Conditions générales d’utilisation du GCS SARA

Préambule :

 

Définitions

Plateforme Sara : désigne l’ensemble des applications hébergées et interconnectées, opérées par le GCS Sara, formant un ensemble de service de e-santé à destination des professionnels de santé.

Services Sara : désigne l’ensemble des applications accessibles sur le site internet du GCS Sara et définis ci-après et mis en œuvre sous la responsabilité du GCS Sara.

Partenaires Sara : applications accessibles à partir de la plateforme Sara.

Utilisateur : tout professionnel de santé (exerçant au sein d’une structure libérale ou d’un établissement de santé, enregistré auprès de son ordre professionnel ou de son autorité d’enregistrement, et les structures, services ou PMSI), une secrétaire médicale, un assistant médico-administratif qui possède un compte d’accès au portail Sara.

Donnée personnelle : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »).

Données de santé : les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne. Personnes concernées : la personne à laquelle se rapportent les données personnelles traitées. En l’espèce les professionnels de santé et les patients concernés par l’utilisation des services du GCS Sara.

Réglementation applicable à la protection des données personnelles : désigne toute réglementation applicable aux Données personnelles et en particulier le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des Données personnelles et à la libre circulation de ces données (règlement général sur la protection des données) ainsi que la loi Informatique et libertés modifiée.

Responsable de traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

 

Présentation des services

Les services offerts par le GCS Sara se décomposent en trois types de services :

• des services dont le GCS Sara assume la responsabilité ;
• des services dont Sara assume la responsabilité avec d’autres structures de santé ;
• des services opérés par des partenaires tiers, qui sont accessibles via le portail du GCS Sara.

La responsabilité de ces services inclut celle visée à l’article 4 du RGPD dans la mesure où ils impliquent la mise en œuvre de traitements de données à caractère personnel définis à l’article 4 des Conditions Générales d’Utilisation.

Lorsque vous utilisez nos services, vous acceptez l’intégralité des présentes conditions.

Une mise à jour des présentes Conditions Générales d’Utilisation peut être rendue nécessaire par l’évolution des services du GCS Sara. En cas de mise à jour des Conditions Générales d’Utilisation, la nouvelle version sera mise en ligne sur le Portail Sara et un message d’information comprenant un lien vers les Conditions Générales d’Utilisation sera adressé à l’ensemble des utilisateurs, à leur adresse mail renseignée dans les préférences de l’Utilisateur sur le Portail PS ou lors de la prochaine connexion à un service Sara par l’utilisateur.

 

Article 1       Informations éditoriales

Le présent site est édité dans le cadre du Groupement de coopération sanitaire Plateforme Sara Systèmes d’information de Santé en Auvergne Rhône-Alpes, GCS de moyens de droit privé à but non lucratif autorisé par arrêté de l’Agence Régionale de Santé.

Siège social :

GCS Sara

24 allée Evariste Galois

63170 Aubière

Site : www.sante-ara.fr

Contact : contact@sante-ara.fr

 

Article 2       Organisation et description des services

2.1          Organisation

1. Le GCS Sara

Les applications Sara ont été réalisées par les équipes du GCS et par ses membres fondateurs.

Les fondateurs du GCS Sara sont :

• le Centre de Lutte Contre le Cancer Léon-Bérard,
• le Centre de Lutte Contre le Cancer Jean Perrin,
• le Centre Hospitalier Universitaire de Grenoble,
• le Centre Hospitalier Universitaire de Saint-Etienne,
• le Centre Hospitalier Universitaire de Clermont Ferrand,
• les Hospices Civils de Lyon,
• le Réseau Régional de Cancérologie Auvergne Rhône-Alpes
• l’URPS médecins Auvergne-Rhône-Alpes.

 

2. Les partenaires

Élaborés avec des professionnels de santé de la région Auvergne-Rhône-Alpes et en concertation avec les représentants des usagers de santé, ces services ont été réalisés en partenariat avec :

• l’Agence Régionale de Santé Auvergne-Rhône-Alpes,
• France Assos Santé,
• les Unions Régionales des Professionnels de Santé : URPS Médecins ; URPS Pharmaciens ; URPS Infirmiers,
• le Conseil Régional de l’Ordre des Médecins,
• les Conseils départementaux de la région.

2.2          Description des services

2.2.1       Les services proposés par le GCS Sara

Dans les présentes, les « services Sara » renvoient à :

• Le Portail PS (ou Portail des Professionnels de Santé),
• Le Dossier Régional de Santé,
• STIC (Serveur de rapprochement d’identités patient),
• ZEPRA (ou Zéro Echange Papier en Rhône-Alpes),
• MonSisra et ses versions Web et Mobile,
• MesPatients,
• le Répertoire Opérationnel des Ressources,
• le Dossier Communiquant de Cancérologie ONCO AURA,
• la Téléconsultation,
• Nuage,
• BHRe,
• la Passerelle Santé.

 

Il est rappelé qu’il s’agit de services non-commerciaux et non-lucratifs. Ces services sont guidés par le souci d’amélioration des parcours de santé. Le recours aux services Sara implique l’acceptation sans réserve des dispositions suivantes tenant lieu de Conditions Générales d’Utilisation des services Sara. Ces services sont mis en œuvre dans le cadre des traitements dont Sara est responsable, co-responsable ou sous-traitant au sens de l’article 4 du RGPD.

 

1.      Portail PS

Le Portail Professionnel de Santé, ou « Portail PS », est un point d’accès unifié à l’ensemble des services et applications proposés par le GCS Sara. Accessible depuis le site internet www.sante-ra.fr/leportail, ce portail est destiné à tous les professionnels de santé munis d’une carte de la famille CPS ou par accès par mot de passe à usage unique (OTP), ou d’un équivalent au sens de la Politique Générale de Sécurité des Systèmes d’Information de Santé.

 

2.      Dossier Régional de Santé

Le Dossier Régional de Santé est un service de partage d’informations de santé entre les professionnels des établissements, des cabinets médicaux, des réseaux de soins et des autres structures de santé.

Il permet à tout professionnel de santé autorisé par le patient d’accéder, dans le cadre de sa prise en charge et en fonction d’une grille d’habilitation, à l’ensemble des données de santé partagées par les professionnels de santé de la région Auvergne-Rhône-Alpes.

 

3.      MSS ZEPRA

Le service ZEPRA, intégré à l’Espace de confiance des Messageries sécurisées de santé (MS Santé), constitue une aide aux professionnels de santé pour assurer leurs obligations de transmissions d’informations entre professionnels de santé. Ce service permet l’échange d’informations structurées ou non autour d’une identité de patient entre tous les professionnels de santé de la région, quel que soit leur mode d’exercice (en cabinet libéral ou en établissement de santé), par voie informatique, fiable et sécurisée, et proposant un service interopérable avec d’autres systèmes de gestion des données de santé.

 

4.      MonSisra

Le service MonSisra est une application fixe, mobile et web.

Pour sa version fixe, son installation est réalisée à partir d’un moyen d’authentification forte (carte CPX pour les professionnels pouvant en bénéficier ; mot de passe à usage unique OTP reçu par mail ou téléphone pour les autres catégories d’utilisateurs). Lors de cette installation, un « enrôlement » du poste de travail est réalisé permettant ensuite un accès par certificat électronique couplé à un mot de passe pour une durée définie par défaut ou jusqu’à révocation du certificat. A l’expiration de ce délai, le moyen d’authentification forte sera de nouveau demandé pour son renouvellement.

