Groupe PSIH

Politique de protection des données à caractère personnel

Fondé en 1998, le Groupe PSIH apporte à ses clients une expertise en santé unique en France. Grâce à une combinaison de compétences et d’engagements alliant la maîtrise technologique et l’innovation, le Groupe participe aux côtés des établissements ou de groupements de santé à des projets d’envergure qui impactent profondément l’offre de soins en aidant les décideurs à Mieux Comprendre, Mieux Décider pour Mieux Soigner. Le Groupe déploie trois domaines d’activités : Business Intelligence, Hébergement de données, Data Science.

Groupe PSIH
Le Terralta – 77 Boulevard Vivier Merle – 6
9003 Lyon
04 26 10 06 30 – contact@groupepsih.com

Le présent document constitue la Politique de protection des données à caractère personnel (Ci-après la « Politique ») du Groupe PSIH. S’inscrivant dans le cadre de l’exigence de transparence du Règlement européen (UE) 2016/679 sur la protection des données à caractère personnel (RGPD), la Politique a été rédigée avec l’ambition d’être compréhensible et aisément accessible afin de souligner l’importance accordée par le Groupe PSIH au droit de la protection des données. Le Groupe a par ailleurs désigné un délégué à la protection des données (DPO).

La Politique est destinée à l’ensemble des personnes physiques qui sont en relation avec notre entreprise, à l’occasion de toute collecte de données à caractère personnel ainsi qu’à toute personne qui souhaite connaître les engagements de notre entreprise dans ce domaine. La Politique est notamment accessible de manière permanente sur le site Internet du Groupe PSIH à l’adresse https://groupepsih.com afin d’en assurer la plus large diffusion, de même qu’elle peut être remise à première demande par tout autre moyen à toute personne qui le souhaite.

L’accomplissement des activités du Groupe PSIH pouvant conduire à la réalisation de traitements de données en partenariat avec des tiers sans relation directe du Groupe avec les personnes physiques concernées, nous invitons ces dernières à se rapprocher directement de ces tiers pour connaître leurs engagements ainsi que pour présenter toute demande relative à l’exercice des droits résultant du RPGD.

La Politique s’articule autour de cinq parties complémentaires :

I – Les principes et exigences du RGPD appliqués par le Groupe PSIH

II – Les traitements de données réalisés par le Groupe PSIH

III – Les droits reconnus à toute personne physique

IV – Les modalités d’exercice des droits du RGPD, la possibilité de poser toute question

V – Le Délégué à la protection des données du Groupe PSIH

La politique étant susceptible d’évoluer, il convient de s’y référer régulièrement.

I – Les principes et exigences du RGPD appliqués par le Groupe PSIH

Au sens du RGPD, les données à caractère personnel sont des informations relatives à une personne physique identifiée ou identifiable directement ou indirectement. Un traitement est constitué par des opérations appliquées aux données afin de remplir des objectifs précis. Le Groupe PSIH procède à la collecte et au traitement de données conformément aux exigences du RGPD en vue d’opérer des services pour son propre compte ou pour celui de clients ayant souscrit ses produits et services dans le domaine de la santé.

Prenant en compte les exigences générales du RGPD, en cas de traitements de données :

