de passe, certificat)
  • pour l’intégrité des données par la mise en place d’une traçabilité permanente des accès aux données, avec conservation des traces et des moyens de supervision des accès
  • pour les transferts électroniques des données par la mise en œuvre de flux chiffrés garantissant la confidentialité et l’intégrité à l’aide de moyens conformes à l’état de l’art (VPN SSL, FTPS, Web sécurisé https), d’échanges via messageries sécurisées type MSS validés par des conventions de preuve.
  • pour la sauvegarde des données et la continuité de l’activité en mettant en place des procédures de sauvegarde adaptées, avec tests de restauration, des modalités de suppression effective de données; en programmant un plan de reprise ou de continuité d’activité (PRA,PCA) permettant d’assurer une continuité de service même en conditions de situation dégradée.

Enfin au-delà des seules exigences de protection de données personnelles de ses patients CALEDOBIO s’engage plus largement :

  • à prendre en compte l’ensemble des mesures nécessaires à la supervision de tous les systèmes d’information au sein du laboratoire
  • à sécuriser les postes de travail à l’aide des moyens appropriés (pare-feu, anti-virus) en interne mais aussi dans le cadre de la mobilité pour les postes nomades, limitation d’accès et politique de mot de passe
  • à sécuriser les procédures de la maintenance informatique (suivi des interventions, revue des contrats fournisseurs, inventaire et suivi du matériel périphérique, politique de mise à jour de logiciel métier et bureautique)
  • à sécuriser le réseau interne
  • à sécuriser les locaux (salle info, accès, badges, détection incendie et alarmes intrusion)

Incidents et violations
de données

CALEDOBIO respectera l’obligation de notification aux autorités compétentes de toute situation de violation de la sécurité pouvant entrainer accidentellement ou non, la destruction, perte, altération ou divulgation non autorisée de données à caractère personnel.

Après évaluation des risques encourus et de l’impact des conséquences éventuelles de l’incident sur la vie personnelle des patients, les procédures mises en place devront permettre d’établir une déclaration dans les délais requis et d’avertir les patients concernés.