Pour sa version mobile, l’enrôlement du smartphone se fait également au travers d’une première authentification sur le portail Sisra (CPS ou OTP) puis mot de passe couplé à un OTP push non visible par l’utilisateur.

 

5.      MesPatients

MesPatients est un outil support à la coordination de parcours Patients. Pour chaque patient accompagné, l’outil permet un suivi organisé en offrant des fonctionnalités de :

• Gestion des contacts ;
• Saisie de notes, compte-rendu textuels et d’images ainsi que leur restitution ;
• Gestion du planning d’intervention ;
• Gestion d’alertes et de rappels.

 

6.      Répertoire Opérationnel des Ressources

Le Répertoire Opérationnel des Ressources (ROR) est le répertoire de référence de l’offre de soins.

 

7.      Le Dossier Communiquant de Cancérologie (DCC) Onco Aura

L’outil de gestion des RCP (le DCC) permet aux structures (hôpitaux, cliniques…) d’informatiser le processus de passage d’un patient dans une Réunion de Concertation Pluridisciplinaire (RCP). Les RCP peuvent avoir lieu dans différents domaines de spécialité (cancérologie, insuffisance rénale chronique, etc.).

 

8.      ViaTrajectoire

ViaTrajectoire est un service public gratuit, confidentiel et sécurisé qui offre aux professionnels de santé et du médico-social une aide à l’orientation personnalisée dans les domaines sanitaire et médico-social.

 

9.      Téléconsultation

Le service de téléconsultation permet à un professionnel de santé de planifier et réaliser une téléconsultation sécurisée en lien avec un patient dont il est l’un des acteurs du parcours de soins. La téléconsultation fait l’objet de CGU spécifiques.

 

10.  Nuage Santé

Cette plateforme de partage documentaire, Nuage Sante ARA, est mise à disposition gratuitement par le GCS Sara au bénéfice des professionnels de santé utilisateurs des services numériques régionaux. Elle est destinée à des professionnels souhaitant partager au sein d’une communauté d’acteurs des documents (procédures, protocoles, documentation projet, …) sans donnée nominative de santé. Sous conditions, le partage entre professionnels de santé de documents contenant des données nominatives de santé est envisageable sur cette plateforme ; il devra néanmoins faire l’objet d’une analyse de risque au cas par cas, en association entre les professionnels porteurs de projet et leur correspondant au sein du GCS Sara.

 

11.  BHRe

BHRe est une application régionale (Auvergne-Rhône-Alpes) permettant d’assurer l’information des professionnels de santé via une messagerie sécurisée lors de la prise en charge d’un patient porteur de BHRe.

 

12.  Passerelle Santé

La Passerelle Santé est un composant d’interopérabilité de type PFI (plateforme d’intermédiation) mis à disposition des structures de santé de la région. La Passerelle Santé permet l’envoi de documents en messagerie sécurisée de santé (MSS) depuis un logiciel de santé (le GCS Sara étant un des opérateurs agréés par l’ANS en la matière). La Passerelle Santé est également homologuée pour l’alimentation du DMP v1 pour les version 3.5 et au-delà.

 

2.2.2       Les services auxquels le GCS Sara donne accès

Le GCS Sara a mis en œuvre un Espace de Confiance entre les Services qu’il opère et certaines applications tierces opérées par un responsable de traitement partenaire. L’objet de cet espace de confiance est de faciliter l’accès aux différentes applications par le professionnel de santé utilisateur des services en lui permettant de s’appuyer sur un compte nominatif et une authentification forte unique.

Pour le bon fonctionnement de cet espace de confiance, certaines données nominatives du professionnel de santé peuvent être transmises à l’application partenaire lorsque le professionnel de santé utilisateur demande un accès à l’application depuis le portail PS (voir article 4 des présentes CGU). Le lien suivant donne accès à un inventaire des applications avec lesquelles un Espace de Confiance est mis en œuvre : www.sante-ra.fr/partenaires-sso.

 

Article 3       Conditions d’utilisation

3.1          L’accès aux services proposés par le GCS Sara

3.1.1       Connexion internet

L’utilisation des services nécessite une connexion à internet.

3.1.2       Navigateur

 

Il est recommandé d’utiliser des versions de navigateurs à jour et plus particulièrement Firefox, Chrome, Microsoft Edge chronium. Le GCS Sara s’engage à maintenir le fonctionnement de ses services sur les versions récentes, mais ne peut garantir le fonctionnement des services SARA sur les versions obsolètes.

 

3.2          Authentification

L’authentification des professionnels de santé accédant aux services du GCS Sara repose sur le système de la carte CPS (ou équivalent au sens de la PGSSIS) et sur l’utilisation d’un accès par mot de passe à usage unique (OTP) garantissant une authentification forte.

Conformément aux conditions d’utilisation de la carte de professionnel de santé, toute utilisation de cette carte par une tierce personne est interdite et est de nature à engager la responsabilité du professionnel de santé titulaire de la carte CPS.

3.3          Identification des patients via le STIC (Serveur Télématique d’Identité Communautaire)

STIC joue le rôle de moteur de gestion de l’identité patient au sein des applications régionales. Il affecte un numéro unique à chaque personne sur la base de ses traits d’identité (nom de naissance, prénom, sexe, date de naissance, code postal de naissance). STIC est nécessaire au fonctionnement des services d’échange et de partage entre professionnels et avec le patient.

Conformément au décret n° 2017-412 du 27 mars 2017 relatif à l’utilisation du numéro d’inscription au RNIPP, STIC intègre l’identifiant national de santé visé à l’article L1111-8-1 du code de la santé publique. En effet, à partir du 1er janvier 2020, le numéro d’inscription au RNIPP (numéro de sécurité sociale) doit être utilisé pour référencer les données de santé et les données administratives de toute personne bénéficiant ou appelée à bénéficier d’un acte diagnostique, thérapeutique, de prévention, de soulagement de la douleur, de compensation du handicap ou de prévention de la perte d’autonomie, ou d’interventions nécessaires à la coordination de plusieurs de ces actes.

3.4 Responsabilité des professionnels de santé pour l’identification des patients

Concernant les informations relatives à l’identité du patient, le professionnel s’engage à mettre en œuvre les exigences et bonnes pratiques décrites dans le référentiel national d’identitovigilance (RNIV) afin de sécuriser l’identification des personnes qu’il prend en charge et le bon référencement des données de santé produites. Le professionnel s’engage en particulier :

– à ne valider une identité que suite à la vérification d’une pièce d’identité à haut degré de confiance,

– à ne transmettre le matricule INS de la personne que dans la mesure où ses traits d’identité ont été recueillis à partir d’une pièce d’identité à haut degré de confiance et si et seulement si l’identité de l’usager a été qualifiée à partir du téléservice INSi proposé par l’assurance maladie.

3.5          Disponibilité du service

Les services GCS Sara sont accessibles 7/7 jours et 24/24 heures à l’exception des arrêts programmés et annoncés sur le portail du GCS Sara, des cas de force majeure, difficultés informatiques, difficultés liées à la structure du réseau de télécommunication ou difficultés techniques. L’indisponibilité du service ne donne droit à aucune indemnité.

3.6         Modifications techniques du service

Le GCS Sara a la faculté de faire évoluer les modalités techniques et matérielles d’accès aux services dans le respect de la législation et des normes en vigueur, sans que cette évolution ne constitue une gêne excessive pour les utilisateurs.

Les Personnes Concernées par le Traitement Concerné sont les usagers de l’Utilisateur, et les professionnels de santé intervenant dans la prise en charge de ces usagers.

 

Article 4       Gestion des données personnelles sur la Plateforme Sara

4.1          Définitions

Donnée personnelle : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »).

