Politique de protection des données des patients

L’Institut Jérôme Lejeune est soucieux de la protection de vos données personnelles. En tant que responsable de traitement, nous veillons à assurer le meilleur niveau de protection et de confidentialité de ces données collectées dans le cadre de notre mission de soin. L’Institut Jérôme Lejeune s’engage à respecter le Règlement Général sur la Protection des Données (RGPD) et la Loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée (LIL).

Les données personnelles (ou données à caractère personnel) correspondent à toute information se rapportant directement ou indirectement à une personne identifiée ou identifiable. Les données concernant la santé, les données génétiques, l’Identifiant National de Santé (INS), le Numéro de Sécurité Sociale (NIR) sont des données personnelles.

Les données personnelles sont recueillies lors de vos passages en consultation externe dans l’un des sites géographiques de l’Institut Jérôme Lejeune. Ces informations font l’objet de traitements papier ou informatisés.

Nous vous informons, ci-dessous, de la manière dont nous traitons ces données. Cette page est régulièrement actualisée.

L’Institut Jérôme Lejeune (dont le siège social est situé 31 rue Galande 75005 Paris et qui exerce son activité 37 rue des Volontaires 75015 Paris) est responsable du traitement des données. L’Institut Jérôme Lejeune est adossé au Groupe Hospitalier Paris Saint-Joseph dans le cadre d’un Groupement de Coopération Sanitaire. A ce titre, l’Institut Jérôme Lejeune et le Groupe Hospitalier Paris Saint-Joseph peuvent être responsables conjoints pour certaines finalités de traitement.

Les données que l’Institut Jérôme Lejeune collecte sont nécessaires pour lui permettre de répondre aux finalités suivantes :

  • Prendre en charge et effectuer le suivi médical du patient et plus précisément :
    • L’organisation de sa préadmission ;
    • La gestion des rendez-vous médicaux (consultations médicales, paramédicales neuropsychologiques) ;
    • La gestion de sa prise en charge médicale par les professionnels de santé ;
    • La gestion des téléconsultations ou de télé-expertises ;
    • La constitution du dossier électronique médical et administratif ;
    • La dictée des comptes-rendus ;
    • L’alimentation et la consultation de son Dossier Médical Partagé (DMP) présent dans son carnet de santé numérique (Mon espace santé) pour permettre d’assurer la prévention, la qualité, la continuité et la coordination des soins ;
    • La gestion des courriers dématérialisés ;
    • La gestion des échanges de document médicaux le concernant (ordonnances, comptes-rendus, bilans utiles à son suivi) grâce à une messagerie sécurisée (MS Santé) permettant de garantir leur sécurité et leur confidentialité conformément à la réglementation en vigueur en matière de protection des données ;
    • La gestion de la prescription électronique (ordonnance numérique) ;
    • La gestion de son dossier administratif et de la facturation ;
    • La gestion de l’archivage externalisé ;
  • Financer le soin ;
  • Permettre la constitution d’un Entrepôt de Données de Santé ;
  • Permettre la réutilisation des données collectées dans le cadre du soin à des fins de recherche scientifique par les professionnels de l’Institut Jérôme Lejeune ou des partenaires académiques ou industriels ;
  • Envoyer les communications et informations relatives à l’Institut Jérôme Lejeune à son attention (newsletter, confirmation des rendez-vous, etc.) ;
  • Permettre le pilotage de l’activité de soin et la production d’indicateurs de performance ;
  • Protéger les biens et les personnes via les dispositifs de vidéoprotection déployés à l’entrée de notre établissement ;
  • Gérer les demandes d’exercice des droits en matière de protection des données personnelles ;
  • Gérer les éventuels incidents de sécurité relatifs aux données personnelles ;
  • Gérer les éventuels contentieux.

De façon générale, l’Institut Jérôme Lejeune ne traite aucune donnée du patient à des fins incompatibles avec celles pour lesquelles elles ont été collectées, sauf accord préalable de celui-ci et/ou de ses représentants légaux.

