Politique de protection des données – personnes externes
Professionnel de santé associé au parcours de soin ou intervenant dans un protocole de recherche clinique, fournisseur, prestataire de services ou prestataire sélectionné agissant selon nos instructions
L’Institut Jérôme Lejeune est soucieux de la protection de vos données personnelles. En tant que responsable de traitement, nous veillons à assurer le meilleur niveau de protection et de confidentialité de ces données collectées dans le cadre de nos activités de soin, de recherche et de nos relations d’affaires. L’Institut Jérôme Lejeune s’engage à respecter le Règlement Général sur la Protection des Données (RGPD) et la Loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée (LIL).
Les données personnelles (ou données à caractère personnel) correspondent à toute information se rapportant directement ou indirectement à une personne identifiée ou identifiable. Elles font l’objet de traitements papier ou informatisés.
Nous vous informons, ci-dessous, de la manière dont nous traitons ces données. Cette page est régulièrement actualisée.
L’Institut Jérôme Lejeune (dont le siège social est situé 31 rue Galande 75005 Paris et qui exerce son activité 37 rue des Volontaires 75015 Paris) est responsable du traitement des données.
Les données que l’Institut Jérôme Lejeune collecte auprès du professionnels de santé (le terme « Professionnel » désigne tout professionnel de santé identifié dans un référentiel national. Les catégories des professionnels de santé sont définies à la quatrième partie du code de la santé publique) et des fournisseurs comme les prestataires d’outils numérique sont nécessaires pour lui permettre de répondre aux finalités suivantes :
- Gestion de la prise en charge les patients en lien avec les professionnels de santé externes ;
- Gestion des recherches cliniques impliquant des professionnels de santé externes ;
- Gestion de la relation contractuelle avec les fournisseurs ;
- Gestion de la facturation ;
- Gestion de la communication envers nos partenaires externes ;
- Gestion des contentieux ;
- Gestion des demandes d’exercices de droits ;
- Gestion des éventuels incidents de sécurité relatifs aux données personnelles ;
- Pilotage des activités de soin et production d’indicateurs.
De façon générale, l’Institut Jérôme Lejeune ne traite aucune de vos données à des fins incompatibles avec celles pour lesquelles elles ont été collectées, sauf avec votre accord préalable.
L’Institut Jérôme Lejeune collecte vos données personnelles uniquement lorsque leur collecte et leur traitement reposent sur un fondement juridique.
| Finalité des traitements | Base légale |
| Gestion de la prise en charge les patients en lien avec les professionnels de santé externes. | Mission d’intérêt public |
Gestion des recherches cliniques impliquant des professionnels de santé externes. | Intérêt légitime |
Gestion de la relation contractuelle avec les fournisseurs, prestataires de services ou prestataires sélectionnés agissant selon nos instructions. Gestion de la facturation | Exécution des mesures précontractuelles ou exécution d’un contrat Respect d’une obligation légale |
Gestion de la communication envers nos partenaires externes | Intérêt légitime |
| Gestion des contentieux | Intérêt légitime |
Gestion des demandes d’exercices de droits. Gestion des éventuels incidents de sécurité relatifs aux données personnelles. | Respect d’une obligation légale Respect d’une obligation légale |
L’Institut Jérôme Lejeune collecte différents types de données personnelles notamment :
Professionnels de santé :
- Les données d’identification : noms et prénoms, adresse professionnelle, numéros de téléphone professionnel, adresse électronique professionnelle, adresse mail sécurisée professionnelle, numéro RPPS ;
- Les informations relatives à votre situation professionnelle : CV signé (dans le cadre de la recherche clinique) ;
- Les informations relatives à la structure professionnelle.
Fournisseurs, prestataires de services ou prestataires sélectionnés agissant selon nos instructions
- Les données d’identification : noms et prénoms, adresse professionnelle, numéros de téléphone professionnel, adresse électronique professionnelle.
- Les informations relatives à la structure professionnelle (RIB, statut, n° SIRET, n° SIREN).
Les données recueillies proviennent des annuaires à la disposition du public, de l’espace public ou nous ont été transmises par vos soins ou le cas échéant par votre employeur (qui est notre partenaire par exemple).