Données de santé : les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

Personnes concernées : la personne à laquelle se rapportent les données personnelles traitées. En l’espèce les professionnels de santé et les patients concernés par l’utilisation des services du GCS Sara.

Réglementation applicable à la protection des données personnelles : désigne toute réglementation applicable aux Données personnelles et en particulier le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des Données personnelles et à la libre circulation de ces données (règlement général sur la protection des données) ainsi que la loi Informatique et libertés modifiée.

Responsable de traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

4.2          Responsable de traitement

Le responsable de la collecte et du traitement de vos données personnelles est le GCS Sara, pour les données collectées, soit dans le cadre de la création d’un compte utilisateur, soit à partir des annuaires institutionnels de professionnels, soit lors de la navigation sur sante-ara.fr.

Le GCS Sara s’engage à traiter les Données personnelles et Données de santé en conformité avec la Réglementation applicable à la protection des données personnelles.

Le GCS Sara sous-traite certaines de ses activités pour la réalisation de ses services. Ainsi, l’hébergement des données personnelles est effectué auprès d’un hébergeur certifié pour l’hébergement de données de santé. Le GCS Sara s’engage à ce que ses sous-traitants garantissent le même niveau de sécurité que le sien.

4.3          Nature des traitements

Le GCS Sara traite vos données uniquement dans le but de permettre la construction et le fonctionnement de services à destination des professionnels de santé en proposant :

• un annuaire de professionnels en exercice,
• une authentification forte des utilisateurs.

4.4          Données traitées et finalités des traitements

Les Données personnelles traitées sont :

Données collectées à partir des annuaires de référence (ordres, ASIP Santé, ARS, établissements):

Données	Objet de la collecte
Titre, nom, prénom	Identifier clairement le professionnel de santé dans l’annuaire des professionnels de santé
Adresse postale complète d’exercice	Identifier clairement l’activité du professionnel de santé dans l’annuaire des professionnels de santé
Profession, spécialité	Identifier clairement l’activité du professionnel de santé dans l’annuaire des professionnels de santé
Identifiant national	Identifier clairement le professionnel de santé dans l’annuaire des professionnels de santé. Eviter les doublons.
Adresse messagerie électronique de notification	Prévenir le professionnel de santé en cas d’arrivée d’une information importante dans le cadre de votre exercice professionnel. (information de santé, évènement de coordination,…)
Téléphone fixe : du cabinet, du secrétariat	Afficher selon les  préférences de diffusion du professionnel de santé  ces informations dans l’annuaire des professionnels de santé.
Établissements de santé d’exercice	Identifier clairement l’activité du professionnel de santé dans l’annuaire des professionnels de santé. Permettre l’interopérabilité automatique avec le système d’information de son établissement.

 

Données collectées par saisie de l’utilisateur

Données	Objet de la collecte
Adresse messagerie électronique de contact	Permet d’envoyer le code à usage unique (2ème facteur) et d’envoyer les messages important dans le cadre de vos usages de la plateforme Sara (modifications des CGU, communication officielle, …). Peut être identique ou différente de l’adresse email de notifications destinées aux échanges métiers.
Numéro de téléphone mobile	Permet uniquement d’envoyer le code à usage unique (2ème facteur)
Modalités de prise en charge, matériels et prises en charges spécifiques	Permet d’identifier un professionnel de santé sur la base de ces éléments, via un écran de recherche spécifique

 

Données collectées par le biais de formulaires de contact et d’assistance disponibles sur notre Site :

Données	Objet de la collecte
Nom, prénom, identifiant national	Permet retrouver le compte utilisateur concerné par la demande d’assistance
Adresse e-mail	Permet de recontacter le professionnel de santé dans le cadre de la demande d’assistance uniquement
Numéro de téléphone (optionnel)	Permet de recontacter le professionnel de santé dans le cadre de la demande d’assistance uniquement
Département d’exercice (optionnel)	Permet de faire des statistiques en vue d’améliorer le service rendu
Statut libéral/hospitalier	Permet de faire des statistiques en vue d’améliorer le service rendu

Données collectées à l’occasion de la navigation sur notre Site :

Données	Objet de la collecte
Adresse IP	Géolocalisation imprécise afin de faire des statistiques géographique d’usage de la plateforme Sara.
Cookies	Comptabiliser les accès et effectuer des statistiques, non nominative, de navigation. Conserver l’authentification du professionnel de santé et ainsi redemander une authentification qu’à bon escient. Si les cookies sont refusés, certaines fonctionnalités du Site et des services seront inaccessibles.

 

4.5          Traitement des données de santé

Les données de santé

Les données partagées via les services Sara sont des données de santé à caractère personnel, protégées par le secret professionnel dans les conditions prévues à l’article L.1110-4 du code de la santé publique et dont la violation est réprimée par l’article 226-13 du code pénal.

L’accès aux données des services Sara est exclusivement autorisé aux professionnels de santé authentifiés dans le respect des exigences posées à l’article L 1470-5 du code de la santé publique et selon les modalités décrites dans l’article 3.2 des présentes CGU en exercice, en charge du patient et autorisés à y accéder.

Par principe, le personnel administratif et technique du GCS Sara n’accède pas aux données de santé à caractère personnel hébergées sur son site www.sante-ara.fr. Cet accès est exceptionnellement autorisé dans les cas nécessaires pour les besoins du service et se fait toujours sous la responsabilité du médecin hébergeur.

Les Utilisateurs sont informés que le GCS Sara s’est doté d’un système d’information de pilotage qui lui permet de récolter les données d’activité de ses services. L’objectif des outils de ce système d’information de pilotage est exclusivement :

• d’évaluer l’usage fait des services Sara pour améliorer la qualité du partage des informations entre les professionnels de santé et donc la qualité de la continuité des soins ;
• d’évaluer et de piloter le fonctionnement et la performance des services Sara et de mesurer l’implication et la satisfaction des Utilisateurs.

La responsabilité relative au contenu des données de santé

Sara traite des données qu’il ne produit pas en assurant (i) la sécurité des échanges, (ii) le respect de la réglementation en matière d’accès aux données de santé, (iii) la conservation de l’intégrité des données tout au long de leur cycle de vie.

En acceptant les présentes conditions d’utilisation des services, le professionnel de santé utilisateur s’engage à respecter les usages et la déontologie conformes à sa pratique professionnelle, notamment en ce qui concerne les informations de santé produites ou consultées via les services Sara. Sara n’est en aucun cas responsable du contenu des données de santé produites par les utilisateurs des services.

4.6          La sécurité des données personnelles

Nous mettons en œuvre toutes les mesures de sécurité requises pour protéger vos Données personnelles et en particulier vos données de santé telles que définies dans les référentiels de sécurité prévus à l’article L. 1470-5 du code de la santé publique et notamment :

• le chiffrement des connexions ;
• l’hébergement des Données personnelles de santé auprès d’un hébergeur certifié de données de santé ;
• l’authentification forte des Utilisateurs pour accéder aux Données personnelles ;
• les mesures appropriées pour protéger les Données personnelles contre toute utilisation détournée, accès non autorisé, divulgation, altération ou destruction ;
• la traçabilité des accès.

Ainsi, chaque Utilisateur est invité à mettre en œuvre, sous sa responsabilité, l’ensemble des mesures de sécurité utiles et pertinentes pour les besoins de la protection des accès à son ordinateur ou son équipement portable ou mobile, et à l’ensemble des Données personnelles accessibles sur la plateforme Sara, en particulier vis- à-vis des tiers.

