top of page
Politique de confidentialité

POLITIQUE DE

CONFIDENTIALITE

Afin de préciser notre politique de protection des données à caractère personnel traitées dans le cadre des études, enquêtes et recherches qui nous sont confiées, nous en expliquons le détail à travers cette Charte de Confidentialité.

Charte de confidentialité.

Spécifique aux projets de collecte et traitements de données de type Enquête | Etudes |  Recherches

INTRODUCTION

 

La présente Politique de Confidentialité s'applique à l’ensemble des projets (RIPH ou non RIPH) type Enquête, Etude ou Recherche pour lesquels la société Sanoïa e-Health Services SAS traite des données à caractère personnel. L’ensemble est désigné ci-après sous l’expression « le Dispositif ».

Sanoïa CRO intervient dans le Dispositif en tant que Responsable de la mise en œuvre des traitements (RMOT), et ainsi se fait fort de -conformément aux instructions du Responsable de traitement (RT) porteur du projet- de respecter et de protéger la vie privée et la confidentialité des données des personnes concernées (“Personnes Concernées”) :

  • Les utilisateurs des systèmes d’information mis à disposition par Sanoïa :

    • Les personnes participant à un projet du Dispositif qui participent après avoir -selon le régime réglementaire du projet- exprimé leur consentement, ou leur non opposition et été dûment informé (ex : patients pour une étude RIPH ou professionnels de santé pour une enquête sur les pratiques) ;

    • Les membres d'un site d'investigation (ex : investigateurs et ARC)  participant à un projet du Dispositif, si le design du projet le prévoit ;

    • Les collaborateurs de Sanoïa en charge des Opérations Cliniques d’un projet du Dispositif (ex : ARC) si le design du projet le prévoit ;

  • Les tiers (ex : pharmacien, aidant, médecin non membre du site d’investigation, etc.) impliqués dans la prise en charge des personnes participant à un projet du Dispositif comme “patient” et pouvant être mentionnées ou concernées par une évaluation faite par ces personnes participant (ex : satisfaction des soins, qualité de la relation, parcours de prise en charge, etc.), si le design du projet le prévoit.

 

La présente Politique de Confidentialité a pour but de présenter aux Personnes Concernées :

  • La manière et la finalité dont sont collectées et traitées leurs données à caractère personnel - on désigne comme « donnée à caractère personnel » (DCP) toute donnée se rapportant à une personne physique identifiée ou identifiable ;

  • Les responsabilités au regard des traitements de données à caractère personnel traitées et détenues par Sanoïa dans le cadre de ses missions de RMOT pour le compte Responsable de traitement porteur du projet (ex : promoteurs d’études lors de projet type RIPH ou responsable de projet lors de projet de type non RIPH) ;

  • Les droits dont bénéficient les Personnes Concernées au regard de ces données, et la façon dont ils peuvent les exercer ;

  • Les destinataires de ces données et leur durée de conservation.

 

Les mentions et indications présentes dans les notices d’information spécifiques à chaque projet du Dispositif complètent et le cas échéant prévalent sur la présente Politique de Confidentialité.

 

RESPONSABILITÉS

1. Responsable de traitement

 

Sanoïa e-Health Services est responsable de la mise en œuvre des traitements (RMOT) pour le compte des “promoteurs” ou “porteurs de projet”, qui sont Responsables de traitement. 

Le responsable des traitements de données à caractère personnel est toujours explicitement mentionné dans la notice d’information de l’enquête, de l’étude ou de la recherche clinique, communiquée à la personne concernée avant sa participation.

La société Sanoïa e-Health Services SAS est prise en la personne de sa présidente Naïma Hamamouche.

 

2. Obligations du responsable de traitement

Le responsable des traitements de données à caractère personnel détermine la finalité des traitements et les moyens mis en œuvre pour l’atteindre. 

Il s'engage à protéger les données à caractère personnel collectées, à ne pas les transmettre à des tiers sans que l'utilisateur n'en ait été informé et à respecter les finalités pour lesquelles ces données ont été collectées.

Il s'engage à notifier l'utilisateur en cas de rectification ou de suppression des données, à moins que cela n'entraîne pour lui des formalités, coûts et démarches disproportionnées.