L’Institut Jérôme Lejeune collecte les données personnelles du patient, y compris ses données de santé, uniquement lorsque leur collecte et leur traitement reposent sur un fondement juridique.

Le respect d’une obligation légale à laquelle est soumis l’Institut Jérôme Lejeune

Certaines données sont traitées par l’Institut Jérôme Lejeune pour répondre à ses obligations légales, notamment la constitution du dossier médical, l’alimentation et la consultation du DMP, l’accès au dossier médical, les procédures d’identitovigilance, le financement du soin ou la gestion des demandes de droits ou d’éventuels incidents de sécurité en matière de protection des données personnelles.

L’intérêt public

Les informations recueillies lors des consultations dans nos établissements font l’objet de traitements de données destinés à faciliter sa prise en charge médicale du patient.  Les données recueillies dans le cadre du soin permettent également à l’Institut Jérôme Lejeune de constituer un Entrepôt de Données de Santé spécifique en matière de déficience intellectuelle d’origine génétique. La base légale de ces traitements de données est l’exécution de la mission d’intérêt public dont est investi l’Institut Jérôme Lejeune.

Les intérêts légitimes de l’Institut Jérôme Lejeune

L’Institut Jérôme Lejeune pourra traiter les données personnelles du patient aux fins de poursuite de son intérêt légitime notamment, pour répondre à ses demandes, pour améliorer la qualité des soins, pour dicter les comptes-rendus, pour assurer la sécurité des biens et des personnes ou mener des recherches sur les données issues du soin dans le domaine de la déficience intellectuelle d’origine génétique ou pour la constatation, à l’exercice ou à la défense d’un droit en justice.

La sauvegarde des intérêt vitaux

Les données du patient sont susceptibles d’être traitées à des fins de sauvegarde de ses intérêts vitaux ou de ceux d’une autre personne physique.

L’Institut Jérôme Lejeune collecte différents types de données personnelles concernant le patient :

Les données personnelles que le patient/son aidant/son accompagnant nous communique directement :

Nous collectons directement ces données lors de sa prise en charge ou de façon générale, lorsque vous échangez avec l’Institut Jérôme Lejeune de toute autre manière. 

  • Les données d’identification: noms et prénoms, date de naissance, sexe, adresse, numéros de téléphone, adresse électronique, numéro du dossier hospitalier (NIP), numéro de sécurité sociale (NIR), identifiant national de santé (INS), nationalité, lieu de naissance, etc. ;
  • Les informations sur votre situation personnelle et professionnelle : habitudes de vie, situation familiale, personnes à contacter, personne de confiance, médecin traitant, autres correspondants médicaux, employeur, profession, assurance maladie, mutuelles, informations d’ordre économique et financier, etc. ;
  • Les informations d’ordre juridique: existence de mesures de protection, etc. ;
  • Les données concernant la santé et autres données sensibles: antécédents médicaux et familiaux, diagnostics, résultats d’examens, imagerie, traitements, données génétiques, ethniques, vie sexuelle, vidéos et photographies, ou encore vos prélèvements biologiques et/ou tissulaires (échantillons biologiques) etc.
  • Les données économiques et sociales: moyens de paiement, carte vitale, carte mutuelle, etc…)

Les données de santé du patient sont centralisées dans un dossier électronique médical et administratif confidentiel qui permet d’assurer son suivi et la continuité des soins et de garantir une prise en charge adaptée à son état de santé.

La communication de ces données personnelles est volontaire. Toutefois, sans ces informations, l’Institut Jérôme Lejeune ne pourra traiter la demande ou permettre une prise en charge médicale de qualité.

Les données personnelles qui nous sont communiquées :

Dans le cadre de la prise en charge du patient, des données nous sont transmises par des organismes tiers, notamment son médecin traitant ou celui qui l’a adressé à l’Institut Jérôme Lejeune, par les professionnels de santé associés au parcours de soin du patient, les organismes d’Assurance Maladie au travers de sa Carte Vitale, les Mutuelles, etc.

Les données personnelles que nous collectons automatiquement :

Nous collectons automatiquement certaines informations concernant le patient dans le cadre des actes de télémédecine ou d’usage d’outils connectés, ou de la vidéoprotection.