4.7          La conservation des données

Données personnelles

Les Données personnelles utilisées pour les activités d’annuaire et d’authentification sont conservées pendant toute la période d’activité du professionnel et pendant 2 ans après signalement de la fin d’activité.

Données administratives

Les Données personnelles utilisées pour les activités d’assistance, sont conservées pendant une durée de trois ans à compter de leur collecte ou du dernier contact avec le GCS Sara.

Données de navigation

Les cookies et traceurs comportant des données personnelles indirectement nominatives, sur le domaine sante-ara.fr, sont conservées conformément à la réglementation applicable pour une durée de 13 mois.

4.8          Transmission des données

Les données personnelles peuvent être amenées à être rendues visibles ou transférées aux utilisateurs de la plateforme Sara ainsi qu’aux services partenaires de la plateforme (voir Article 2.2.2).

Données	Destinataires	Cas d’usage de la transmission
Données d’identité et d’activités : titre, nom, prénom, identifiant national, profession, spécialité, adresse/établissement d’exercice, types de prise en charge, prises en charges et matériels	Utilisateurs de la plateforme	Consultation de l’annuaire des professionnels de santé
Données de contacts : email de notification, téléphone fixe, téléphone secrétariat (dans le respect de vos préférence de publication champ par champ.)	Utilisateurs de la plateforme	Consultation de l’annuaire des professionnels de santé
Données d’identité et de compte utilisateur : Nom, prénom, identifiant national, profession, niveau d’authentification, canal 2eme facteur (téléphone portable ou email)	Service de la plateforme Sara dont Sara est le responsable de traitement	Demande de connexion au service par l’utilisateur via un clic sur le portail Sara.
Données d’identité et de compte utilisateur : Nom, prénom, identifiant national, profession, niveau d’authentification, canal 2eme facteur (téléphone portable ou email)	Service partenaire de la plateforme Sara dont Sara n’est pas le responsable de traitement.	Demande de connexion au service par l’utilisateur via un clic sur le portail Sara.
Données d’identité et de contact : titre, nom, prénom, identifiant national, profession, spécialité, email	Etablissement de santé	Synchronisation d’annuaires

 

Les informations de notre annuaire pourront être communiquées à l’URPS de la profession de l’utilisateur s’il est en exercice libéral ou à sa structure si l’utilisateur exerce dans un établissement.

Nous ne procédons à aucun transfert de Données personnelles en dehors du territoire Français. Par exception, le GCS Sara pourrait cependant être amené à communiquer à des tiers les Données personnelles qu’elle traite lorsqu’une telle communication est requise par la loi, une disposition réglementaire ou une décision judiciaire, ou si cette communication est nécessaire pour assurer la protection et la défense de ses droits.

4.9          Exercice des droits

Conformément à la Réglementation applicable à la protection des données, les professionnels de santé et les patients disposent d’un droit d’accès, de rectification, d’opposition, d’effacement et d’un droit à la portabilité  des Données personnelles qui les concernent.

A ce titre, tout patient est en droit de demander l’accès aux données de santé le concernant pour autant qu’il ait pu produire une preuve de son identité. Le GCS Sara est alors en droit de transmettre au patient des informations produites ou transmises par le Professionnel de Santé utilisateur via ses Services.

Les personnes concernées bénéficient également du droit d’introduire une réclamation auprès de l’autorité de contrôle, en l’espèce la CNIL.

Droits d’opposition et à l’effacement

Le professionnel de santé peut s’opposer au traitement ou demander l’effacement de ses Données personnelles, c’est-à-dire leur suppression par le GCS Sara.

En cas de résiliation de son compte sur la plateforme Sara, il appartiendra au professionnel de santé de transmettre la demande de suppression à chaque responsable de traitements des services partenaires.

Exercer ses droits

Le GCS Sara a désigné un Délégué à la Protection des Données personnelles (ci-après le “DPO”) auprès de la CNIL, pour témoigner de son engagement en faveur du respect de la vie privée et des droits sur les Données personnelles. Pour toute question en lien avec le traitement des Données personnelles, le professionnel de santé peut contacter le DPO aux coordonnées suivantes :

dpd@sante-ara.fr

Ou

GCS Sara, DPO, 24 allé Evariste Galois 63170 Aubière

 

4.10       Qualification des parties dans le cadre de l’utilisation des Services Sara

Dans le cadre de la mise à disposition et de l’utilisation des Services Sara, le GCS Sara et les Utilisateurs vont être amenés à traiter des Données Personnelles.

Selon le Service Sara concerné, la qualification des parties va varier.

1.S’agissant de l’application MesPatients

Lors de l’utilisation de l’application MesPatients, le GCS Sara et l’Utilisateur vont être amenés à traiter des données des usagers pris en charge et des professionnels de santé, en qualité de responsables conjoints des traitements, car ils déterminent les finalités et les moyens de ces traitements conjointement.

Conformément aux dispositions de l’article 26 du RGPD, le GCS Sara et tout Utilisateur de l’application MesPatients doivent conclure un accord de coresponsabilité ad hoc – en sus des Conditions Générales d’Utilisation – qui définit leurs obligations respectives aux fins d’assurer le respect des règles en matière de protection des données, en particulier la satisfaction des droits des personnes concernées.

2.S’agissant des Services Sara autres que l’application MesPatients

Lors de l’utilisation des Services Sara autres que l’application MesPatients, le GCS Sara et l’Utilisateur vont être amenés à traiter des données des usagers pris en charge et des professionnels de santé. Dans ce cadre, l’Utilisateur va être amené à agir en qualité de responsable du traitement, tandis que le GCS Sara va intervenir en qualité de sous-traitant.

Conformément aux dispositions de l’article 28 du RGPD, le GCS Sara et chaque Utilisateur d’un Service Sara autre que l’application MesPatients, ont conclu un accord de traitement des données. L’accord de traitement des données conclu entre le GCS Sara et l’Utilisateur est reproduit en Annexe 1 des Conditions Générales d’Utilisation, dont il fait pleinement partie.

Article 5       Engagement des Utilisateurs des services du GCS Sara

Article 5a : UTILISATION : Missions et obligation de l’Utilisateur

Lors de la connexion au portail du GCS Sara, l’Utilisateur doit s’authentifier à l’aide sa carte CPS nominative et personnelle, ou à l’aide d’un dispositif d’authentification directe d’un pallier de sécurité équivalent à celui de la carte CPS, reconnu par l’organisme chargé d’émettre la carte de professionnel de santé (http://esante.gouv.fr/sites/default/files/pgssi_referentiel_authentification_v.2.0.pdf).

La connexion au portail du GCS Sara donne accès à l’ensemble des services du portail du GCS Sara. La connexion expire après une période d’inactivité.

L’Utilisateur s’engage à recourir à toutes mesures de sécurité physique, logique et logistique afin d’assurer la sécurité des données consultées et d’empêcher qu’elles ne soient déformées, divulguées à des tiers non autorisés ou utilisées à des fins détournées.

L’authentification par carte CPS est réalisée, après la saisie du code confidentiel lié, par une confrontation entre les données de la carte et le contenu d’un annuaire de professionnels autorisés à se connecter au portail et non-révoqués par l’ASIP Santé.

En cas de perte ou de vol de la carte CPS, l’utilisateur est engagé à déclarer la perte de la carte auprès de l’ASIP Santé et à faire opposition sur sa carte pour la faire désactiver.

L’authentification par dispositif équivalent est réalisée directement sur le portail du GCS Sara. En cas de perte ou de vol de son dispositif d’authentification, l’Utilisateur est engagé à déclarer cette perte ou ce vol au GCS Sara pour procéder à la désactivation ou au renouvellement du dispositif.

