Finalité du traitement de données "myHCL"
Les Hospices Civils de Lyon (HCL) traitent les données recueillies dans myHCL pour offrir des parcours de soins numériques aux patients des HCL et faciliter le travail des personnels administratifs et soignants des HCL.
myHCL peut être utilisé par le patient lui-même ou par ses responsables légaux ou par un proche de confiance désigné par le patient : on nommera par la suite "l'utilisateur" la personne qui utilise myHCL. Dans le cas général, l'utilisateur et le patient sont donc la même personne mais parfois ce n'est pas le cas.
myHCL permet à l'utilisateur :
• De prendre rendez-vous aux HCL.
• D'envoyer des informations administratives aux bureaux des admissions des HCL.
• De payer ses factures émises par les HCL.
• D'envoyer un formulaire à un service de soins HCL avant sa venue à l'hôpital.
• De créer un compte utilisateur myHCL.
• S'il a un compte utilisateur, l'utilisateur peut également, depuis son compte sécurisé myHCL :
Voir et annuler les rendez-vous du patient aux HCL.
Consulter les documents du patient transmis par les HCL (comptes-rendus, ordonnances, résultats d'examen...).
Consulter les rappels et consignes liés au parcours de soin du patient aux HCL.
Transmettre des formulaires de télésuivi ou de consentement aux soignants des HCL qui suivent le patient.
Stocker des documents administratifs ou médicaux utiles aux démarches et au suivi médical du patient.
(S'il est inscrit à un autre portail ViaPatient de la région) Consulter les documents et rendez-vous transmis par les autres établissements dans lesquels il est suivi.
myHCL permet aussi (finalités secondaires) :
• De répondre à des enquêtes de satisfaction anonymes proposées par les HCL.
• De recevoir la newsletter "Parlons santé !".
Bases légales du traitement
Le traitement des données saisies par l'utilisateur dans myHCL se base sur un consentement explicite de l'utilisateur (article 6-a du RGPD). Dans chaque formulaire ou démarche proposée, que l'utilisateur ait un compte ou pas, un message de consentement précisant la destination des données saisies est affiché. Si l'utilisateur refuse, aucune donnée n'est enregistrée dans myHCL.
Le traitement des données reçues par l'utilisateur dans myHCL (compte-rendus, rendez-vous ...) se base sur un contrat de service (article 6-b du RGPD) qui est accepté par l'usager lorsqu'il crée son compte ou lors de sa première connexion. Une fois le contrat de service myHCL accepté, les HCL envoient automatiquement au patient concerné, dans myHCL, les documents, rendez-vous, consignes dont il est destinataire.
Catégories de données traitées
• Données d'identification :
-> identité du patient et de l'utilisateur si différents,
-> identité des professionnels référencés dans l'annuaire de myHCL et dans les pages contenant des formulaires de suivi.
• Coordonnées du patient et de l'utilisateur si différents.
• Données de santé du patient.
• Données liées à la vie personnelle du patient : habitudes de vie, comportement, situation familiale, loisirs.
• Traces : historique des accès aux données et des modifications des données personnelles du patient et de l'utilisateur.
• Cookies : cookies techniques utilisés pour l'authentification et pour maintenir la session de l'utilisateur active pendant la durée de sa session.
• Données économiques et financières :
- Carte mutuelle et informations de prise en charge du patient destinées au bureau des admissions.
- Numéro et montant de la facture pour la page de paiement en ligne.
Remarque : aucune coordonnée bancaire n'est saisie ni traitée dans myHCL.
• NIR/INS : numéro de sécurité sociale et identité nationale de santé du patient.
Source des données traitées
• Données d'identification liées au patient et à l'utilisateur : si le patient est inscrit à myHCL par un professionnel des HCL, elles proviennent du dossier patient informatisé des HCL. Sinon, si le patient ou l'utilisateur réalise une démarche sans avoir de compte ou crée son compte lui-même sur myHCL, ses données d'identification proviennent en partie du dossier patient informatsé des HCL et en partie du patient ou de l'utilisateur lui-même.
• Données d'identification des professionnels : l'annuaire est mis à jour par les services de soins eux-mêmes et par la Direction des Services Numériques HCL.