Si le patient et/ou ses représentant légaux ne s’y opposent pas, les données collectées pourront être pseudonymisées (ex. : utilisation d’un code à la place du nom et prénom) ou anonymisées (rendant impossible toute réidentification) et être utilisées à des fins de recherche médicale ou d’innovation dans le domaine de la santé, par l’Institut Jérôme Lejeune ou ses partenaires académiques ou industriels. A cette fin les données du patient pourront être croisées avec d’autres bases de données, comme le SNDS (Système National des Données de Santé), si autorisé par les autorités compétentes.

Les données sont recueillies lors de la prise en charge au cours des consultations à l’Institut Jérôme Lejeune par le personnel médical, paramédical et administratif.

Il est possible que certaines données aient été transmises par le patient et/ou ses représentant légaux, comme par exemple les comptes-rendus de consultations réalisées en dehors de l’Institut Jérôme Lejeune. D’autres données peuvent aussi provenir de partages et d’échanges d’informations entre les différents professionnels de santé qui prennent en charge le patient (courrier d’un médecin qui le suit à l’extérieur de L’Institut Jérôme Lejeune par exemple).

Les données sont conservées par l’Institut Jérôme Lejeune pendant le temps nécessaire à la réalisation des finalités décrites dans cette politique, majorées des délais légaux de prescription.

En matière de prise en charge des patients, l’Institut Jérôme Lejeune conservera votre dossier médical, sauf les cas particuliers (Article R1112-7 du Code de la santé publique), pendant la durée de la prise en charge du patient, puis 30 ans à compter de la dernière consultation du patient au sein de l’Institut Jérôme Lejeune. Son dossier sera définitivement détruit sur décision de la direction, au-delà des délais légaux de conservation.

En matière de financement des soins, les données personnelles seront conservées pour une durée conforme à la réglementation en vigueur.

En matière d’envoi des communications (lettre de l’Institut), votre adresse postale sera conservée tant que vous ne vous êtes pas désinscrit (désinscription via le mail contact@institutlejeune.org ou communication@institutlejeune.org).

En matière de production de statistiques, les données sont devenues pseudonymes ou agrégées.  

En matière de vidéoprotection, les images seront conservées pendant une période maximale de 30 jours avec un accès limité aux seules personnes habilitées.

En matière de gestion des demandes d’exercice des droits RGPD, les données seront conservées le temps de l’instruction de votre demande, puis archivées 5 ans.

En matière de gestion des éventuels incidents de sécurité relatifs aux données personnelles, les données seront conservées le temps de la gestion de l’incident, puis archivées 5 ans.

En matière d’établissement, d’exercice ou la défense de réclamations légales contre l’Institut Jérôme Lejeune, les données personnelles seront conservées pour une durée conforme à la réglementation en vigueur.

L’Institut Jérôme Lejeune met en œuvre toutes les mesures techniques, physiques et organisationnelles pour assurer la sécurité et la confidentialité de vos données lors de la collecte, du traitement et du partage de vos données contre les risques d’accès illégitime, de modification non désirée ou de disparition de vos données.

Les infrastructures de l’Institut Jérôme Lejeune sont protégées contre les logiciels malveillants. L’accès physique et distant aux serveurs hébergeant les données est contrôlé. Des tests d’intrusion sont réalisés, ainsi que des sauvegardes régulières avec des tests de restauration. La sécurité de votre terminal, à partir duquel vous vous connectez au site de l’Institut Jérôme Lejeune, relève de votre responsabilité. 

Dans le cas où l’Institut Jérôme Lejeune serait susceptible de faire appel à des prestataires pour traiter une partie de vos données, il s’engage à vérifier qu’ils présentent des garanties suffisantes pour assurer la protection des données personnelles qui leur sont confiées conformément aux exigences en matière de protection des données.

En cas de violation de données personnelles, c’est-à-dire en cas d’incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de vos données personnelles, l’Institut Jérôme Lejeune s’engage à respecter ses obligations conformément à la réglementation en vigueur en matière de protection des données personnelles et de cybersécurité.