  • Nous veillons à collecter et traiter des données dans le périmètre strict de la fourniture des services et prestations concernées, pour des objectifs et des finalités licites, explicites, légitimes, selon des procédés loyaux, en vue de fournir des services ;
  • Nous veillons à assurer la transparence des traitements en apportant une information appropriée aux personnes dans tous les cas de collecte, lorsque les données sont reçues des personnes elles-mêmes ou proviennent éventuellement de tiers ou des technologies ;
  • Lorsque nous procédons à la collecte directe de données, nous précisons si l’exigence de fourniture de données à caractère personnel revêt un caractère réglementaire ou contractuel ou si elle conditionne la fourniture d’une prestation ou la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, de même que nous précisons les conséquences éventuelles de la non-fourniture de données ;
  • Lorsqu’il n’est pas procédé à une collecte directe des données auprès de la personne concernée par notre entreprise, des éléments d’information similaires de ceux qui doivent être communiqués en cas de collecte directe, de même que des indications sur la source des données sont alors selon le cas apportés aux personnes par notre intermédiaire ou par celui des intervenants pour lesquels nous agissons ; cette information devant être apportée dans un délai raisonnable, mais également lors de la première communication avec les personnes lorsque les données sont destinées à cet usage, ou au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois à un autre destinataire si un tel usage est envisagé ;
  • Lorsque le cas se présente, nous indiquons l’existence d’une prise de décision automatisée, y compris un profilage, avec l’indication des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de cet éventuel traitement pour la personne concernée ;
  • En cas d’intention d’effectuer un éventuel traitement ultérieur de données à caractère personnel pour une finalité autre que celle pour laquelle les données ont été collectées, nous fournissons préalablement aux personnes des informations au sujet de cette autre finalité et toute autre information permettant de la comprendre de manière transparente ;
  • Nous communiquons des données restreintes uniquement à des destinataires habilités, comprenant les services habilités de notre entreprise ainsi que les éventuels tiers concernés par la fourniture des services;
  • Nous nous engageons à assurer la transparence des traitements en apportant une information appropriée aux personnes dans tous les cas de collecte, lorsque nous recevons les données de la part des personnes elles-mêmes ou lorsqu’elles proviennent éventuellement de tiers ou des technologies ;
  • Nous nous engageons
    • à minimiser les traitements,
    • à assurer la mise à jour régulière des données,
    • à procéder à une conservation proportionnée des données en fonction de critères déterminés au regard notamment de la finalité du traitement, des exigences contractuelles ou opérationnelles ou pour répondre à nos obligations réglementaires et ce, dans le respect du droit applicable,
    • à encadrer les relations avec les destinataires de données et sous-traitants par tous moyens propres à assurer le respect des obligations légales,
    • à prendre toutes mesures possibles, en cas d’éventuel transfert de données à destination d’un pays situé hors de l’Union européenne afin de garantir le respect de la réglementation applicable en Europe,
    • à sensibiliser les collaborateurs à l’exigence de protection des données à caractère personnel et à leur confidentialité,
    • à assurer la sécurité des traitements et des données,
    • à prendre en compte l’ensemble des droits reconnus aux personnes physiques en vertu de la réglementation applicable.

Au sein du Groupe PSIH, la prise en compte des principes et exigences du droit de la protection des données à caractère personnel s’accompagne de mesures organisationnelles et techniques afin d’appliquer de manière effective les dispositions du RGPD et d’apporter des garanties opérationnelles.

II – Les traitements de données réalisés par le Groupe PSIH

A – Dans le cadre de la gestion de la relation commerciale et de la communication

Le Groupe PSIH procède à la collecte et au traitement de données à caractère personnel aux fins de  prise de contact avec des prospects intéressés par ses activités, ainsi que  dans le cadre de la gestion des relations commerciales et contractuelles, ce qui inclut notamment les partenaires et fournisseurs, ainsi que dans le cadre de la gestion de la communication externe. Il s’agit d’un objectif de gestion de l’entreprise. Les informations collectées dans ces différents cadres, font l’objet d’un traitement par le Groupe PSIH en qualité de responsable de traitement. Les données sont destinées à nos services et le cas échéant à des tiers strictement habilités et en cas de nécessité. Les informations communiquées sont conservées pendant une durée correspondant à chaque sous-finalité, ainsi qu’au cas par cas dans le cadre des obligations légales de conservation. Les données liées aux demandes d’information ainsi que celles liées à l’organisation d’événements sont généralement conservées pendant la durée nécessaire à la gestion des différentes activités de traitement et le cas échéant pour toute durée complémentaire en cas de contractualisation. Les données liées à la gestion commerciale sont généralement conservées pendant la durée contractuelle, ainsi que pour les durées légales applicables à l’issue de la relation commerciale.

