Préambule

La présente politique de confidentialité (ci-après la « Politique ») décrit en détail la manière dont la société Sclépios I.A. (ci-après « Sclépios ») collecte, utilise et protège les données à caractère personnel des utilisateurs de l’application Sclépios I.A., incluant les personnels soignants et les patients. Cette Politique couvre les données collectées à partir de l’application Sclépios I.A. intégrée au Dossier Patient Informatisé (DPI) des hôpitaux ainsi que les données administratives liées aux activités de traitement des utilisateurs.

L’objectif principal de cette Politique est de fournir une transparence complète quant aux traitements de données mis en œuvre par Sclépios, de rassurer les utilisateurs quant à la protection de leur vie privée et de s’assurer que toutes les pratiques respectent scrupuleusement les exigences de la Réglementation Générale sur la Protection des Données (RGPD) et de la Commission Nationale de l’Informatique et des Libertés (CNIL).

1. Responsable du Traitement

Sclépios I.A. agit en tant que Responsable de Traitement des données personnelles dans le cadre de l’utilisation de l’extension Sclépios I.A., permettant ainsi de garantir la conformité avec le RGPD et de répondre aux attentes des utilisateurs en matière de protection des données.

  • Désignation : Vincent OSCAR, de la société CEPIA Consulting, est le Délégué à la Protection des Données (DPO) externe de Sclépios. En tant que DPO, Vincent OSCAR veille à ce que toutes les procédures de traitement de données respectent les normes de sécurité et les bonnes pratiques de la protection des données.
  • Contact DPO : Pour toute question relative à la gestion des données personnelles, vous pouvez contacter le DPO à l’adresse suivante : dpo@sclepios-ia.com, 210 Boulevard Constantin Descat, 59200 Tourcoing, France. Le DPO est disponible pour répondre aux questions des utilisateurs concernant leurs droits et fournir des explications supplémentaires si nécessaire.

2. Délégué à la Protection des Données (DPO)

Le Délégué à la Protection des Données, Vincent OSCAR, de la société CEPIA Consulting, est en charge de la conformité de Sclépios avec le RGPD. En plus de conseiller Sclépios sur la conformité, il est également responsable de la vérification de la bonne exécution des analyses d’impact sur la protection des données (AIPD) et du suivi des activités de traitement. Le DPO a pour rôle d’être l’interlocuteur privilégié entre Sclépios, les autorités de régulation, et les personnes concernées par les traitements.

3. Finalités des Traitements de Données

Les données personnelles collectées sont traitées pour diverses finalités précises, chacune contribuant à améliorer la qualité des soins, l’efficacité des opérations administratives, et l’expérience globale des utilisateurs de l’application. Voici les différentes finalités détaillées :

  • Optimisation des Actes Médicaux et Administratifs : L’application permet d’optimiser les actes médicaux et administratifs par l’extraction sécurisée des données des DPI des patients. Ces données sont ensuite traitées par une intelligence artificielle (Large Language Model, ou LLM) avant leur réintégration dans le DPI. Ce traitement permet d’améliorer la rapidité et l’exactitude de la prise en charge des patients.
  • Codage des Diagnostics : Les données sont analysées afin de proposer un codage des diagnostics selon la classification CIM-10, ainsi que de suggérer un codage adapté pour les actes médicaux et paramédicaux selon les nomenclatures CCAM. Ce codage est crucial pour la facturation correcte des actes médicaux et pour la documentation des dossiers.
  • Identification des Actes Réalisés : L’identification des actes médicaux et paramédicaux réalisés permet de suggérer un codage précis selon les nomenclatures CCAM et, le cas échéant, selon les nomenclatures CCMU (Classification Commune des Maladies et Usages). Cela permet de mieux valoriser les soins prodigués et d’assurer une traçabilité adéquate.
  • Proposition de Scores de Tri : L’application permet de proposer des scores de tri basés sur des protocoles validés par le service concerné et par la Société Française de Médecine d’Urgence (SFMU). Ces scores facilitent la prise de décision rapide et appropriée aux urgences, assurant une priorisation efficace des patients en fonction de la gravité de leur état.
  • Rédaction de Prescriptions et Courriers de Sortie : La rédaction automatisée des prescriptions médicales et des courriers de sortie, personnalisés à chaque patient, est une fonctionnalité essentielle pour gagner du temps tout en maintenant la précision des informations transmises. De plus, la possibilité de traduire ces documents en plusieurs langues contribue à la prise en charge des patients non francophones.
  • Importation de Données Médicales : Importation des données médicales depuis des supports PDF ou les pages de résultats biologiques afin d’améliorer la qualité et la quantité d’informations dans le dossier médical. Cela permet d’éviter les erreurs dues à la saisie manuelle et d’assurer une continuité des soins optimale.
  • Utilisation de la Dictée Vocale : Une fonctionnalité de dictée vocale intelligente est proposée pour faciliter la saisie des informations médicales. Cela améliore le processus de documentation médicale, permettant aux soignants de se concentrer davantage sur la prise en charge directe des patients.
  • Intégration de Photos Médicales : Utilisation d’une fonctionnalité de prise de photos permettant d’intégrer facilement des informations textuelles directement au sein du dossier médical.
  • Calcul de Scores Cliniques : Calcul automatique de scores de tri selon les protocoles du service d’urgence (IOA). Ce processus vise à standardiser les évaluations des patients afin de s’assurer que tous reçoivent une prise en charge équivalente.
  • Amélioration Continue : Recueil des avis des utilisateurs via des questionnaires de satisfaction. Ces données sont analysées pour améliorer l’extension, adapter les fonctionnalités aux besoins spécifiques des utilisateurs, et identifier les domaines nécessitant des améliorations futures.
  • Gestion Administrative et Commerciale : Gestion des licences de l’application, suivi des activités, mises à jour des logiciels, et assistance technique. Cela inclut aussi la mise en œuvre d’actions commerciales visant à accroître l’adoption de l’application par les nouveaux utilisateurs et partenaires potentiels.