Les données sont conservées par l’Institut Jérôme Lejeune pendant le temps nécessaire à la réalisation des finalités décrites dans cette politique, majorées des délais légaux de prescription.
En matière de prise en charge du patient, les données sont conservées trente ans après la dernière consultation du patient à l’Institut Jérôme Lejeune.
En matière de gestion de recherche clinique, les données des professionnels de santé intervenant dans la recherche sont conservées pour une durée conforme à la réglementation en vigueur.
En matière de gestion de la relation contractuelle, les données sont conservées trois ans après la fin de la relation contractuelle.
En matière de gestion de la facturation, les données sont conservées pour une durée conforme à la réglementation en vigueur.
Gestion de la communication envers nos partenaires externes, les données sont conservées tant que la personne ne s’oppose pas au traitement de leurs données.
En matière de gestion des demandes d’exercice des droits RGPD, les données seront conservées le temps de l’instruction de votre demande, puis archivées 5 ans.
En matière de gestion des éventuels incidents de sécurité relatifs aux données personnelles, les données seront conservées le temps de la gestion de l’incident, puis archivées 5 ans.
En matière d’établissement, d’exercice ou de défense de réclamations légales contre l’Institut Jérôme Lejeune, les données personnelles seront conservées pour une durée conforme à la réglementation en vigueur.
L’Institut Jérôme Lejeune met en œuvre toutes les mesures techniques, physiques et organisationnelles pour assurer la sécurité et la confidentialité de vos données lors de la collecte, du traitement et du partage de vos données contre les risques d’accès illégitime, de modification non désirée ou de disparition de vos données.
Les infrastructures de l’Institut Jérôme Lejeune sont protégées contre les logiciels malveillants. L’accès physique et distant aux serveurs hébergeant les données est contrôlé. Des tests d’intrusion sont réalisés, ainsi que des sauvegardes régulières avec des tests de restauration. La sécurité de votre terminal, à partir duquel vous vous connectez au site de l’Institut Jérôme Lejeune, relève de votre responsabilité.
Dans le cas où l’Institut Jérôme Lejeune serait susceptible de faire appel à des prestataires pour traiter une partie de vos données, il s’engage à vérifier qu’ils présentent des garanties suffisantes pour assurer la protection des données personnelles qui leur sont confiées conformément aux exigences en matière de protection des données.
En cas de violation de données personnelles, c’est-à-dire en cas d’incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de vos données personnelles, l’Institut Jérôme Lejeune s’engage à respecter ses obligations conformément à la réglementation en vigueur en matière de protection des données personnelles et de cybersécurité.
Les professionnels de l’Institut Jérôme Lejeune sont sensibilisés à la confidentialité des données qu’ils traitent par des campagnes régulières d’information.
Vos droits sur vos données
Droit d’accès à vos données
Vous pouvez obtenir de l’Institut Jérôme Lejeune la confirmation que vos données sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès à l’ensemble des données et informations détenues par l’Institut Jérôme Lejeune.
Droit de rectification de vos données
Vous pouvez obtenir de l’Institut Jérôme Lejeune, dans les meilleurs délais, la rectification des données vous concernant qui seraient inexactes ou erronées. Vous pouvez également demander que vos données soient complétées, le cas échéant.
Droit à l’effacement de vos données
Sauf obligations légales applicables, vous pouvez demander à l’Institut Jérôme Lejeune l’effacement, de vos données, si notamment, vous estimez que le traitement réalisé par l’Institut Jérôme Lejeune sur ces données n’est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées.
Droit d’opposition au traitement de vos données
Vous pouvez vous opposer à certains traitements des données vous concernant et dont le fondement juridique n’est pas l’exécution d’un contrat ou le respect d’une obligation légale à laquelle l’Institut Jérôme Lejeune est soumis. Vous devez alors mettre en avant des raisons tenant à votre situation particulière.
