Conditions générales d'utilisation (CGU)

Identification électronique par Pro Santé Connect

Pro Santé Connect est un téléservice mis en œuvre par l’Agence du Numérique en Santé (ANS) contribuant à simplifier l’identification électronique des professionnels intervenant en santé. L’utilisateur peut se connecter grâce à son application mobile e-CPS ou sa carte CPS, avec un lecteur de cartes et les composants nécessaires.

RGPD

Le Règlement Général sur la Protection des Données (RGPD) est la nouvelle réglementation européenne en matière de protection des données personnelles. Il s’applique à toute entreprise ou organisme, publique ou privée, qui collecte et traite des données dont l’utilisation peut directement ou indirectement identifier une personne physique.

En utilisant nos solutions logicielles pour la collecte et le traitement de données qui concernent des personnes physiques, nous vous garantissons la conformité de notre société et de ses solutions logicielles à cette nouvelle réglementation.

Voici une synthèse de ce que CERIG a mis en place pour se conformer à cette nouvelle réglementation et de ce que vous devez réaliser pour vous mettre en conformité par l’utilisation de nos logiciels.

CERIG en conformité avec le RGPD
  • 1/ Notre organisation orientée vers le respect du RGPD pour les données vous concernant

    Nous assurons en tout temps un niveau de sécurité informatique et organisationnel optimal pour l’accès aux données vous concernant : limitation d’accès pour nos collaborateurs, engagement de confidentialité, protection systématique par mots de passe, protocole de sécurité et accès sécurisés aux serveurs, communications restreintes, etc.

    Les données vous concernant ne sont traitées que pour les seules finalités désignées au contrat qui nous lie à votre entreprise ou organisme. A cette fin, nous nous engageons à ne jamais communiquer à des tiers les données vous concernant lorsque cette communication n’est pas expressément autorisée par vous ou nécessaire à l’exécution de votre contrat.

    Nous vous informons que vous bénéficiez d’un droit d’accès, de rectification, de portabilité, d’effacement ou un droit de demander la limitation du traitement des données vous concernant.

    Vous pouvez également vous opposer au traitement des données vous concernant et disposez du droit de retirer votre consentement à tout moment en vous adressant à notre service clients, dont les coordonnées figurent dans votre contrat.

  • 2/ Renforcer la sécurité informatique de nos solutions logicielles

    Chacun de nos logiciels implique à un niveau différent la collecte, l’utilisation, le stockage et la consultation de données personnelles, dont certaines peuvent avoir un caractère sensible. Nous avons attentivement et scrupuleusement mis en place les protocoles de sécurités, d’identification des utilisateurs et de gestion des droits d’accès, de paramétrage des données traitées et de leur archivage, afin de vous assurer le plus haut niveau de sûreté concernant les données personnelles que vous traitez.

    Nous travaillons en permanence à l’amélioration et au renforcement de nos processus et systèmes afin de réduire au maximum le risque d’accessibilité des données que vous traitez à des tiers malveillants.

  • 3/ Désigner un Délégué à la Protection des Données (DPD)

    Même si nous ne remplissons pas les conditions légales, nous avons nommé un DPD afin d’assurer en permanence que le traitement de nos données clients et de nos solutions logicielles soient en conformité avec le RGPD. Celui-ci est notamment chargé d’établir et mettre à jour le registre des activités de traitement et assurer une veille juridique et technologique sur l’ensemble des sujets se rapportant à la protection des données personnelles.

  • 4/ La conformité au RGPD dès la conception de nos logiciels et leur mises à jour

    Dès la conception de nos futurs logiciels ou de nos futurs mises à jour, nous mettons en place les moyens techniques et organisationnels pour la protection de la vie privée de vos clients et usagers, pour respecter les exigences du RGPD appelées Privacy by Design et Privacy by Default, en :
    • vous donnant la possibilité de limiter la manipulation et la conservation des données personnelles de vos clients et usagers ;
    • optimisant en permanence les systèmes de sécurités de nos logiciels, en préservant l’environnement simple et ergonomique de nos interfaces ;
    • vous aidant à identifier les données dites « sensibles » pour vous permettre d’analyser la licéité du traitement et d’adapter votre politique de sécurité et de traitement spécifique ;
    • traçant les demandes des clients finaux par rapport aux exigences RGPD (date d’obtention du consentement, exercice des droits, etc.)

    De plus, pour les clients que nous hébergeons, nous nous engageons à leur communiquer dans les plus brefs délais toute détection d’accès malveillant. Ils pourront ainsi déclencher leur plan d’actions associé en tant que responsables du traitement.

  • 5/ Mise en conformité de notre écosystème

    Nous garantissons que l’ensemble de nos collaborateurs sont formés à la gestion de ces données et sont tenus de garantir la confidentialité et la sécurité des données personnelles qu’ils traitent.

    Nous nous assurons également que notre écosystème de partenaires et de prestataires soit conforme à la législation en vigueur (sécurisation et conformité de nos fournisseurs et sous-traitants).

    Enfin, nous ne transférons aucune donnée à caractère personnelle en dehors de l’Union Européenne.

    En utilisant nos solutions logicielles, vous vous assurez de disposer d’outils informatiques en conformité avec le RGPD.

Votre conformité au RGPD

En tant que client actuel et futur, si vous utilisez nos solutions logicielles pour collecter et traiter des données personnelles, vous devez veiller en permanence à être et rester en conformité avec le RGPD. Voici nos 6 conseils pratiques
  • 1er conseil : Désigner un DPD

    La nomination d’un Délégué à la Protection des Données personnelles (DPD ou DPO pour « Data Protection Officer »), est au coeur de la réforme.