Les professionnels de l’Institut Jérôme Lejeune sont sensibilisés à la confidentialité des données qu’ils traitent par des campagnes régulières d’information.

Les droits du patient

Droit d’accès à ses données

Vous pouvez obtenir de l’Institut Jérôme Lejeune la confirmation que les données du patient sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès à l’ensemble des données et informations détenu par l’Institut Jérôme Lejeune.

Zoom sur les modalités d’accès au dossier médical

Les informations relatives à l’état de santé du patient, aux soins et traitements délivrés constituent son dossier dont le contenu est couvert par le secret professionnel.

En application de l’article L. 1111-7 et des articles R.1111-2 à R.1111-9 du code de santé publique, le patient et/ou ses représentants légaux ou ses ayant droits peuvent avoir accès au dossier médical du patient, directement ou par l’intermédiaire d’un médecin désigné.

Après demande écrite envoyée avec Accusé de Réception au directeur, il est possible de consulter le dossier médical du patient sur place ou d’en recevoir une copie (l’obtention de la première copie des données du patient est gratuite). Les informations seront communiquées aux demandeurs dans un délai de huit jours, si le dossier du patient date de moins de cinq ans. Sinon, ce délai est porté à deux mois.

Droit de rectification des données du patient

Vous pouvez obtenir de l’Institut Jérôme Lejeune, dans les meilleurs délais, la rectification des données concernant le patient qui seraient inexactes ou erronées. Vous pouvez également demander que ses données soient complétées, le cas échéant.

Droit à l’effacement des données du patient

Sauf obligations légales applicables, vous pouvez demander à l’Institut Jérôme Lejeune l’effacement, des données du patient, si notamment, vous estimez que le traitement réalisé par l’Institut Jérôme Lejeune sur ces données n’est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées.

Droit d’opposition au traitement des données du patient

Vous pouvez vous opposer à certains traitements des données concernant le patient, par exemple à la réutilisation de ses données dans le cadre de la recherche (page bientôt disponible), à l’alimentation dans l’Entrepôt de Données de Santé (page bientôt disponible), à recevoir des communications de la part de l’Institut Jérôme Lejeune (en vous désinscrivant via contact@institutlejeune.org).  Vous devez alors mettre en avant des raisons tenant à votre situation particulière. 

Droit à la limitation du traitement des données du patient

Vous pouvez demander à l’Institut Jérôme Lejeune le gel temporaire de l’utilisation de certaines des données du patient dans l’un des cas suivants :

  • Vous contestez l’exactitude des données utilisées par l’Institut Jérôme Lejeune,
  • Vous vous opposez à ce que vos données soient traitées,
  • En cas d’usage illicite mais vous vous opposez à leur effacement,
  • Vous en avez besoin pour la constatation, l’exercice ou la défense de droits en justice.

Droit de donner des directives post mortem

Vous avez la possibilité de définir des directives relatives à la conservation, à l’effacement et à la communication des données du patient après son décès. Ces directives définissent la manière dont vous souhaitez que soient exercés, après son décès, ses droits sur ses données. Vous pouvez nous transmettre ces directives en adressant un courrier, au DPO de l’Institut Jérôme Lejeune mentionnant en objet « Directives post mortem ». Vous pouvez, à tout moment, modifier ou révoquer vos directives.

Droit d’introduire une réclamation auprès de la CNIL

Si vous considérez que les droits du patient ne sont pas respectés ou que la protection de ses données n’est pas assurée conformément au RGPD, vous pouvez, à tout moment, introduire une réclamation auprès d’une autorité de contrôle compétente (en France, la CNIL).

L’exercice des droits du patient

Pour exercer l’un des droits du patient, nous vous prions de bien vouloir adresser votre demande à : dpo@institutlejeune.org ou par voie postale : Délégué à la Protection des Données – Institut Jérôme Lejeune, 37 rue des Volontaires, 75015 Paris.