4. Catégories de Données Collectées

4.1 Pour les Patients

Les données traitées incluent :

  • Données d’identification : Nom, prénom, âge, sexe, adresse électronique, etc. Ces informations sont indispensables pour identifier un patient de manière unique.
  • Données médicales : Antécédents médicaux, diagnostics, traitements, prescriptions, données relatives aux consultations et observations médicales. Ces informations sont nécessaires pour assurer une continuité de soins.
  • Données démographiques : Origine ethnique (uniquement lorsque nécessaire à un diagnostic), situation professionnelle. Ces données peuvent être importantes pour déterminer des facteurs de risque spécifiques liés à l’état de santé.
  • Données de localisation : Ville, quartier de résidence. Ces informations sont collectées pour des analyses épidémiologiques ou pour faciliter les interventions d’urgence.
  • Données d’ordre financier : Facturation, numéros de séjour, IEP. Ces informations sont utilisées pour la gestion des paiements et des remboursements.

4.2 Pour les Utilisateurs de Sclépios I.A.

  • Données d’identification : Nom, prénom, poste, fonction. Ces informations permettent d’identifier les utilisateurs autorisés de l’application.
  • Données de connexion : Date, heure et emplacement de la connexion. Ces données sont collectées à des fins de sécurité et de traçabilité des accès.
  • Avis et Commentaires : Avis sur l’utilisation de l’application Sclépios I.A. Ces avis sont cruciaux pour améliorer les fonctionnalités et répondre aux besoins des utilisateurs.

5. Base Légale des Traitements

Les traitements de données personnelles sont fondés sur plusieurs bases légales, notamment :

  • Intérêt Légitime : L’amélioration des services, la sécurité des données, l’efficacité des processus médicaux et la traçabilité des actes médicaux. L’intérêt légitime constitue la base pour certains traitements indispensables à la gestion et à l’amélioration de l’application.
  • Consentement des Personnes Concernées : Notamment pour le traitement des données sensibles. Le consentement est requis pour certaines opérations spécifiques telles que la collecte de données de santé destinées à l’amélioration des services.
  • Obligations Légales : Conformément aux règles de bonne pratique établies par le RGPD et la CNIL, certaines informations doivent être traitées pour se conformer aux exigences réglementaires.

6. Droits des Personnes Concernées

Conformément à la loi Informatique et Libertés et au RGPD, les utilisateurs et les patients disposent des droits suivants :

  • Droit d’accès : Obtenir confirmation que des données sont traitées et en recevoir une copie sous un format accessible. Ce droit garantit la transparence des traitements de données.
  • Droit de rectification : Corriger les données inexactes ou incomplètes. Cette correction peut être effectuée sur demande si les informations détenues sont incorrectes.
  • Droit à l’effacement : Demander l’effacement des données personnelles, sous réserve des obligations légales de conservation. Cela inclut la suppression de toutes les données lorsque celles-ci ne sont plus nécessaires.
  • Droit à la limitation du traitement : Demander la suspension d’un traitement sous certaines conditions. Par exemple, pendant que la véracité des données est contestée par la personne concernée.
  • Droit à la portabilité : Non concerné.

