dnnées de Health Inf Net Le traitement des dnnées persnnelles chez Health Inf Net AG () 1 Dispsitins générales 1.1 But et champ d applicatin Le dmaine de la santé est régi par des dispsitins légales particulièrement rigureuses en ce qui cncerne le traitement des dnnées médicales. En tant que prestataire de services de traitement de dnnées (cryptage, transprt, gestin d autrisatin d accès), (Health Inf Net AG, Winterthur) recnnaît l imprtance particulière de la prtectin des dnnées persnnelles dans le dmaine médical. Les dnnées persnnelles que la sciété recueille dans le cadre de l établissement et du maintien de ses relatins avec ses clients snt sumises aux pratiques générales des entreprises ; il n y a en revanche aucune limitatin spécifique au secteur. La présente directive sur la prtectin des dnnées régit le traitement des dnnées persnnelles par. Sn bjectif est de rendre transparents la nature et l bjet des dnnées sauvegardées ainsi que la gestin des autrisatins d accès et d utilisatin de ces dnnées. 1.2 Bases légales La base légale est définie par la législatin helvétique, plus particulièrement les dispsitins sur la prtectin des dnnées (LPD, OLPD). D autre part, s appliquent les dispsitins spécifiques aux furnisseurs d accès à Internet. Les cntrats cnclus snt régis par le drit des bligatins suisse. S appliquent également, en plus du cntenu cntractuel, les cnditins générales et les dispsitins cadre pur la transmissin des dnnées électrniques de qui fnt partie intégrante du cntrat. 1.3 Principes du traitement des dnnées On entend par dnnée persnnelle «tute infrmatin relative à une persnne identifiée u identifiable» i. Pur le traitement de ce type de dnnées (acquisitin, stckage, utilisatin, mdificatin/transfrmatin, publicatin, archivage u suppressin), énnce les principes suivants: établit uniquement des bases de dnnées nécessaires à l bjectif énncé. assure un transprt sécurisé des dnnées et e-mails. Pur cela, les dnnées-envelppe d une transactin snt sauvegardées. Les cntenus des transactins snt sauvegardés uniquement dans le cadre de sauvegardes autmatiques du serveur. ne cède pas de dnnées à des tiers. n acquiert pas de bases de dnnées persnnelles établies de manière illégale. ne cmmunique pas de dnnées persnnelles à des tiers, à l exceptin du cas de figure de l exécutin d une bligatin cntractuelle envers un client. Ce cas de figure est précisé dans le descriptif des prestatins pur chaque prduit. Tute persnne dnt les dnnées snt traitées par peut exercer sn drit de demande de renseignements. Le cas échéant, dit mtiver tute restrictin de ce drit. Tute persnne dnt les dnnées snt traitées par a la pssibilité de chisir une échelle de diffusin (vir pint 2.2). Health Inf Net AG, éditin V1.6 septembre 2010. Page 1 de 5
dnnées de Health Inf Net Le traitement des dnnées persnnelles chez Health Inf Net AG () 2 Gestin des dnnées chez 2.1 Bases de dnnées S ensuit le détail de la liste des bases de dnnées pur l explitatin, l administratin, la cmmunicatin avec les clientes et clients u déculant des prestatins légales établies par. Pur chaque base de dnnées est précisé le but de sn établissement, les persnnes autrisées à cnsulter et à traiter les dnnées et la pssibilité u nn de les cmmuniquer dans des cnditins strictes (vir pint 4.2) à des partenaires cntractuels. Fichier clientèle (Administratin et service-clients) Infrmatins de cntact pur l identité, dmaine partiel du fichier clients (Identité, annuaire abnnés ) Adresses e-mail (élément imprtant de l infrmatin client) Dnnées relatives aux prduits, cntrats, factures (administratin et service clients) Dnnées cncernant l histrique des cntacts / clients / crrespndances suivi des relatins clientèle Cnsultatin/traitement par cllabrateurs Cmmunicatin uniquement à des partenaires cntractuels en exécutin d une prestatin cntractuelle mise à dispsitin des prestatins d annuaires aux abnnés, pt ut par le client pssible, par ex. abnnement test fnctin de base incnturnable d une identité à clé publique et plate-frme de gestin des drits Cnsultatin/traitement par cllabrateurs Cmmunicatin uniquement à des partenaires cntractuels en exécutin d une prestatin cntractuelle Entretien des relatins clients Est mise à dispsitin des prestatins d annuaires aux abnnés, pt ut par le client pssible, par ex. abnnement test Cnsultatin/traitement par cllabrateurs Cnsultatin via le dmaine prtégé de l annuaire abnnés pur l ensemble des participants entretien des relatins clients Cnsultatin/traitement uniquement par des cllabrateurs Cmmunicatin réservée aux partenaires cntractuels en exécutin d une prestatin cntractuelle entretien des relatins clients Cnsultatin/traitement uniquement par des cllabrateurs Pas de cmmunicatin Health Inf Net AG, éditin V1.6 septembre 2010. Page 2 de 5