Toute demande doit préciser, en objet, le motif de la demande (exercice du droit d’accès, d’opposition, etc.). La demande doit également être accompagnée d’un justificatif d’identité (par exemple, un numéro patient) et préciser l’adresse à laquelle doit parvenir la réponse.

L’Institut Jérôme Lejeune vous adressera sa réponse dans un délai maximum d’un (1) mois, à compter de la date de réception de votre demande. Ce délai peut toutefois être prolongé de deux (2) mois en raison de la complexité et du nombre de demandes.

De manière générale, pour toute question relative à la présente politique de protection des données Patient ou pour toute demande relative à la gestion de vos données personnelles par l’Institut Jérôme Lejeune, vous pouvez adresser votre demande par email ou par courrier, comme indiqué ci-dessus.

L’Institut Jérôme Lejeune est susceptible de transmettre les données du patient aux destinataires suivants :

Au sein de l’Institut Jérôme Lejeune

  • L’équipe de soins dans le respect du secret professionnel (Article L1110-12 Code de la santé publique).
  • Les services médico-administratifs et techniques de l’Institut Jérôme Lejeune responsables de la mise en œuvre de la facturation de soins, et soumis à une obligation de confidentialité et au secret professionnel, dans la limite des missions qui leur sont confiées et de ce qu’ils ont à en connaître.
  • Le service recherche de l’Institut Jérôme Lejeune, responsable de la mise en œuvre des recherches réalisées à partir des données collectées dans le cadre du soin et soumis à une obligation de confidentialité et au secret professionnel, dans la limite des missions qui leur sont confiées et de ce qu’ils ont à en connaître.

Nos partenaires

  • Les services médico-administratifs et techniques du Groupe Hospitalier Paris Saint-Joseph responsables de l’hébergement des données, de la facturation du soin, et soumis au secret professionnel et à une obligation de confidentialité, dans la limite des missions qui leur sont confiées et de ce qu’ils ont à en connaître.
  • Autres professionnels de santé (par exemple, dans le cadre d’une structure de coopération, d’exercice partagé ou de coordination sanitaire ou médico-sociale), dans le cadre de la coordination ou de la continuité des soins, de la prévention ou du suivi médico-social.
  • Les partenaires de recherche académiques et industriels situés en France ou à l’international (chercheurs et organismes de recherche dans le domaine de la déficience intellectuelles d’origine génétique).

Aux organismes publics et aux autorités habilitées

Les Autorités habilitées conformément à la réglementation en vigueur (Trésor Public, Assurance Maladie obligatoire et complémentaire, Agence Régionale de Santé, Ministère chargé de la Santé, Commissaires aux comptes, Institutions judiciaires…).

Sous-traitants

Les prestataires de service et les fournisseurs d’outils informatiques réalisant des prestations, notamment de la maintenance informatique, de l’envoi de documents médicaux, de la gestion de service supports pour le compte de l’Institut Jérôme Lejeune dans le respect du RGPD et dans les limites des contrats de sous-traitance.

Les données de santé et administratives du patient sont hébergées sur des serveurs sécurisés du Groupe Hospitalier Paris Saint-Joseph.  Pour ce qui est de nos sous-traitants et partenaires de recherche, le plus souvent, les données sont hébergées au sein de l’Espace Economique Européen (EEE).  Toutefois, si les données venaient à être transférées hors EEE, par le biais de nos sous-traitants et partenaires, nous apporterions une attention toute particulière à ce que ces derniers traitent les données dans le plus strict respect de la règlementation en vigueur en matière de protection des données personnelles. Dans le cas où ces derniers seraient situés dans un pays ne faisant pas l’objet d’une décision d’adéquation par la Commission Européenne, reconnaissant un niveau de protection équivalent à celui prévu par l’Union Européenne, un contrat-type sera rédigé afin de se conformer au modèle établi et approuvé par la Commission Européenne (Clauses Contractuelle Types) accompagné de mesures sécuritaires complémentaires. Dans ce cas, vous avez la faculté d’accéder aux documents autorisant ce transfert.

Ressources additionnelles

Icono : Parzival’ 1997