7. Mesures de Sécurité

Pour garantir la sécurité des données personnelles, Sclépios I.A. met en œuvre un ensemble de mesures techniques et organisationnelles rigoureuses. Ces mesures incluent :

  • Chiffrement des Données : Toutes les données en transit sont chiffrées avec AES-GCM (Advanced Encryption Standard – Galois/Counter Mode). Ce chiffrement assure la confidentialité et l’intégrité des données pendant leur transmission.
  • Pseudonymisation et Anonymisation des Données : Les données sont anonymisées avant leur transfert aux services externes et pseudonymisées pour les analyses statistiques. Le numéro de dossier (IEP) est crypté avec SHA-256 afin de garantir la confidentialité des données médicales tout en permettant un suivi statistique anonyme.
  • Accès Restreint : L’accès aux données est limité aux seules personnes ayant une autorisation spécifique, sur la base du besoin fonctionnel. Les utilisateurs doivent se connecter via des méthodes d’authentification sécurisées, y compris l’utilisation de clés API et la reconnaissance d’IP.
  • Surveillance et Journalisation : Toutes les interactions avec les données sont enregistrées afin de surveiller et de vérifier les accès et les modifications. Cela inclut la journalisation des accès, des tentatives d’accès non autorisées et des modifications effectuées sur les données.
  • Authentification et Autorisation Renforcées : L’accès aux systèmes et aux données est sécurisé par des techniques d’authentification multifactorielle, y compris l’utilisation de l’authentification à deux facteurs (2FA) et des comptes nominatifs pour l’accès aux serveurs et aux systèmes de gestion des données.
  • Sécurité des Points de Terminaison : Les points de terminaison des utilisateurs (comme les navigateurs) utilisent des technologies modernes pour sécuriser l’interaction avec les systèmes, y compris les mises à jour régulières des navigateurs pour éviter les vulnérabilités connues.
  • Intégrité des Données : Utilisation d’algorithmes de vérification d’intégrité pour s’assurer que les données ne sont pas altérées pendant leur transfert, incluant les tags d’authentification dans AES-GCM.
  • Anonymisation des Données Sensibles : Avant tout traitement, les données médicales des patients sont anonymisées par suppression ou modification des identifiants personnels pour éviter toute ré-identification.
  • Conformité aux Normes de Sécurité : L’infrastructure utilise des serveurs certifiés ISO 27001 et HDS (Hébergeur de Données de Santé) afin de se conformer aux standards les plus rigoureux de protection des données de santé.
  • Surveillance des Intrusions : Mise en place d’un système de détection des intrusions pour identifier toute activité suspecte sur le réseau ou les serveurs où les données sont traitées.
  • Gestion des Clés de Chiffrement : Les clés de chiffrement sont générées de manière unique pour chaque requête et ne sont jamais stockées sur des serveurs externes ; elles sont gérées côté client afin de minimiser le risque de compromission.
  • Plan de Continuité d’Activité (PCA) : Mise en place d’un PCA pour garantir la disponibilité des données et des services, même en cas de panne majeure ou d’incident de sécurité. Ce plan inclut la sauvegarde régulière des données.

8. Partage des Données

Les données personnelles peuvent être partagées avec les entités suivantes :

  • Sous-Traitants : OVH pour l’hébergement des données, Microsoft Azure pour le traitement des données par LLM.
  • Autorités de Régulation : CNAM, ARS, commissaires aux comptes, pour l’exercice de leurs missions réglementaires.
  • Partenaires Tiers : Dans le cadre de la gestion des demandes et de l’amélioration des services, des partenaires peuvent accéder aux données de manière sécurisée et limitée, uniquement après obtention du consentement des personnes concernées.

9. Sous-Traitants

Sclépios I.A. fait appel à des sous-traitants pour assurer certaines activités liées au traitement des données personnelles. Ces sous-traitants sont rigoureusement sélectionnés et doivent garantir la conformité avec les exigences du RGPD et la sécurité des données traitées. Les sous-traitants actuels incluent :

  • Microsoft Azure : Fournisseur de services cloud, responsable de l’hébergement des données traitées par le Large Language Model (LLM) dans le cadre des fonctionnalités de Sclépios I.A. Microsoft Azure assure le stockage des données dans des centres certifiés HDS situés en Europe, garantissant une protection optimale des données traitées.
  • OVH : Hébergeur de données responsable du stockage des informations administratives et médicales traitées par Sclépios I.A. OVH est certifié HDS et garantit la sécurité des données personnelles.
  • CEPIA Consulting : Société de conseil en conformité RGPD. CEPIA Consulting est chargée de la désignation du DPO et de la réalisation des audits pour vérifier la conformité des traitements de données.