    La désignation d’un DPD est obligatoire si :
    • Vous êtes une autorité ou un organisme public ;
    • votre activité de base vous conduit (du fait de la nature, portée et/ou finalité de vos activités) à effectuer un suivi régulier et systématique des personnes à grande échelle ;
    • ou encore, votre activité de base vous amène à traiter à grande échelle des données dites « sensibles » ou qui ont trait à des condamnations et infractions pénales ; pour mémoire, sont considérées comme des données sensibles, notamment, les données génétiques, biométriques, ou afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale.

    Il est possible de désigner un DPD volontairement même lorsque les critères susvisés ne sont pas remplis.

    Le DPD apparaît comme un réel « chef d’orchestre » principalement chargé d’informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi les employés.

    Concrètement, il lui appartient de s’informer sur les nouvelles obligations, d’assister les décideurs sur les conséquences des traitements, d’en réaliser l’inventaire, de concevoir des actions de sensibilisation et de piloter en continu la conformité. Il doit être impliqué correctement et en temps utile dans toutes les problématiques liées à la protection des données à caractère personnel. A ce titre, les ressources et le temps nécessaires à l’accomplissement de ses missions et à l’entretien de ses connaissances spécialisées doivent impérativement lui être donnés.

    Bien qu’il soit autorisé à exercer d’autres fonctions, le DPD doit être indépendant et ne pas être placé en situation de conflit d’intérêts. Il est soumis à une obligation de confidentialité.

  • 2ème conseil : Cartographier les données que vous traitez avec nos logiciels ou non

    Vous devez recenser de façon précise vos traitements de données personnelles dans un registre des activités de traitements.

    Dans ce registre doivent apparaître les éléments suivants :
    • Les différents traitements de données personnelles : Réalisez une analyse précise des opérations effectuées à caractère personnel comme la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion et l’effacement ou la destruction.
    • Les catégories de données personnelles : il peut s’agir d’un nom, d’un numéro de sécurité sociale, d’une donnée concernant la santé, l’état psychologique, génétique, économique, culturelle ou sociale, etc. Cette catégorisation doit permettre notamment d’identifier les données strictement nécessaires aux finalités de traitement, mais aussi d’isoler les données dites « sensibles » définies ci-avant.
    • L’objectif du traitement des données personnelles : vous devez définir la finalité de chacune de vos opérations pour lesquelles vous collectez sur nos logiciels des informations personnelles, comme la gestion de droits sociaux d’administrés, l’hébergement de personnes, le suivi de leur état de santé, etc.
    • Les acteurs concernés et les flux de données : enfin, vous devrez identifier les acteurs internes et externes qui traitent la donnée comme les prestataires sous-traitant afin d’actualiser les clauses de confidentialité et les flux en indiquant l’origine et la destination des données et identifier les éventuels transferts de données hors de l’Union Européenne.

  • 3ème conseil : Déterminer les actions à engager pour la protection des données personnelles

    Sur la base de votre registre des activités de traitement, assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées, que vous le fassiez à l’aide de nos logiciels ou non.

    Pour ce faire, vous devez identifier la base juridique sur laquelle se fonde votre traitement (par exemple : consentement écrit de la personne, intérêt légitime, contrat, obligation légale), réviser vos mentions contractuelles ou d’information afin qu’elles soient conformes aux exigences du RGPD, vérifier que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités et que vos clients et usagers connaissent leurs droits et leur modalités d’exercice (droit d’accès, de rectification, de suppression, à la portabilité, retrait du consentement…) et vérifier les mesures de sécurité mises en place.

  • 4ème conseil : Gérer les risques

    Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devez mener, pour chacun de ces traitements, une étude d’impact sur la protection des données (en anglais, Privacy Impact Assessment ou PIA). Pour cela, vous devez bâtir un traitement de données personnelles respectueux de la vie privée, apprécier les impacts sur la vie privée des personnes concernées et démontrer que les principes fondamentaux du règlement sont respectés.

  • 5ème conseil : Organiser les processus internes

    Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes, démontrant la prise en compte de la protection des données à tout moment.

    Pour cela, il faudra sensibiliser, organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs, leur faire signer un engagement de confidentialité, traiter les réclamations et les demandes des personnes exerçant leurs droits, en définissant qui intervient et selon quelles modalités.

    Et enfin, anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données (la CNIL) dans les 72 heures et aux personnes concernées dans les meilleurs délais, sous peines d’amendes administratives.

  • 6ème conseil : Documenter votre mise en conformité

    Pour prouver votre conformité au RGPD, vous devez constituer et regrouper la documentation relative aux actions et documents que vous avez mis en place (registre de traitement, solutions mises en place après une analyse d’impact, contrats mis à jour, etc.).

Clause de portabilité financés dans le cadre de la Prestation Ségur (DSR-MS1-DUI-Va1)

La mise à disposition des données se fera dans un délai de 90 jours calendaires à partir de la demande formelle du Client final, sans surcoût pour ce dernier. Le Client peut effectuer cette demande par écrit ou dans un espace client. Cette clause ne vient pas se substituer aux éventuelles conditions de réversibilité déjà présentes dans le contrat liant CERIG et le Client final. CERIG garantit que cette clause de portabilité est valable pour la durée restante du contrat support, dans la limite de six années. Cette durée s’entend en incluant les éventuels renouvellements de contrat ultérieurs à la commande de la Prestation Ségur.

NB : Ce document a pour objectif de remplir nos obligations de conseil en qualité de professionnel de l’informatique. Elle n’a pas vocation à constituer une consultation juridique et d’être exhaustive quant à l’application du RGPD. Elle ne saurait générer des obligations pour CERIG autres que celles contractuellement conclues.