dnnées de Health Inf Net Le traitement des dnnées persnnelles chez Health Inf Net AG () Bases de dnnées nn mdifiables Dnnées de cnnexin Dnnées audit trail fnctinnement des applicatins et respect d bligatins légales pur furnisseurs d accès à Internet Pas de traitement Accès réservé au persnnel autrisé Pas de cmmunicatin Garantir la traçabilité de l ensemble des transactins sur la platefrme Supprt centralité d évaluatin du respect des chartes de sécurité Imprtant élément de préventin d utilisatin abusive de la platefrme Seules les persnnes exerçant la fnctin ci-dessus nt le drit de cnsulter les dnner: Chargé de la sécurité Assistance et explitatin Client mais uniquement dans le cadre de sn drit de cnsultatin de sn prpre audit de traçabilité Tiers, sur mandat de la justice traitement: aucun, aucune mdificatin pssible Pas de cmmunicatin 2.2 La prtectin technique des dnnées prend des dispsitins rganisatinnelles et techniques pur la prtectin des bases de dnnées établies. La prtectin cuvre les risques suivants: suppressin nn autrisée u aléatire; perte aléatire; erreurs techniques; truquage, vl u utilisatin frauduleuse; mdificatin, cpie, accès u autres traitements nn autrisés. Les mesures prises snt actualisées en permanence afin de suivre l évlutin de la technique. Health Inf Net AG, éditin V1.6 septembre 2010. Page 3 de 5
dnnées de Health Inf Net Le traitement des dnnées persnnelles chez Health Inf Net AG () 3 Le traitement des dnnées persnnelles chez 3.1 Qui est autrisé à traiter les dnnées persnnelles? Les bases de dnnées décrites sus 2.1 snt établies en interne à partir des infrmatins furnies par les participants à lrs de leur inscriptin u lrs de l utilisatin des services. Ces infrmatins snt tirées des dnnées cntractuelles (ex. accrd cntractuel ), et fnt l bjet de vérificatins. Les dnnées imprtantes et pertinentes pur la santé snt vérifiées dans les listes et registres centraux. Différentes activités de l explitatin pératinnelle cmme le suivi des relatins clientèle, le fnctinnement technique, la facturatin des prestatins et le traitement de la crrespndance nécessitent l utilisatin de ces dnnées. L utilisatin s effectue au sein d unités rganisatinnelles: Centrale d appel, backffice, supprt, gestin, centre infrmatique. Ces activités snt exécutées par les cllabrateurs. Ceux-ci snt tenus par une bligatin de secret prfessinnel figurant dans leur cntrat de travail. 3.2 Qui est autrisé à transférer des dnnées persnnelles? Une persnne peut transférer uniquement les dnnées qui la cncernent elle-même. Tute persnne dnt les dnnées snt stckées dans les bases de dnnées mdifiables mentinnées sus 2.1 a les drits suivants: Drit de demander des renseignements Tute persnne dnt les dnnées snt traitées par peut exercer sn drit de demande de renseignements. Les restrictins au drit de renseignement ii mentinnées dans la li snt également applicables, en particulier ne dnne pas de suite aux demandes cncernant la crrespndance avec/entre des tiers u des cllabrateurs. Drit à la crrectin Des infrmatins errnées u inexactes peuvent faire l bjet de réclamatins et leur mdificatin peut être demandée par la persnne cncernée u sn représentant légal. Cas particulier pur les entreprises Les emplyés d une entreprise peuvent aussi adhérer à. S il apparaît clairement que ces persnnes entretiennent uniquement une relatin de client avec en qualité de suppsés d une entreprise, cette entreprise est autrisée à dispser des cntrats et dnnées en questin. S il n est pas clairement établi que le cntrat a été passé exclusivement pur le cmpte de l entreprise, des transferts snt autrisées uniquement avec l accrd du titulaire du cntrat en questin. 3.3 Prcédure pur le transfert de dnnées persnnelles Les demandes de mdificatin d infrmatins cncernant une persnne divent être dépsées par écrit. Ceci vaut pur les mdificatins u les résiliatins de cntrats, ainsi que pur les mdificatins d adresse. Cette dispsitin a vcatin de prtéger les abnnés de manipulatins nn autrisées par des tiers. Health Inf Net AG, éditin V1.6 septembre 2010. Page 4 de 5
dnnées de Health Inf Net Le traitement des dnnées persnnelles chez Health Inf Net AG () 4 La cmmunicatin de dnnées persnnelles 4.1 Principes cncernant la cmmunicatin de dnnées persnnelles ne cmmunique par principe pas de dnnées relatives à des persnnes. Les dnnées relatives à des persnnes ne peuvent être ni cédées, ni mises à la dispsitin d rganisatins partenaires. Néanmins, la cmmunicatin de dnnées persnnelles à des partenaires cntractuels de est autrisée dans des cas particuliers. Ces cas de figure snt sumis à des bligatins cntractuelles de prtectin de dnnées. 4.2 Les cnditins des exceptins Pur une cmmunicatin de dnnées persnnelles à des partenaires cntractuels de, l ensemble des cnditins suivantes dit être rempli (cnditins cumulatives): La cmmunicatin de dnnées persnnelles est autrisée uniquement si le destinataire s est engagé envers par une cnventin garantissant la prtectin des dnnées cmmuniquées. La cmmunicatin de dnnées persnnelles est autrisée uniquement si le but de leur utilisatin a fait l bjet de dispsitins limitant leur utilisatin au but précisé dans ledit cntrat. La cmmunicatin de dnnées persnnelles est autrisée uniquement si le vlume des dnnées faisant l bjet de cmmunicatin ne dépasse pas la quantité nécessaire pur le but défini. Les demandes de cmmunicatin de dnnées effectuées sur la base de dispsitins légales ne tmbent pas dans le dmaine d applicatin de ces cnditins. 1 Art. 3 a LPD ii Art. 8 LPD et art. 9 LPD Health Inf Net AG, éditin V1.6 septembre 2010. Page 5 de 5