Droit à la limitation du traitement de vos données
Vous pouvez demander à l’Institut Jérôme Lejeune le gel temporaire de l’utilisation de certaines de vos données dans l’un des cas suivants :
- Vous contestez l’exactitude des données utilisées par l’Institut Jérôme Lejeune,
- Vous vous opposez à ce que vos données soient traitées,
- En cas d’usage illicite mais vous vous opposez à leur effacement,
- Vous en avez besoin pour la constatation, l’exercice ou la défense de droits en justice.
Droit à la portabilité de vos données
Vous disposez du droit de récupérer les données que vous avez fournies sous une forme couramment utilisée et lisible par une machine, pour votre usage personnel ou pour les transmettre à un tiers de votre choix. Ce droit ne s’applique que lorsque le traitement de vos données est basé sur un contrat et que ce traitement est effectué par des moyens automatisés.
Droit de donner des directives post mortem
Vous disposez, par ailleurs, d’un droit de définir le sort de vos données personnelles après votre décès. Vous pouvez nous transmettre vos directives post mortem en adressant un courrier, au DPO de l’Institut Jérôme Lejeune mentionnant en objet « Directives post mortem ». Vous pouvez, à tout moment, modifier ou révoquer vos directives.
Droit d’introduire une réclamation auprès de la CNIL
Si vous considérez que vos droits ne sont pas respectés ou que la protection de ses données n’est pas assurée conformément au RGPD, vous pouvez, à tout moment, introduire une réclamation auprès d’une autorité de contrôle compétente (en France, la CNIL).
L’exercice de vos droits
Pour exercer l’un de vos droits, nous vous prions de bien vouloir adresser votre demande à : dpo@institutlejeune.org ou par voie postale : Délégué à la Protection des Données – Institut Jérôme Lejeune, 37 rue des Volontaires, 75015 Paris.
Toute demande doit préciser, en objet, le motif de la demande (exercice du droit d’accès, d’opposition, etc.). La demande doit également être accompagnée d’un justificatif d’identité et préciser l’adresse à laquelle doit parvenir la réponse.
L’Institut Jérôme Lejeune vous adressera sa réponse dans un délai maximum d’un (1) mois, à compter de la date de réception de votre demande. Ce délai peut toutefois être prolongé de deux (2) mois en raison de la complexité et du nombre de demandes.
De manière générale, pour toute question relative à la présente politique de protection des données Professionnels externes ou pour toute demande relative à la gestion de vos données personnelles par l’Institut Jérôme Lejeune, vous pouvez adresser votre demande par email ou par courrier, comme indiqué ci-dessus.
L’Institut Jérôme Lejeune ne communique les données qu’elle collecte qu’à ses services internes habilités en raison de leurs fonctions ainsi qu’à ses partenaires :
- Autres professionnels de santé (par exemple, dans le cadre d’une structure de coopération, d’exercice partagé ou de coordination sanitaire ou médico-sociale), dans le cadre de la coordination ou de la continuité des soins, de la prévention ou du suivi médico-social.
- Les partenaires de recherche académiques et industriels situés en France ou à l’international (chercheurs et organismes de recherche dans le domaine de la déficience intellectuelles d’origine génétique).
Certaines données sont transmises aux autorités habilitées conformément à la réglementation en vigueur (Trésor Public, Assurance Maladie obligatoire et complémentaire, Agence Régionale de Santé, Ministère chargé de la Santé, Commissaires aux comptes, Institutions judiciaires…).
Vos données sont hébergées sur des serveurs sécurisés en France.
Toutefois, si les données venaient à être transférées hors EEE, par le biais de nos partenaires, nous apporterions une attention toute particulière à ce que ces derniers traitent les données dans le plus strict respect de la règlementation en vigueur en matière de protection des données personnelles. Dans le cas où ces derniers seraient situés dans un pays ne faisant pas l’objet d’une décision d’adéquation par la Commission Européenne, reconnaissant un niveau de protection équivalent à celui prévu par l’Union Européenne, un contrat-type sera rédigé afin de se conformer au modèle établi et approuvé par la Commission Européenne (Clauses Contractuelle Types) accompagné de mesures sécuritaires complémentaires. Dans ce cas, vous avez la faculté d’accéder aux documents autorisant ce transfert.