Dans le cas où l'intégrité, la confidentialité ou la sécurité des données à caractère personnel de l'utilisateur est compromise, lui faisait courir un risque important, le responsable du traitement s'engage à informer l'utilisateur par tout moyen.

Comme le dispositif légal l’y oblige en tant que RMOT, Sanoïa veille à communiquer avec le Responsable de traitement afin de s’assurer du bon respect des engagements ci-dessus.

3. Délégué à la Protection des Données (DPO)

Le DPO du Responsable de Traitements est indiqué dans la notice d’information de l’étude, de l’enquête ou de la recherche clinique, communiquée à la personne concernée avant sa participation. Il est le contact privilégié de la Personne Concernée sauf mention particulière à la précédente notice d’information.

A titre d’information, Sanoïa a désigné auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) un Délégué à la Protection des Données (DPO), sous le n° de désignation DPO-135167 qui peut être contacté à l’adresse : dpo@sanoia.com.

 

COLLECTE ET TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL

 

Conformément aux dispositions de l'article 5 du Règlement européen 2016/679 pour la protection des données (RGPD), la collecte et le traitement des données des personnes concernées par le Dispositif respectent les principes généraux suivants :

  • Licéité, loyauté et transparence : les données des personnes concernées par le Dispositif ne peuvent être collectées et traitées qu'avec leur consentement, ou après une information complète s’il s’agit de données traitées dans le cadre de l’exécution d’un contrat ou de l’application d’une obligation légale, ou dans le cadre d’une recherche réalisée sous une méthodologie de référence ou autorisation de la CNIL le permettant. A chaque fois qu’un nouveau type de données à caractère personnel viendra à être collecté, il sera indiqué à l'utilisateur que ses données sont collectées, et pour quelles raisons ses données sont collectées.

    • Dans le cas de coordonnées de Tiers, notamment Professionnels de Santé, collectés auprès des utilisateurs, une information leur sera transmise lors du premier contact afin de leur laisser la possibilité d’une opposition.

  • Finalités limitées : la collecte et le traitement des données sont exécutés pour répondre à un ou plusieurs objectifs indiqués dans la présente Politique de Confidentialité et/ou dans la notice d’information de chaque projet du Dispositif, et répondant à des objectifs de recherche déterminés au protocole de l’étude / enquête / recherche.

  • Minimisation de la collecte et du traitement des données : seules les données nécessaires à la bonne exécution des objectifs poursuivis par chaque projet du Dispositif sont collectées.

  • Conservation des données réduites dans le temps : les données sont conservées pour une durée limitée, précisée à l’utilisateur dans la notice d’information de chaque projet du Dispositif. Cette durée est celle strictement nécessaire à la réalisation du projet du Dispositif et à son archivage conformément aux dispositions légales et recommandations de la CNIL.

  • Intégrité et confidentialité des données collectées et traitées : le Responsable de traitement porteur du projet et Sanoïa, en tant que RMOT, s'engagent conjointement à garantir la sécurité, l'intégrité et la confidentialité des données collectées.

 

La licéité du traitement de données à caractère personnel réalisé dans le cadre de la mise en œuvre des projets du Dispositif, conformément aux exigences de l'article 6 du Règlement européen 2016/679, s’appuie selon les cas sur le consentement libre et éclairé ou sur la non opposition ou sur la simple information de la Personne Concernée.

 

Les spécificités de chaque traitement sont décrites aux Utilisateurs dans la notice d’information de chaque projet du Dispositif.

NATURE DES DONNÉES

 

1. Données traitées, finalité, durée de conservation

Les DCP collectées dans le cadre d’un projet du Dispositif peuvent être :

a. relatives à l’état de santé (au sens large) du participant à un projet comme “patient”, nécessaires aux objectifs scientifiques du projet, et collectées auprès de professionnels de santé participant à ce même projet comme investigateur ou membre de l’équipe d’investigation, et issues du dossier médical tenu par ceux-ci dans le cadre de la prise en charge de leur patient par exemple : historique des traitements, valeur d’un score d’activité de maladie, etc. – ces données étant collectées par des outils de la plateforme internet mise à disposition par Sanoïa, ou par voie d’intégration “Server2Server” entre les systèmes informatiques tiers et celle-ci ;

