Les présentes conditions encadrent le traitement des données à caractère personnel mises à disposition par l’Agence technique de l’information sur l’hospitalisation (ATIH).
Dans l’hypothèse où l’utilisateur est amené à accéder à des données à caractère personnel, il s’engage alors à :
- avoir un compte utilisateur unique, individuel, nominatif et incessible
- lorsqu’une adresse de courriel est requise, avoir une adresse de courriel professionnelle valide indiquée dans son compte
- avoir les habilitations strictement nécessaires à l’exercice de ses missions
- traiter uniquement les données nécessaires à ses missions, dans le cadre des finalités de traitement, en respectant les durées de conservation et règles de sécurité prévues ;
- être astreint au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal ;
- assurer la sécurité des données, en particulier leur confidentialité, en prenant toutes les précautions nécessaires ;
- alerter donneespersonnelles@atih.sante.fr en cas de problème avéré ou potentiel de sécurité concernant des données (faille de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à ces données).
Lorsque les données à caractère personnel sont relatives à la santé (ex : données PMSI, autres données du Système national des données de santé (SNDS), données médico-sociales…), leur traitement constitue une dérogation au secret médical. Dans ce cas, l’utilisateur s’engage également à :
- respecter les conditions de traitement prévues par la loi et/ou par l’autorisation de la Cnil (ex : intérêt public, transparence des résultats…) et notamment, sauf obligation contraire :
- ne pas traiter les données à des fins de réidentification ;
- exporter seulement des données anonymes (données sous la forme de statistiques agrégées de telle sorte que les personnes concernées ne puissent être identifiées directement ou indirectement) ou, pour les données du tableau de bord de la performance dans le secteur médico-social, garantir la confidentialité des données auxquelles il accède (en particulier, en ne diffusant pas les données à des personnes non habilitées à en recevoir communication) ;
- pour le traitement de données du Système national des données de santé (SNDS) incluant les données PMSI : respecter les dispositions du référentiel de sécurité applicable au SNDS et ne pas poursuivre les finalités interdites du SNDS précisées à l’article L. 1461-1 du code de la santé publique (la promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé ; l’exclusion de garanties des contrats d’assurance et la modification de cotisations ou de primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque)
Quelques compléments et références :
- Notion de donnée à caractère personnel (site internet de la Cnil)
- Notion de donnée à caractère personnel relative à la santé (site internet de la Cnil)
- Le SNDS (site internet de la Cnil)
- Dispositions applicables au SNDS (incluant les données PMSI) : Articles R1461-1 à R1461-17 du code de la santé publique
Historique des dernières modifications :
– octobre 2023 : ajout des conditions relatives au compte utilisateur, l’adresse de courriel et les habilitations