Le système d’authentification par simple identifiant et mot de passe permet d’accéder au portail mais sans pouvoir consulter de données patient. Il donne par exemple accès aux annuaires des professionnels de santé.

Lors de l’utilisation des services du GCS Sara, l’Utilisateur garantit que :

• les informations qu’il fournit le concernant, notamment ses coordonnées postales ou électroniques, ne sont pas fausses ou de nature à induire le GCS Sara en erreur ;
• les informations décrites dans l’annuaire des professionnels sont exactes et ne sont pas de nature à induire en erreur les professionnels de santé utilisateurs des services Sara ;
• son utilisation de ces services est pratiquée en toute bonne foi et sans enfreindre aucune loi, réglementation ou décision de justice exécutoire.

En fin d’utilisation des services du GCS Sara, l’Utilisateur doit se déconnecter de l’application en cours.

Toute connexion doit se faire dans des conditions de sécurité et de confidentialité dont l’Utilisateur est garant.

Toutes les autres dispositions impliquant des obligations pour l’Utilisateur des services du GCS Sara, même écrites en dehors de cet article 5, ont force obligatoire.

Article 5b – ALIMENTATION DU PORTAIL du GCS Sara : Missions et obligations de l’Utilisateur Emetteur

En complément des missions et obligations de l’Utilisateur précédemment rappelées (5a), les dispositions suivantes s’appliquent aux Emetteurs d’informations et de documents.

Au préalable à toute alimentation, le professionnel de santé Utilisateur s’engage à en informer le patient concerné, et à s’assurer de son absence d’opposition.

Tout document émis par un professionnel de santé doit être signé électroniquement, c’est-à-dire permettre son identification unique. L’identification sur les documents doit être conforme à l’article R.4127-79 du Code de la Santé Publique.

La qualité des documents émis est de la responsabilité de l’Emetteur à qui il appartient de produire et de vérifier que ceux-ci sont conformes à l’article R.4127-76 du Code de la Santé Publique, notamment sur les critères de date et de lisibilité (en langue française).

Avant émission définitive du document, l’Utilisateur doit vérifier le contenu de celui-ci.

Par l’acceptation et la validation des présentes, tout Utilisateur Emetteur s’engage à accepter la modification du format des fichiers qu’il émet. Cette modification (transformation en document de type Portable Document Format, ou PDF) est dictée par des soucis de non-corruption, d’intégrité et de lisibilité de l’information, mais n’altère en rien son contenu.

Le recours à un système électronique n’obère aucunement la responsabilité individuelle du professionnel de santé émetteur de s’assurer du suivi de ces envois par ses correspondants et de la gestion des retours suite à la transmission des dits documents.

Article 5c – CONSULTATION : Missions et obligations de l’Utilisateur Destinataire

En complément des missions et obligations de l’Utilisateur précédemment rappelées (5b), le professionnel de santé qui reçoit un document via les services du GCS Sara doit en prendre connaissance et s’assurer du contenu et la lisibilité du document. En cas de difficulté ou de doute, il lui appartient d’informer le GCS Sara ou son correspondant émetteur.

Article 5d – Dématérialisation des échanges

La dématérialisation est conditionnée par l’acceptation du maintien et de l’utilisation de la messagerie électronique dans des conditions satisfaisantes et régulières.

Pour chaque lieu d’exercice professionnel, l’Utilisateur est tenu de disposer d’une adresse de messagerie électronique.

Chaque Utilisateur garantit une consultation régulière de sa ou de ses messageries électroniques professionnelles et/ou une connexion régulière au portail du GCS Sara sur le site www.sante-ara.fr. Cette régularité est définie à la discrétion personnelle de l’Utilisateur en fonction des prises en charge de patients qu’il effectue et doit être guidée par les principes déontologiques et légaux qui gouvernent sa profession.

Tout utilisateur susceptible d’être Destinataire d’informations via les services du GCS Sara a l’obligation de consulter régulièrement sa ou ses adresses de messageries et/ou le portail Sara sur le site www.sante-ara.fr. Il lui est fortement conseillé de vérifier dans ses boîtes dites « SPAM » ou « courriers indésirables » qu’aucune notification ne figure. La fonctionnalité disponible sur certaines messageries permettant de déclarer un domaine, en l’occurrence @sante-ra.fr et @sante-ara.fr, comme fiable pourra être utilement actionnée.

A la réception d’un document via les services du GCS Sara, le destinataire doit prendre connaissance et s’assurer du contenu et la lisibilité du document.

Par défaut, l’utilisateur est en dématérialisation totale logique « opt out ».

Le GCS Sara propose la transmission des informations sur différents systèmes compatibles. L’utilisateur peut demander la transmission à un des systèmes compatibles de son choix. Dans ce cas, l’utilisateur est garant des conditions de sécurité et de la qualité des services du système tiers pour lequel il a opté.

Le dispositif Zepra intègre le domaine de confiance des Messageries Sécurisées de Santé (MS Santé http://esante.gouv.fr/services/mssante/breves/les-operateurs-mssante). A ce titre, pour assurer le bon acheminement d’un courrier adressé par un utilisateur MSS s’appuyant sur un opérateur tiers, un alias MSS du type prénom.nom@aura.mssante.fr est automatiquement attribué par l’opérateur Sara à tout professionnel utilisateur du service MonSisra. Cette adresse sera publiée sur l’annuaire national MS Santé https://annuaire.sante.fr/ dans un délai de 48H suivant l’acceptation des présentes CGU.

L’utilisateur a la possibilité de déclarer son adresse en liste rouge dans ses préférences utilisateur ou en contactant l’assistance www.sante-ara.fr/assistance-technique/ afin de continuer à utiliser les services comme ils le font actuellement

La copie et la conservation des documents transmis par les professionnels de santé peuvent être effectuées par tout Utilisateur Destinataire. Il lui revient de veiller aux conditions de copie, téléchargement, impression et de conservation de façon à ce qu’elles soient conformes aux exigences de sécurité et de confidentialité pour de telles données.

Conformément à l’article 4-7 du RGPD, l’utilisateur a la qualité de responsable de traitement et doit à ce titre en particulier respecter ses obligations telles que définies aux articles 24 et 32 du RGPD.

Article 6       Dispositions financières

Les services Sara sont des services non-commerciaux fournis à but non lucratif.

Article 7       Propriété intellectuelle

La structure générale du site, et de ses services, ainsi que ses logiciels, images animées ou fixes, sons ou tout autre élément composant le site sont la propriété exclusive du GCS Sara et de ses fondateurs, à l’exception du DCC qui est la propriété du DSRC ONCO AURA. Toute reproduction et/ou représentation et/ou exploitation totale ou partielle de ce site web ou de service par quelque procédé que ce soit, sans l’autorisation expresse du GCS Sara, est interdite et constituerait une contrefaçon au sens des articles L.335-2 et suivants du Code de la propriété intellectuelle.

Les logos du GCS Sara et des services Sara, ainsi que les logos des Partenaires figurant sur le site, sont protégés. Toute reproduction et/ou représentation et/ou exploitation totale ou partielle de ces logos à partir des éléments du site sont soumis à l’autorisation du GCS Sara.

Article 8       Acceptation des conditions générales

La validation des présentes Conditions Générales d’Utilisation implique la conclusion d’un contrat de service entre l’Utilisateur et Sara.