 

b. relatives à l’état de santé (au sens large) du participant à un projet comme “patient”, nécessaires aux objectifs scientifiques du projet, et collectées auprès de professionnels de santé participant à ce même projet comme investigateur ou membre de l’équipe d’investigation, et ce spécifiquement pour les besoins du projet, par exemple : valeur biologique particulière, estimation de l’autonomie selon le professionnel de santé, etc. – ces données étant collectées par des outils de la plateforme internet mise à disposition par Sanoïa ;

 

c. relatives à l’utilisation qui est faite des outils de la plateforme internet mis à disposition par Sanoïa par les utilisateurs (journal de connexion, historique des actions, etc.) nécessaires aux objectifs de sécurité et d’auditabilité, ou à des objectifs scientifiques;

 

d. relatives aux coordonnées (email et téléphone mobile) des utilisateurs, nécessaires aux objectifs de bon fonctionnement et de sécurité de la plateforme internet mise à disposition par Sanoïa (ex : OTP par SMS) ;

 

e. relatives l’expérience au sens large du participant à un projet comme “patient”, nécessaires aux objectifs scientifiques du projet, et collectées auprès de lui directement (ex : qualité de vie, satisfaction, représentations, connaissances, accompagnement, mesure de l’activité de la maladie, santé mentale, etc.) – ces données étant collectées par des outils de la plateforme internet mise à disposition par Sanoïa ou par des opérateurs téléphoniques spécialisés consignant ensuite ces données dans ce type d’outil ;

 

f. relatives à des paramètres mesurés par un “objet connecté” (dispositif médical ou non) ou tout autre équipement numérique nomade, utilisé par le participant à un projet comme “patient”, qu’il soit utilisé spécifiquement ou non pour les besoins du projet, nécessaires aux objectifs scientifiques du projet – ces données étant collectées par des outils de la plateforme internet mise à disposition par Sanoïa ou par voie d’intégration “Server2Server” entre celle-ci et les systèmes informatiques tiers dudit objet connecté ou dudit équipement numérique ;

 

g. relatives à la consommation de soins du participant à un projet comme “patient” et issues du Système National de Données de Santé (SNDS) – ces données étant collectées et traitées par une procédure sécurisée décrite à la notice d’information et au protocole du projet (“appariement”) ;

 

h. relatives à des données de prise en charge du participant à un projet comme “patient”, issues d’un système de suivi de cette prise en charge par des professionnels de santé non membres de l’équipe d’investigation – ces données étant collectées par voie d’intégration “Server2Server” entre les systèmes informatiques tiers et la plateforme internet mise à disposition par Sanoïa ;

 

i. relatives à des données environnementales du participant à un projet comme “patient” et issues de systèmes spécialisés (ex : suivi pollution, météorologie, etc.) – ces données étant collectées par voie d’intégration “Server2Server” ou par importation entre les systèmes informatiques tiers et plateforme internet mise à disposition par Sanoïa;

 

j. relatives à des caractéristiques biologiques ou génétiques du participant à un projet comme “patient” – ces données étant collectées et traitées par une procédure sécurisée décrite à la notice d’information et au protocole du projet (biobanque) ;

 

k. relatives aux performances en termes de complétion des données de la part de professionnels de santé participant à un projet comme investigateurs ou membres de l’équipe d’investigation afin de rémunérer les parties prenantes conformément aux dédommagements et surcoûts prévus par voie de convention.

 

La collecte et le traitement des données décrites ci-dessus répondent exclusivement aux finalités générales mentionnées et précisées dans la notice d’information de chaque projet du Dispositif. 

 

Les données collectées sont conservées dans les systèmes informatiques sécurisés de Sanoïa (à l’exception de 8 et 11) pendant la durée strictement nécessaire à la bonne fin de l’étude, de l’enquête ou de la recherche, telle qu’elle est précisée dans chaque notice d’information de chaque projet du Dispositif. En l’absence de mention les durées recommandées par la CNIL ou indiquées à l’éventuelle autorisation (pour les cas hors des Méthologies de Référence - MR) s’appliqueront.