B – Dans le cadre de la fourniture de prestations de services en santé

Le Groupe PSIH procède au traitement de données pour le compte de ses clients aux fins suivantes dans le secteur de la santé, dans le cadre de trois activités principales :

  • Hospivision

Hospivision constitue une offre décisionnelle permettant aux équipes d’un l’hôpital ainsi qu’à celles d’un Groupement hospitalier de territoire (GHT) d’analyser les principaux centres de coûts. Le Groupe PSIH intervient dans ce cadre en tant que sous-traitant au sens du RGPD, en tant de fournisseur et intégrateur d’une solution technologique permettant la production de tableaux de bord et leur comparaison non nominative au sein d’une plateforme commune des établissements partenaires constituée par la plateforme dénommée Open BI. Les traitements de données sont réalisés sous le contrôle de chaque client qui demeure responsable de traitement au sens du RGPD. La solution Hospivision est décrite au lien suivant : https://groupepsih.com/hospivision/

  • Hébergement de données de santé

L’activité d’hébergement de données de santé permet aux acteurs de la santé de compter sur une prestation d’hébergement de données et d’applicatifs répondant aux normes légales définies par l’Etat français. Le Groupe PSIH dispose d’un agrément d’hébergeur de données de santé (HDS), ce dernier étant actuellement en voie d’évolution vers une certification. Le Groupe PSIH intervient dans ce cadre en tant que prestataire des responsables de traitement dans le cadre de l’article 1111-8 du code de la santé publique. Ces derniers sont des acteurs de la santé qui ont recueilli des données de santé à caractère personnel à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social. La solution d’hébergement de données de santé est décrite au lien suivant : https://ids.host

  • Infrastructure & Data science

L’activité Data science s’intègre dans le cadre d’une offre alliant notre infrastructure d’hébergement et celle de nos solutions d’Intelligence Artificielle et de valorisation des données. L’objectif est de permettre aux clients  de pouvoir compter sur des ressources dédiées pour mieux soigner en y associant un apprentissage automatique. Le Groupe PSIH intervient dans ce cadre en tant que sous-traitant au sens du RGPD. Les acteurs en santé demeurent responsables de traitement au sens du RGPD. La solution Infrastructure & Data science est décrite au lien suivant : https://groupepsih.com/data-science/

C- Dans le cadre du dépôt de candidatures en ligne

Le site Internet du Groupe PSIH permet aux personnes en recherche d’emploi de répondre à une offre diffusée dans la rubrique « Talent » ou de déposer spontanément par ailleurs une candidature.  Les informations reçues dans ce cadre font l’objet d’un traitement de données à caractère personnel par le Groupe PSIH en qualité de responsable de traitement aux fins de gestion des candidatures. Les informations sont uniquement destinées aux interlocuteurs internes ou externes habilités en charge du recrutement. Les informations communiquées par les candidats sont conservées pendant la durée de l’examen des candidatures et ultérieurement en cas de non recrutement pendant plusieurs mois dans l’attente d’un poste pouvant convenir au candidat avec la possibilité pour ce dernier de faire valoir les droits reconnus pas le RGPD et notamment de s’opposer au traitement des données le concernant.

III – Les droits reconnus à toute personne physique 

Toute personne physique dispose d’un ensemble de droits portant sur les données à caractère personnel la concernant qui s’appliquent au cas par cas en tenant compte des circonstances des traitements et de la relation des personnes avec le Groupe PSIH. Il convient de noter que l’exercice des droits doit être effectué auprès du responsable des traitements, le Groupe PSIH ne pouvant se substituer aux responsables de traitements pour lesquels il interviendrait contractuellement uniquement en tant que sous-traitant au sens du RGPD afin de fournir des solutions technologiques. Les droits reconnus aux personnes sont les suivants :