L’utilisateur déclare de ce fait également avoir la capacité juridique et professionnelle de conclure ce contrat et notamment de ne pas faire l’objet d’une interdiction temporaire ou définitive d’exercer la médecine, que cette interdiction ait été prononcée de façon disciplinaire par l’Ordre professionnel auquel il était rattaché ou de façon judiciaire par toute juridiction. L’Utilisateur porteur de carte CPE ou CPA déclare en outre être au moment de l’utilisation du service toujours salarié ou missionné par l’organisation à laquelle la carte est rattachée.

Article 9       Clauses de responsabilité

Article 9-1 – Dysfonctionnement

Toute intrusion remarquée par un Utilisateur doit être signalée sur le site www.sante-ara.fr/contact.

Le fait de faciliter une intrusion ou l’omission de signaler une intrusion est susceptible d’engager la responsabilité personnelle et professionnelle de l’Utilisateur.

Article 9-2 – Utilisation non conforme

Toute Utilisation non conforme est susceptible de donner lieu à des poursuites d’ordre civil, pénal ou disciplinaire.

Article 9-3 – Force majeure

Le GCS Sara ne pourra être tenu responsable du non-respect de l’une de ses obligations qui résulterait de la survenance d’un cas de force majeure, tels que ceux habituellement retenus par la jurisprudence française.

Article 10    Clauses juridiques annexes

Article 10-1 – Nullité partielle

Si une ou plusieurs clauses des présentes Conditions Générales d’Utilisation étaient tenues pour non valides ou déclarées comme telles en application d’une loi, d’un règlement ou d’une décision définitive d’une juridiction compétente, les autres clauses et stipulations garderont toute leur force et toute leur portée. Les parties conviennent alors de remplacer la clause nulle ou non valide par une clause qui se rapprochera le plus, dans le contenu de son idée, de la clause initialement arrêtée.

 

Article 10-2 – Non renonciation

Le fait pour le GCS Sara de ne pas se prévaloir pendant un certain laps de temps de l’une des dispositions prévues à son avantage dans les présentes ne pourra être interprété comme une renonciation de celle-ci à s’en prévaloir à l’avenir.

 

Article 10-3 – Cession de la convention

En revanche, le GCS Sara se réserve d’une part le droit de céder, transporter ou accorder à un tiers, sous quelque forme que ce soit, les droits et obligations du présent contrat, d’autre part le droit de sous-traiter tout ou partie des obligations contenues dans la présente.

 

Article 11    Loi applicable et juridiction compétente

Tout litige relatif au présent Contrat sera soumis au droit français et relèvera de la compétence exclusive des tribunaux de Lyon.

 

 

 

 

Annexe 1 – Accord de traitement des données

 

ACCORD DE TRAITEMENT DES DONNEES A CARACTERE PERSONNEL

 

Les Conditions Générales d’Utilisation (ci-après désignées le « Contrat ») intègrent le présent accord de traitement des données (ci-après désigné l’ « Accord ») qui s’applique entre le GCS Sara et tout Utilisateur des Services Sara autres que l’application MesPatients.

Le GCS Sara et l’Utilisateur sont ci-après dénommés collectivement les « Parties » et individuellement une « Partie ».

 

Article 1       Définitions

Sauf précision expresse contraire dans l’Accord, les termes « Autorité de Contrôle », « Données à Caractère Personnel », « Personnes Concernées », « Responsable du Traitement », « Sous-Traitant », « Traitement » et « Violation de Données à Caractère Personnel » auront, dans l’Accord, les définitions prévues par l’article 4 du RGPD.

Par ailleurs, les termes et expressions suivants dont la première lettre de chaque mot est en majuscule ont, au sein de l’Accord, la signification qui leur est attribuée ci-après, qu’ils soient utilisés au singulier ou au pluriel.

• « Données Concernées» désigne l’ensemble des Données à Caractère Personnel collectées et traitées par le GCS Sara au nom et pour le compte de l’Utilisateur dans le cadre du Traitement Concerné.
• « Droit Applicable à la Protection des Données à Caractère Personnel » désigne (i) le RGPD, (ii) la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et (iii) toute autre loi ou réglementation applicable en matière de protection des Données à Caractère Personnel qui viendrait compléter ou modifier la législation susmentionnée.
• « Traitement Concerné» désigne le Traitement de Données à Caractère Personnel mis en œuvre par le GCS Sara au nom et pour le compte de l’Utilisateur via les Services Sara autres que l’application MesPatients.

Il est indiqué à toutes fins utiles que les termes utilisés dans l’Accord avec une majuscule – non définis au présent Article 1 – ont la même signification que dans le cadre du Contrat.

 

Article 2       Qualification des Parties

Dans le cadre de l’exécution du Contrat, le GCS Sara est amené à traiter les Données Concernées au nom et pour le compte de l’Utilisateur. Par conséquent, le GCS Sara intervient en qualité de Sous-traitant du Traitement Concerné, tandis que l’Utilisateur agit en qualité de Responsable du Traitement.

 

Article 3       Description et modalités du Traitement Concerné

Pour les seuls besoins de l’exécution du Contrat, l’Utilisateur autorise le GCS Sara à réaliser pour son compte le Traitement Concerné, dont les modalités sont décrites en annexe 1.

 

Article 4       Obligations des Parties

Chaque Partie s’engage à procéder au Traitement Concerné en conformité avec la Règlementation relative à la Protection des Données Personnelles, et à respecter à tout moment dans le cadre de l’exécution du Contrat et de l’Accord, les obligations qui lui sont applicables à ce titre.

Article 5       Obligations du GCS Sara

5.1          Traitement sur instruction documentée de l’Utilisateur

Le GCS Sara s’engage à ne traiter les Données Concernées que sur instruction documentée de l’Utilisateur, y compris en ce qui concerne les Transferts de Données, à moins que le GCS Sara ne soit tenu de traiter les Données Concernées en vertu du droit de l’Union européenne ou du droit d’un État membre de l’Union européenne auquel il est soumis. Dans un tel cas, le GCS Sara s’engage à informer l’Utilisateur de cette obligation de traiter les Données Concernées avant de procéder à ce Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

Les Parties conviennent expressément de ce que l’Accord, ainsi que le Contrat, constituent des instructions documentées de l’Utilisateur au sens du paragraphe précédent.

5.2          Assistance fournie à l’Utilisateur

Le GCS Sara s’engage à prendre toutes mesures nécessaires ou utiles pour aider l’Utilisateur à s’acquitter de ses obligations au titre de la Règlementation relative à la Protection des Données Personnelles, et plus particulièrement du RGPD.

5.3          Sécurité des Traitements

Le GCS Sara s’engage à prendre et maintenir toutes mesures techniques et organisationnelles appropriées au regard des risques présentés par le Traitement Concerné, afin d’assurer un niveau adéquat de sécurité du Traitement Concerné et de protéger les Données Concernées contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le Traitement suppose la transmission de données par réseau, et contre toutes autres formes illicites de Traitement.

Le GCS Sara s’engage à décrire précisément en annexe 1 les mesures techniques et organisationnelles mises en place à ce titre.

5.4          Confidentialité des Données Concernées

Le GCS Sara s’engage à mettre en place des procédures afin que tout tiers auquel il autorise l’accès – dans la mesure permise par l’Accord – aux Données Concernées, y compris ses employés, sous-traitants et autres partenaires (ci-après désignés les « Destinataires Autorisés »), soit tenu à des obligations appropriées de confidentialité à l’égard des Données Concernées, que ce soit au moyen d’engagements ou d’accords de confidentialité ou par application d’obligations de confidentialité ou de secret légales ou réglementaires applicables à ces Destinataires Autorisés.