2. Tiers destinataires de données

a. Mesures générales

 

Les données à caractère personnel collectées par un projet du Dispositif ne sont pas transmises à des tiers, hors le responsable de traitement lui-même, excepté dans le cadre spécifique de projets pour lesquels les tiers concernés sont explicitement mentionnés dans la notice d’information propre à chaque projet du Dispositif (ex : département biostatistique externe, etc.).

b. Cas des projets type RIPH conduit en MR001 ou MR003 ou autorisation CNIL  :

 

Les données pseudonymisées des participants à un projet comme “patient” seront accessibles aux personnes suivantes : 

  • Le personnel strictement habilité par le promoteur, dans la limite de ses attributions respectives ; 

  • Le personnel strictement habilité des sous-traitants techniques du promoteur, dans la limite de leurs attributions respectives, et en particulier au personnel strictement habilité du sous-traitant Sanoïa et de ses sous-traitants, notamment pour réaliser les analyses statistiques ;

  • Les experts indépendants chargés de ré-analyser les données pour vérifier les résultats de l’étude, en vue de leur publication, dans des conditions strictes de sécurité.

 

Ces personnes, soumises au secret professionnel, auront accès à vos données pseudonymisées dans le cadre de leurs fonctions et en conformité avec les réglementations en vigueur.

 

Les informations concernant l’identité des participants à un projet comme “patient” ne seront connues que par les personnes suivantes :

  • Le personnel soignant impliqué dans leur suivi ;

  • Les personnes mandatées par le promoteur pour contrôler l’exactitude des données collectées ;

  • Les autorités sanitaires ou de contrôle ;

  • Le délégué à la protection des données du promoteur, si ils le contactent ;

  • Une certaine catégorie du personnel (informaticiens) de Sanoïa, distincte du personnel ayant accès aux données de santé, aura accès à leur données d’identification (coordonnées électroniques et téléphoniques), à la seule fin de permettre l’envoi de messages “texte” automatiques pour les inviter à participer activement à l’étude ;

  • Dans des cas particuliers liés à l’obtention par le Responsable de Traitement d’une autorisation CNIL idoine, une certaine catégorie du personnel (“patients assistants”) de Sanoïa, distincte du personnel ayant accès aux données de santé préalablement collectées, aura accès à leur données d’identification, à la seule fin de les contacter pour collecter des données complémentaires selon un circuit déterminé au protocole du projet (ex : pharmacovigilance).

 

Ces personnes, soumises au secret médical et/ou secret professionnel, auront accès à vos données dans le cadre de leurs fonctions et en conformité avec les réglementations en vigueur.

3. Hébergement des données

Aucune donnée n’est transférée en dehors de l’Union Européenne ou d’un pays reconnu comme adéquat pour la protection des données par l’Union Européenne, que ce soit pour l’hébergement ou pour tout autre traitement, ou pour une sous-traitance.

 

Si un projet requiert la mise en œuvre d’une modalité de collecte ou traitement de données nécessitant un tel transfert le participant à un projet comme “patient” en sera informé par la notice d’information et des mesures de minimisation du risque seraient prises.

 

Les données à caractère personnel traitées dans le cadre de projet du Dispositif sont systématiquement hébergées par un hébergeur certifié HDS (hébergement de données de santé). 

 

Si des transits techniques ou mesures de stockage intermédiaires hors de ce type d’hébergement devaient être mis en place par une exigence du projet (ex : accès à une puissance de calcul massive) le participant à un projet comme “patient” en sera informé par la notice d’information et des mesures de minimisation du risque seraient prises.

 

DROITS DE L'UTILISATEUR

 

Conformément aux dispositions des articles 15 à 22 du Règlement européen 2016/679, l'utilisateur possède les droits ci-après énumérés. 

Ces droits peuvent être restreints dans certains cas, notamment en raison des règles spécifiques applicables à la recherche médicale (primauté de la recherche) ou en raison de mesures de sécurité avancées recourant à un anonymat complet de la collecte. Ces restrictions sont toujours explicitement précisées dans la notice d’information de chaque projet du Dispositif, communiquée à la personne concernée avant sa participation. 