  • Le droit à la fourniture d’une information lorsque des données à caractère personnel sont collectées de manière directe ou indirecte ;
  • Le droit d’accès, permettant d’obtenir la confirmation que des données à caractère personnel les concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, la possibilité d’obtenir l’accès aux données ;
  • Le droit de rectification permettant d’obtenir la rectification des données à caractère personnel lorsqu’elles sont inexactes et, compte tenu des finalités du traitement, le droit d’obtenir que les données soient complétées, y compris en fournissant une déclaration complémentaire ;
  • Le droit à l’effacement des données à caractère personnel lorsque certains motifs sont réunis ;
  • Le droit à la limitation du traitement pendant une certaine durée lorsque certains éléments s’appliquent, tels qu’une éventuelle contestation de l’exactitude de données à caractère personnel, de traitement illicite auquel s’opposerait une personne, ou encore en cas de nécessité de traitement de données de la personne concernée pour la constatation, l’exercice ou la défense de droits en justice, ou encore en cas de vérification de l’éventuelle prévalence des motifs légitimes poursuivis par le responsable du traitement sur ceux de la personne concernée ;
  • Le droit à la portabilité des données lorsqu’un traitement est notamment fondé sur le consentement d’une personne ou un contrat ;
  • Le droit d’opposition, dans une certaine mesure au regard des textes applicables, en cas d’éventuelle prise de décision individuelle automatisée reposant sur la situation particulière d’une personne ;
  • Le droit à ne pas faire l’objet d’un traitement à des fins de prospection.

Les personnes disposent également du droit d’introduire une réclamation auprès d’une autorité de contrôle de la protection des données dont dépend le Groupe PSIH au sein de l’Union Européenne. Il s’agit de la Commission nationale de l’informatique et des libertés (CNIL) en France. La CNIL peut être saisie par toute personne qui estimerait (www.cnil.fr) ne pas avoir reçu satisfaction à l’issue de l’exercice de ses droits auprès du Groupe PSIH.

IV – Les modalités d’exercice des droits du RGPD, la possibilité de poser toute question

Le Groupe PSIH s’engage à examiner toute demande reçue des personnes physiques en facilitant l’exercice des droits reconnus par le RGPD. Nous nous efforcerons d’apporter des réponses aux questions d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.

De plus, vous pouvez prendre contact à tout moment avec le Groupe afin d’en savoir plus sur le traitement des données, ainsi que sur l’application du RGPD, de la loi Informatique et libertés modifiée et de l’application de la présente Politique. Les réponses pourront être fournies par écrit ou par d’autres moyens y compris par voie électronique si cela est approprié ou lorsque la demande est présentée sous cette forme. Les informations peuvent vous être fournies oralement, à condition que l’identité de la personne puisse être démontrée.

Les demandes relatives à l’exercice des droits, de même que toute question liée à la protection des données personnelles et à l’application de la règlementation peuvent être adressées, selon votre choix par écrit ou par oral, en utilisant les coordonnées suivantes :

Groupe PSIH
RGPD
Le Terralta – 77 Boulevard Vivier Merle – 69003 Lyon
contact@groupepsih.com – 04 26 10 06 30

Afin de s’assurer de l’identité des personnes, il pourra vous être demandé de fournir des informations ou documents justificatifs.

V – Le Délégué à la protection des données du Groupe PSIH

Le Groupe PSIH a désigné un délégué à la protection des données (DPO) auprès de la Commission nationale de l’informatique et des libertés (Réf. DPO-81594). L’ensemble des éléments de cette désignation étant disponibles en open data sur le site de la CNIL : https://www.cnil.fr/fr/opendata.

Le DPO intervient dans l’ensemble des projets de traitement, dans la prise en compte des droits des personnes et plus généralement dans le cadre de la diffusion d’une culture de la protection des données auprès des collaborateurs internes et des partenaires et des clients.

Il est possible à toute personne de prendre contact avec le DPO du Groupe PSIH au sujet de toutes les questions relatives au traitement des données à caractère personnel et à l’exercice des droits du RGPD.

Cabinet Caron Avocat
Délégué à la protection des données
dpo.psih@caron-avocat.fr – 01 85 09 72 54
122 avenue des Champs Elysées, 75008 Paris