5.5          Information et droit d’audit

L’Utilisateur dispose du droit de procéder ou de faire procéder par tous tiers de son choix (ci-après désigné un « Auditeur Tiers ») – dans la limite d’une (1) fois par an – à un audit du GCS Sara en vue de vérifier ou faire vérifier le respect par ce dernier de ses obligations au titre de l’Accord.

Les audits ne pourront être mis en œuvre qu’à des horaires d’ouverture des bureaux normaux, et sous réserve d’un préavis d’une (1) semaine adressé par écrit au GCS Sara, et comprenant la désignation des personnes ou entités missionnées par l’Utilisateur pour procéder à l’audit.

Le GCS Sara disposera de la faculté de s’opposer à la désignation d’un Auditeur Tiers spécifique si, pour des raisons impérieuses tenant à sa situation spécifique (p. ex. si l’Auditeur Tiers est un concurrent du GCS Sara), la réalisation de l’audit par cet Auditeur Tiers présente manifestement un risque de lui causer un dommage.

5.6          Violation de Données à Caractère Personnel

Le GCS Sara s’engage à informer par écrit sans délai l’Utilisateur de toute Violation de Données à Caractère Personnel affectant ou concernant les Données Concernées et, en toute hypothèse au plus tard quarante-huit (48) heures à compter de la prise de connaissance de la Violation de Données à Caractère Personnel par le GCS Sara.

5.7          Sous-Traitance

L’Utilisateur accepte expressément que le GCS Sara ait recours à des Sous-traitants ultérieurs dont la liste exhaustive et limitative est reproduite en annexe 1 de l’Accord.

Le GCS Sara s’engage à informer par écrit l’Utilisateur de tout nouveau Sous-traitant ou de toute autre modification de l’annexe 1. L’Utilisateur bénéficie d’un délai d’une (1) semaine pour émettre, le cas échéant, des objections à l’encontre de ces modifications. A défaut d’objection, la modification de l’annexe 1 sera considérée comme acceptée par l’Utilisateur.

5.8          Transfert de Données

Aucune des Données Concernées ne saurait faire l’objet d’un Transfert de Données sans l’accord écrit préalable de l’Utilisateur.

5.9          Suppression/restitution des Données Concernées

Le GCS Sara s’engage à procéder à la suppression définitive et irréversible de l’ensemble des Données Concernées encore à sa possession ou à restituer l’ensemble des Données Concernées à l’Utilisateur dans un format intact et réutilisable, et à ordonner à l’ensemble de ses Sous-Traitants ultérieurs de procéder à cette suppression ou à cette restitution, conformément aux instructions documentées en annexe 1.

En l’absence d’instruction documentée de l’Utilisateur, le GCS Sara privilégiera, au titre du paragraphe précédent, la suppression des Données Concernées.

5.10       Avertissement de l’Utilisateur

Dans l’hypothèse où le GCS Sara estimerait qu’une instruction documentée de l’Utilisateur concernant les Traitements confiés pourrait être considérée comme illicite au regard de la Règlementation relative à la Protection des Données Personnelles, le GCS Sara s’engage à en informer l’Utilisateur.

 

Article 6       Entrée en vigueur – Durée

L’Accord entre en vigueur à la date de validation des Conditions Générales d’Utilisation.

 

Article 7       Prévalence

En cas de conflit entre les stipulations de l’Accord et celles des Conditions Générales d’Utilisation, les Parties conviennent de ce que les premières prévaudront.

 

 

Annexe 1 – Description du Traitement & Description des mesures de sécurité techniques et organisationnelles

1/Informations communes à l’ensemble des Services Sara

Identité et coordonnées du délégué à la protection des données du GCS Sara	Maître Jeanne Bossi Malafosse dpd@sante-ara.fr
Liste des sous-traitants ultérieurs	COEXYA (développement des applications) Hospices Civils de Lyon (Hébergeur certifié pour l’Hébergement des Données de Santé).

 Pour le traitement DCC, le contact du DPO est dpo-dcc@onco-aura.fr.

 

2/Informations spécifiques aux différents Services Sara

Messageries sécurisées de santé Les données échangées et partagées via le service de messagerie sécurisée de santé mis à disposition par le GCS Sara sont des données de santé à caractère personnel, protégées par le secret professionnel dans les conditions prévues à l’article L.1110-4 du code de la santé publique et dont la violation est réprimée par l’article 226-13 du code pénal. Le responsable de traitement doit conformément à l’article 32 du RGPD utiliser un service de messagerie sécurisée de santé conforme à l’état de l’art et respecter les exigences posées par la CNIL dans sa délibération n°2013-096 du 25 avril 2013 L’espace de confiance des messageries sécurisées de santé est défini par l’agence du numérique en santé (cf: https://esante.gouv.fr/securite/messageries-de-sante-mssante). Le GCS Sara est l’un des opérateurs labellisés au sein de l’espace de confiance piloté par l’ANS.
Finalités du traitement effectué
Finalité principale	Permet la dématérialisation et la sécurisation des échanges de données de santé à caractère personnel au moyen d’un service de messagerie sécurisée de santé entre professionnels autorisés

 

Catégories de données à caractère personnel concernées
Données relatives aux utilisateurs	Données d’identités des professionnels : civilité, prénom(s), nom(s) Données de contact des professionnels : adresse postale professionnelle, adresse de messagerie sécurisée, téléphones fixe et/ou mobile, email Données d’identification professionnelle : titre, profession, numéro d’identifiant RPPS et/ou Adeli et/ou numéro de siret/siren/finess de l’établissement suivi du numéro de matricule du salarié Données de connexions : traces des actions opérées sur la messagerie sécurisée de santé
Données d’identités du patient	État civil, identité, coordonnées, données d’identification (Identifiant National de Santé)
Données de santé	Toutes informations de santé que les professionnels exerçant dans l’établissement jugent utiles de transmettre et/ou sont dans l’obligation de transmettre à propos d’un même patient pris en charge, sous réserve de l’information préalable et sauf opposition du patient (Exemples : messages de types « courriel sécurisé » avec ou sans pièces jointes, comptes rendus de tout type produit par l’établissement).

 

Catégories de personnes concernées
–        Professionnels de santé autorisés à bénéficier d’une MSS exerçant dans l’établissement de santé ; –        En complément, les personnes habilitées par l’établissement à utiliser une Boîte aux lettres MSS fonctionnelle (exemple : secrétaire médicale).
Durées de conservation des données
Données personnelles	Pendant toute la période d’activité du professionnel et pendant 2 ans après signalement de la fin d’activité
Données administratives	Utilisées pour les activités d’assistance, sont conservées pendant une durée de trois (3) ans à compter de leur collecte ou du dernier contact avec le GCS Sara.
Données des comptes	Suppression des boîtes aux lettres en cas d’inactivité complète, caractérisée par l’absence d’authentification de l’utilisateur pendant une période maximale d’un (1) an
Données de connexion	Un (1) an
Données de santé d’un patient	Suppression des éléments dès lors que les durées prévues par les textes arrivent à échéance (voir article R. 1112-7 du code de la santé publique)

 

Téléconsultation Les actes de télémédecine sont des actes médicaux réalisés à distance, au moyen d’un dispositif utilisant les technologies de l’information et de la communication (article L. 6313-1 du Code de la santé publique). Ils sont constitués des actes visés par le décret du 19 octobre 2010 modifié par le décret du 13 septembre 2018 : téléconsultation, téléexpertise, télésurveillance médicale, téléassistance médicale et réponse médicale apportée dans le cadre de la régulation médicale. La téléconsultation permet à un professionnel médical de donner une consultation à distance à un patient. Un professionnel de santé peut être présent auprès du patient pour l’assister au cours de cette consultation. Le portail régional de téléconsultation proposé par le GCS Sara permet à un professionnel téléconsultant de réaliser une consultation à distance via une technologie sécurisée : –          générer des invitations aux patients, –          suivre son activité de téléconsultation, –          mettre à disposition une salle de consultation virtuelle et sécurisée.
Finalités du traitement effectué
Finalité principale	Organiser des actes de téléconsultation

