RSPS Logo RSPS

Declaration de confidentialité et utilisation des données

E-Synaps et le RGPD

Le règlement général sur la protection des données (dit RGPD) est entré en vigueur le 25 mai 2018.
Il est considéré comme le changement le plus important en matière de protection des données à caractère personnel dans ces 20 dernières années. Le règlement a été conçu afin d’harmoniser partout en Europe les lois sur la protection des données à caractère personnel, d’améliorer la protection de tous les citoyens européens et de renforcer le pouvoir qu’ils ont sur leurs données.

Il redéfinit ainsi la façon dont les entreprises abordent la protection des données. Toutes les entreprises sont impactées, à commencer par la vôtre. En tant que partenaire de E-Synaps vous nous confiez des données à caractère personnel – que vous avez vous-mêmes recueillies ou que nous recueillons pour vous – et vous vous demandez légitimement comment nous avançons sur ce sujet. E-Synaps protège les données à caractère personnel.

Chez E-Synaps, nous prenons votre vie privée ainsi que la protection des données à caractère personnel très au sérieux. Les principes de licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation des durées de conservation, intégrité, confidentialité et de responsabilité sont ceux posés par l’article 5 du RGPD. DPO – CIL – Data Privacy Officer – Délégué à la protection des données.

Afin de consolider ces efforts, nous avons récemment nommé un Data Privacy Officer (DPO) afin de renforcer les niveaux de sécurité les plus élevés que nous atteignons et ainsi protéger les données que vous nous confiez. Déclaration CNIL du 29/08/2018 numéro DPO-22224

Licéité, Loyauté et Transparence

L’information des personnes concernées, leur consentement et la nécessité de la collecte sont des notions clefs et constituent la base de l’action de E-Synaps, dans la mesure où nous traitons des données de santé. Nous continuerons à informer nos utilisateurs sur l’étendue des traitements que nous réalisons (quoi, pourquoi, où, pour combien de temps…) tout au long de leur parcours et dès lors qu’ils exercent leurs droits d’accès, de modification, de suppression et/ou à l’oubli… Conformément à l’article 7, paragraphe 2 du RGDP, et dès lors que cela est nécessaire, nos utilisateurs donnent d’ailleurs leur consentement de manière clairement identifiable.

Limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité

Nos équipes R&D sont formées et organisées pour intégrer les exigences de confidentialité et de sécurité dans toutes leurs actions. Pour chaque nouvelle fonctionnalité développée, nous appliquons une politique stricte en matière de confidentialité et de protection des données. Cette politique impose une revue de chaque traitement par notre. Deux examens sont effectués :

  • Une revue juridique, pour contrôler la conformité du traitement au regard du RGPD et de la législation nationale applicable (règles de protection des données et de la vie privée, secret médical, déontologie…). Ce niveau de validation inclut des questions typiques telles que : Avons-nous vraiment besoin de collecter cette information ? Combien de temps aurons-nous besoin de la garder? Comment et quand allons-nous l’effacer ? Qui y a accès ?
  • Une revue technique, pour assurer le bon niveau de protection. Ce niveau de validation inclut des questions typiques telles que: De quelles protections techniques avons-nous besoin (cryptage, anonymisation, pseudo-anonymisation) ? Toutes les meilleures pratiques sont-elles respectées ? Devrions-nous faire vérifier la fonctionnalité par un tiers ? Dès lors que des données de santé sont en jeu ou que nous considérons qu’il existe un risque élevé pour les droits et libertés des personnes concernées, nous effectuons une analyse d’impact sur la protection des données (ou PIA), telle que prévue par l’article 35 du RGPD. Nous avons également fait le choix d’être régulièrement audités sur les traitements, notre niveau de conformité et nos systèmes d’information en général, afin de nous améliorer continuellement et de rester au “niveau de l’art”.

Responsabilité

Ce principe est souvent vu comme un changement culturel. Le RGPD exige que le responsable de traitement veille à ce que tous les principes sus-nommés soient respectés et puisse démontrer qu’il s’y conforme. Notre DPO veille à ce que toutes les mesures techniques et organisationnelles en place soient conformes aux critères posés par le RGPD, ce qui implique notamment une cartographie de tous les traitements, de tous les sous-traitants et un registre des activités de traitement… Mais surtout, nous travaillons en étroite collaboration avec les autorités de protection des données en France et sommes hébergés chez un hébergeur de données de santé à caractère personnel agréé par la ministère de la santé

Retour au RSPS