• Coordonnées : recueillies lors de l'inscription du patient à myHCL et en cas d'ajout d'un nouvel utilisateur à un patient déjà inscrit, elles proviennent du dossier patient informatisé des HCL ou de l'utilisateur et peuvent être modifiées par l'utilisateur par la suite dans myHCL.
• Données de santé du patient : les rendez-vous, rappels, consignes et documents (comptes-rendus, ordonnances et résultats d'examens) affichés dans myHCL proviennent du dossier patient informatisé des HCL et des dossiers patients informatisés des autres établissements qui possèdent un portail ViaPatient auquel le patient est inscrit. Par exemple si le patient est suivi aux HCL et au Centre Léon Bérard (CLB) et est inscrit à myHCL et au portail ViaPatient du Centre Léon Bérard (myCLB), alors il verra dans son compte myHCL ses rendez-vous et documents transmis par les HCL et ceux transmis par le CLB (NB : il est le seul à les voir : les professionnels n'accèdent pas au contenu du compte myHCL). Les données des formulaires destinés aux soignants et leurs pièces jointes sont saisies par l'utilisateur dans myHCL, s'il le souhaite.
• Données liées à la vie personnelle du patient (habitudes de vie, comportement, situation familiale, loisirs): ces données sont remplies par l'utilisateur dans myHCL, s'il le souhaite.
• Traces : ces données sont recueillies automatiquement par le site myHCL au fil des actions réalisées par l'utilisateur dans myHCL et à chaque fois qu'une donnée est transmise par les HCL dans son compte myHCL.
• Cookies : ces données sont recueillies automatiquement par le site myHCL lors de la connexion de l'utilisateur et détruites quand il se déconnecte ou que sa session se termine.
• Données économiques et financières : ces données sont saisies par l'utilisateur dans myHCL, s'il le souhaite.
• NIR/INS : le NIR est saisi par l'utilisateur dans myHCL, s'il le souhaite. L'INS est recueilli automatiquement lors de son inscription et provient du dossier patient informatisé des HCL.
Personnes concernées
Le traitement de données myHCL concerne :
• Le patient des HCL, ou futur patient (en cas d'inscription en maternité ou de première demande de rendez-vous par exemple).
• Le ou les utilisateurs, c'est-à-dire les personnes qui utilisent myHCL pour le patient s'il ne peut le faire lui-même (responsables légaux, proches de confiance).
• Les professionnels des HCL référencés dans les pages du site, par exemple dans la page "Prendre rendez-vous".
Caractère obligatoire du recueil des données
Les données suivantes sont obligatoirement recueillies pour pouvoir utiliser myHCL :
• Identification et coordonnées (sauf en cas de réponse à une enquête anonyme),
• Cookies d'authentification (sauf en cas d'utilisation ponctuelle de myHCL sans créer de compte utilisateur).
• Réception dans myHCL des documents et rendez-vous du patient (sauf en cas d'utilisation ponctuelle de myHCL sans créer de compte utilisateur).
Les autres données recueillies dans myHCL ne sont pas obligatoires.
C'est le patient ou l'utilisateur qui choisit :
• s'il veut recevoir dans myHCL des rappels, consignes ou messages en lien avec son parcours de soins (ce choix s'exerce auprès des soignants),
• s'il veut recevoir des notifications en cas de nouveau document ou message dans myHCL (ce choix se fait dans la page "Mon compte"),
• s'il veut recevoir la newsletter "Parlons santé !" (ce choix se fait dans la page "Mon compte"),
• s'il souhaite saisir et enregistrer des informations dans myHCL : à chaque formulaire ou demande de RDV postée dans myHCL, l'utilisateur est informé sur les destinataires et l'usage qui sera fait de ses données. Il peut alors confirmer ou annuler l'envoi du formulaire ou de la demande.
C'est le professionnel qui choisit le figurer dans l'annuaire des professionnels ou pas et de proposer des formulaires de suivis ou pas.
Prise de décision automatisée
myHCL ne réalise aucune prise de décision automatisée. Toutes les informations affichées dans myHCL (documents, consignes, rappels, rendez-vous, formulaires) sont rédigées par des professionnels. Leur contenu varie en fonction du parcours de soin du patient et des services dans lesquels il est suivi.