Chaque sous-traitant est lié par un contrat de sous-traitance incluant des clauses de protection des données conformes aux clauses contractuelles types de la Commission européenne. Ces contrats prévoient également la mise en place de mesures de sécurité appropriées pour assurer la protection des données.

10. Durée de Conservation des Données

Les données collectées seront conservées pendant :

  • Patients : Conservation pour la durée légale d’archivage des données médicales, conformément aux obligations légales en vigueur, et notamment pour permettre une continuité des soins.
  • Utilisateurs : Conservation des données de connexion pendant un an après la fin de l’utilisation de l’extension. Cette durée peut être prolongée en cas de nécessité administrative ou légale.

11. Transfert des Données en Dehors de l’Union Européenne

Les données personnelles ne sont pas transférées en dehors de l’UE. Microsoft Azure assure le traitement des données au sein de centres de données situés en Europe, certifiés HDS (Hébergeur de Données de Santé) et conformes aux exigences du RGPD. Les centres de données Azure utilisés par Sclépios sont situés dans des pays de l’UE afin de garantir la sécurité et la conformité des données sensibles. De plus, tous les transferts internes de données entre les centres sont sécurisés à l’aide de technologies de cryptage de pointe, garantissant ainsi l’intégrité et la confidentialité des informations. Microsoft Azure s’engage également à respecter des audits réguliers de sécurité et des contrôles stricts pour s’assurer que les mesures de protection des données respectent les normes les plus élevées en matière de sécurité informatique et de protection de la vie privée.

12. Politique de Cookies

Sclépios utilise des cookies pour améliorer la navigation sur le site et l’application. Ces cookies collectent des données de navigation pour analyser le trafic et améliorer la performance du site. Les utilisateurs peuvent paramétrer leurs préférences concernant les cookies à tout moment, et sont informés de l’usage de ces cookies lors de leur première visite sur le site ou l’application.

Les types de cookies utilisés comprennent :

  • Cookies Strictement Nécessaires : Ces cookies sont indispensables au fonctionnement du site et permettent d’utiliser des fonctionnalités essentielles, telles que l’accès à des zones sécurisées.
  • Cookies de Performance : Utilisés pour collecter des informations sur la manière dont les utilisateurs interagissent avec le site, afin de l’améliorer et de répondre plus efficacement aux attentes des utilisateurs.
  • Cookies Fonctionnels : Permettent de mémoriser les choix que vous faites (tels que votre nom d’utilisateur, votre langue, ou la région où vous vous trouvez) afin de vous fournir des fonctionnalités améliorées et plus personnalisées.

13. Mise à Jour de la Politique de Confidentialité

Sclépios peut être amené à modifier la présente Politique afin de se conformer aux changements législatifs, réglementaires, ou technologiques. Toute mise à jour sera communiquée aux utilisateurs via les canaux appropriés, y compris par e-mail et par notification dans l’application. Une mise à jour de cette Politique sera notamment effectuée en cas de changement des finalités des traitements ou de l’intégration de nouveaux partenaires tiers.

14. Contact

Pour toute question concernant la présente Politique, vous pouvez contacter le Délégué à la Protection des Données (DPO) de Sclépios I.A., Vincent OSCAR, à l’adresse suivante : dpo@sclepios-ia.com ou par courrier à l’adresse suivante : 210 Boulevard Constantin Descat, 59200 Tourcoing, France. Le DPO est également disponible pour répondre aux demandes concernant l’exercice des droits des personnes concernées, telles que le droit d’accès ou le droit à l’effacement des données.


Certification ISO 27001

Sclépios I.A. est certifié ISO 27001, une norme internationale de sécurité de l’information. Cette certification démontre l’engagement de Sclépios à maintenir un système de gestion de la sécurité de l’information robuste et à protéger les données personnelles de manière optimale. La certification ISO 27001 couvre tous les aspects de la sécurité des informations, y compris la gestion des risques, la sécurité des actifs, le contrôle d’accès, et la résilience des systèmes. En adoptant des pratiques standardisées et reconnues au niveau international, Sclépios garantit la protection des données de santé et de toutes les informations sensibles manipulées au sein de son infrastructure. Cette certification assure également aux utilisateurs et partenaires que les données traitées par Sclépios sont sécurisées selon les normes les plus élevées de l’industrie.