 

Catégories de données à caractère personnel concernées
Données d’identités du Professionnel de santé téléconsultant		Prénom, Nom, téléphone, email, identifiant professionnel
Données patient (et/ou de son aidant/personne de confiance)		Données d’identification du patient via ses traits d’identité (prénom, nom, date de naissance, lieu de naissance, sexe) et identifiant national de santé Données de contact : mail et numéro mobile
Données de connexion		Disponibles au sein du DPI de l’établissement (Suppression des éléments dès lors que les durées prévues par les textes arrivent à échéance (voir article R1112-7 du code de la santé publique)
Structure et/ou professionnel de santé autorisé à accompagner le patient lors de sa téléconsultation		Prénom, Nom, email, mobile
Catégories de personnes concernées
–          Professionnels de santé et/ou professionnels exerçant dans un établissement de santé –          Patients –          Professionnels médico-social et/ou professionnels exerçant dans un établissement social ou médicosocial –          Professionnels de santé libéraux
Durées de conservation des données
Données de santé d’un patient	Suppression des éléments dès lors que les durées prévues par les textes arrivent à échéance (voir article R1112-7 du code de la santé publique)
Données d’usage	Conservées pendant la durée d’utilisation de l’application par le professionnel, durée à laquelle s’ajoute une période de 3 ans à compter du dernier contact à l’initiative du professionnel.

 

 

La téléexpertise Les actes de télémédecine sont des actes médicaux réalisés à distance, au moyen d’un dispositif utilisant les technologies de l’information et de la communication (article L. 6313-1 du Code de la santé publique). Ils sont constitués des actes visés par le décret du 19 octobre 2010 modifié par le décret du 13 septembre 2018 : téléconsultation, téléexpertise, télésurveillance médicale, téléassistance médicale et réponse médicale apportée dans le cadre de la régulation médicale. La téléexpertise est un acte médical qui permet à un professionnel de santé de solliciter à distance l’avis d’un ou de plusieurs professionnels médicaux en raison de leurs formations ou de leurs compétences particulières, sur la base des informations de santé liées à la prise en charge d’un patient.
Finalités du traitement effectué
Finalité principale	Recueillir l’avis d’un professionnel de santé vis-à-vis de la prise en charge d’un patient aux fins d’une meilleure prise en charge

 

Catégories de données à caractère personnel concernées
Données du patient	Données d’identités et de contact du patient : civilité, Prénom(s), Nom(s), date de naissance, sexe, INS/NIR, téléphone, mail, adresse postale Toutes autres données que les données d’identité et de contact d’un patient nécessaires au suivi de la demande
Données relatives aux professionnels utilisateurs	Données d’identités des professionnels : civilité, prénom(s), nom(s) Données de contact des professionnels : adresse postale professionnelle, adresse de messagerie sécurisée, téléphones fixe et/ou mobile, email Données d’identification professionnelle : titre, profession, numéro d’identifiant RPPS et/ou Adeli et/ou numéro de siret/siren/finess de l’établissement suivi du numéro de matricule du salarié Données de connexion : traces des actions opérées sur la messagerie sécurisée de santé
Données d’identification du médecin traitant	État civil, identité, mail, téléphone
Données de santé	Toutes informations de santé que les professionnels exerçant dans l’établissement jugent utiles de transmettre dans le cadre de la réalisation de l’acte
Catégories de personnes concernées
–          Professionnels de santé et/ou professionnels exerçant dans un établissement de santé –          Professionnels habilités exerçant dans un établissement de santé, social ou médico-social –          Professionnels de santé libéraux –          Patients

 

Durées de conservation des données
Données personnelles du professionnel de santé	Pendant toute la période d’activité du professionnel et pendant 2 ans après signalement de la fin d’activité
Données administratives	Utilisées pour les activités d’assistance, sont conservées pendant une durée de trois ans à compter de leur collecte ou du dernier contact avec le GCS Sara.
Données de connexion	1 an
Données personnelles de santé d’un patient	Dans la mesure où ces données utiles à l’acte de téléexpertise doivent être portées dans le dossier médical, la durée de conservation applicable est celle du dossier médical, soit 20 ans (article R1112-7 du code de la santé publique)

 

 

Nuage Santé ARA Nuage est une plateforme numérique de partage documentaire. Elle est gratuitement mise à disposition des professionnels de santé utilisateurs des services Sara par le GCS Sara. Nuage Santé ARA est destinée à des professionnels souhaitant partager au sein d’une communauté d’acteurs des documents (procédures, protocoles, documentation projet, etc.) sans donnée personnelle de santé. Sous conditions, le partage entre professionnels de santé de documents contenant de données personnelles de santé sur Nuage est envisageable. Néanmoins, il devra faire l’objet d’une analyse de risque au cas par cas, en association entre les professionnels porteurs de projet et leur correspondant au sein du GCS Sara.
Finalités du traitement effectué
Finalité principale	Stocker et consulter des contenus dématérialisés dans un lieu unique
Catégories de données à caractère personnel concernées
Données relatives aux utilisateurs	Données d’identités des professionnels : civilité, prénom(s), nom(s) Données de contact des professionnels : adresse postale professionnelle, adresse de messagerie sécurisée, téléphones fixe et/ou mobile, email Données d’identification professionnelle : titre, profession, numéro d’identifiant RPPS et/ou Adeli et/ou numéro de siret/siren/finess de l’établissement suivi du numéro de matricule du salarié
Données de santé de patients	Pour un usage collectif, les données personnelles sont anonymes Pour un usage individuel, les données personnelles dont les données nominatives de santé peuvent être stockées S’il est envisagé un partage de données personnelles,  il est impératif de se rapprocher du GCS Sara pour réaliser conjointement une analyse d’impact.
Catégories de personnes concernées
–          Professionnels de l’établissement souhaitant partager au sein d’une communauté d’acteurs des documents (procédures, protocoles, documentation projet,…) sans donnée personnelle de santé –          Autres professionnels libéraux et/ou exerçant dans un établissement social et/ou médico-social –          Professionnels de l’établissement souhaitant stocker des documents dont des données personnelles de santé pour son seul usage (si partagé, réalisation après étude au cas par cas)
Durées de conservation des données
Stockage de données	Stockées tant que le compte MonSisra est en activité et deux ans après que le compte MonSisra soit clôturé À tout moment, le professionnel peut supprimer les données qu’il a produites.

 

 

3/Mesures de sécurité techniques et organisationnelles mises en place

• hébergement des données de santé et des données à caractère personnels chez un hébergeur certifié pour l’hébergement de données de santé ;
• mesures de protection des données pendant la transmission : transmission des données à travers un tunnel VPN IPsec ;
• mesures d’identification et d’authentification forte de l’utilisateur : Pro Santé Connect ou authentification à double facteur ou authentification déléguée à la personne morale du partenaire (sécurisation via un certificat) puis authentification de la personne physique émettrice ;
• mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• au niveau applicatif, traçabilité de toute action de lecture ou d’écriture sur un dossier ;
• pratiques visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures organisationnelles et techniques pour assurer la sécurité du traitement.