Catégorie de destinataires
En fonction de leurs besoins respectifs, sont destinataires de tout ou partie des données :
• Les patients des HCL, leurs responsables légaux et/ou leurs proches de confiance qui utilisent myHCL pour eux. Cet accès se fait dans myHCL.
• Les agents des bureaux des admissions des HCL : ils accèdent aux données administratives transmises par l'utilisateur, via leur logiciel métier.
• Les secrétaires des services de soins HCL où le patient est suivi : ils accèdent aux demandes de RDV et formulaires transmis par l'utilisateur à leur service, via leur logiciel métier.
• Les soignants (infirmier.e.s, médecins, sage-femmes, rééducateurs ...) des services de soins où le patient est suivi : ils accèdent aux demandes de RDV et formulaires transmis par l'utilisateur à leur service, via leur logiciel métier.
• Les administrateurs informatiques des HCL : ils accèdent aux données d'identification et de connexion des patients et utilisateurs, via les écrans d'administration de myHCL (back-office).
• Les équipes de recherche ou les cellules qualité en cas d'enquête anonyme : ils accèdent aux données anonymisées sous forme de fichier.
• Le site payfip.gouv.fr : il récupère les informations saisies dans la page "Payer ma facture" qui sont utilisées pour pré-remplir l'écran dans lequel l'utilisateur réalise le paiement.
Aucun transfert de données hors de l'Union européenne n'est réalisé.
Toutes les données sont hébergées au sein des HCL, sur une plateforme agréée pour l'hébergement de données de santé, sans aucun transfert hormis :
• les informations saisies dans la page "Payer ma facture" qui sont transmises au site payfip.gouv.fr,
• les demandes ou formulaires saisis par l'utilisateur, qui peuvent être réintégrés dans le dossier patient informatisé des HCL et dans le logiciel du bureau des admissions par les personnels HCL destinataires. Ces professionnels n'accèdent pas à myHCL mais restent dans leur logiciel métier, dans lequel ils voient et peuvent réintégrer les informations transmises par l'utilisateur depuis myHCL.
Durée de conservation des données
Les informations personnelles du patient et de l'utilisateur sont conservées au maximum 10 ans après la dernière connexion de l'utilisateur, ou 10 ans après enregistrement de la donnée en cas d'utilisation de myHCL sans compte. Cette conservation peut prendre fin avant 10 ans si le patient ou l'utilisateur supprime son compte ou exerce son droit de suppression des données, dans les conditions décrites ci-après.
Pendant cerre période, les HCL mettent en place tous moyens aptes à assurer la confidentialité et la sécurité des données personnelles stockées dans myHCL, de manière à empêcher leur endommagement, effacement ou accès par des tiers non autorisés.
Les informations sur les professionnels sont conservées le temps où ces professionnels exercent aux HCL et peuvent être retirées avant sur demande à la Direction des Services Numériques HCL.
Exercer vos droits
Vous pouvez supprimer votre compte myHCL et vos données personnelles à tout moment depuis votre espace personnel, rubrique "Mon compte". Dans le cas où le patient est un enfant rattaché au compte utilisateur de 2 responsables légaux, la suppression du compte d'un responsable légal supprimera uniquement les données de l'utilisateur mais pas les données du patient. Les données du patient seront supprimées quand le deuxième responsable légal supprimera également son compte.
Vous pouvez accéder et obtenir copie des données vous concernant, vous opposer au traitement de ces données, les faire rectifier ou les faire effacer. Vous disposez également d'un droit à la limitation du traitement de vos données.
Le délégué à la protection des données (DPO) des HCL est votre interlocuteur pour toute demande d'exercice de vos droits sur ce traitement.
• Contacter le DPO par voie électronique : dpo@chu-lyon.fr
• Contacter le DPO par courrier postal :
Le délégué à la protection des données HCL
Direction des Affaires Juridiques HCL
3, Quai des Célestins
69002 LYON
Réclamation (plainte) auprès de la CNIL
Si vous estimez, après avoir contacté le DPO des HCL, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à la CNIL :
https://www.cnil.fr/fr/webform/adresser-une-plainte