1. Droits de l’utilisateur au regard des traitements de données à caractère personnel

a. Droit d'accès, de rectification et droit à l'effacement

Lorsque les modalités de l’étude, de l’enquête ou de la recherche le permettent, l'utilisateur peut prendre connaissance, mettre à jour, modifier ou demander la suppression des données le concernant – qu’il s’agisse de données renseignées par lui-même ou de données collectées directement par le dispositif à l’occasion d’une connexion ou d’une recherche.

 

b. Droit à la portabilité des données

L'utilisateur peut demander la portabilité de ses données personnelles détenues par Sanoïa et/ou par le responsable de traitement vers un autre site, en demandant la fourniture d’une archive sous un format aux standards du marché. Il doit formuler cette demande, selon le cas, au DPO du Responsable de Traitement ou à celui de Sanoïa.

 

c. Droit à la limitation et à l'opposition du traitement des données

L'utilisateur a le droit de demander la limitation ou de s'opposer au traitement de ses données par le responsable de traitement, sans que ce dernier ne puisse refuser, sauf à démontrer l'existence de motifs légitimes et impérieux, pouvant prévaloir sur les intérêts et les droits et libertés de l'utilisateur.

 

d. Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un procédé automatisé

L'utilisateur a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un procédé automatisé si la décision produit des effets juridiques le concernant, ou l'affecte de manière significative de façon similaire.

 

e. Droit de déterminer le sort des données après la mort

Il est rappelé à l'utilisateur qu'il peut organiser le devenir de ses données collectées et traitées s'il décède, conformément à la loi n°2016-1321 du 7 octobre 2016. S’il le souhaite, il doit faire parvenir à Sanoïa et/ou au responsable de traitement une notification écrite de sa directive anticipée.

 

f. Droit de saisir l'autorité de contrôle compétente

Dans le cas où le responsable du traitement des données décide de ne pas répondre à la demande de l'utilisateur, et que l'utilisateur souhaite contester cette décision, ou s'il pense qu'il est porté atteinte à l'un des droits énumérés ci-dessus, il est en droit de saisir la CNIL (Commission Nationale de l'Informatique et des Libertés, https://www.cnil.fr/fr/plaintes) ou toute juridiction compétente.

2. Conditions d’exercice de ses droits par l’utilisateur

Chacun de ces droits peut être exercé par e-mail ou par courrier postal auprès du Délégué à la Protection des Données (DPO) du Responsable de Traitement, précisé dans la notice d’information du projet, ou toute autre entité indiquée à ladite notice (ex : médecin investigateur).

Afin que ces droits ne puissent s’exercer au détriment d’un tiers et afin d’interdire toute usurpation d’identité, l'utilisateur est tenu de communiquer ses prénom et nom ainsi que son adresse e-mail ET une copie d’un document d’identité.

Le responsable du traitement des données est tenu de répondre à l'utilisateur dans un délai de 30 (trente) jours maximum.

 

Dans l’hypothèse où les droits de l’utilisateur se trouvent limités, le responsable de traitement répondra toutefois à la personne concernée pour lui expliciter la situation dans laquelle elle se trouve et la limitation de ses droits.

 

CONDITIONS DE MODIFICATION DE LA POLITIQUE DE CONFIDENTIALITÉ

 

La présente Politique de Confidentialité peut être consultée à tout moment à l'adresse https://www.sanoia-digital-cro.com/confidentialite-etudes-recherche

Le périmètre et les modalités des projets du Dispositif sont susceptibles d’évolution, et Sanoïa se réserve le droit de modifier la présente Politique de Confidentialité afin de garantir son exhaustivité et sa conformité avec le droit en vigueur. Par conséquent, les personnes concernées sont invitées à venir consulter régulièrement cette Politique de Confidentialité afin de se tenir informées des derniers changements qui lui seront apportés.

Toutefois, en cas de modification majeure, cette dernière sera portée à la connaissance des utilisateurs par différents moyens : information sur la page d’accueil du site internet ; e-mail ou sms sur les coordonnées mentionnées par l’utilisateur lorsque le projet auquel il participe le permet... 

 

Cette Politique de Confidentialité spécifique aux projets de collectes et traitements de données de type Enquêtes | Etudes | Recherches a été mise à jour le 1er octobre 2023.

bottom of page