Données personnelles

1 — Introduction

Lifen est la société éditrice des services Lifen et sera désignée par la suite « Lifen » pour les besoins des présentes.

Lifen accorde une grande importance à la protection de votre vie privée et de vos données personnelles. C’est un élément fondateur de la démarche de Lifen. Cette charte de protection des données personnelles (ci-après la « Charte »), a donc pour objet de vous présenter plus en détail l’approche de Lifen face à vos données personnelles, de vous expliquer les cas dans lesquels Lifen les collectent, les raisons justifiant cette collecte et ce que Lifen en fait. Elle présente aussi les mesures de sécurité que Lifen applique pour protéger leur confidentialité, rappelle vos droits sur vos données personnelles, et les moyens pour les exercer. De manière générale, votre attention est attirée sur le fait que les données collectées via Lifen sont des données sensibles et confidentielles qui nécessitent une vigilance particulière.

Ces données désignent les informations qui concernent des personnes physiques, identifiées ou identifiables, directement ou indirectement, y compris les données relatives à la santé physique ou mentale (ci-après les « Données personnelles »).
La Charte s’applique dans le respect des dispositions relatives à la protection des Données personnelles, et notamment,le Règlement européen 2016/679 du 27 avril 2016, et la loi Informatique et Liberté de 1978 modifiée, ainsi que les dispositions du Code de la santé publique (CSP). Cette Charte a vocation à s’appliquer aux patients inclus dans les différents projets d’étude et aux visiteurs lors de leur navigation sur le site lifen.co (ci-après le « Site »).

2 — Définitions

Pour les besoins des présentes, les termes et expressions définis ci-après, ont la signification suivante :

“Autorité de contrôle” désigne la Commission Nationale de l’Informatique et des Libertés (CNIL) ou toute autre autorité de contrôle compétente ;
“Compte Lifen” désigne un compte permettant à un utilisateur de se connecter à Lifen de manière authentifiée et sécurisée ;
“DPO” désigne le Délégué à la protection des données à caractère personnel, conformément à l’article 37 du RGPD ;
“Données à caractère personnel” désigne les informations qui concernent des personnes physiques, identifiées ou identifiables, directement ou indirectement, dont l’Utilisateur est le Responsable du traitement, et qui sont traitées par Lifen pour le compte du Client ;
“Données de santé à caractère personnel” désigne les Données à caractère personnel, relatives à la santé physique ou mentale d’une personne physique, comprenant notamment les données produites à l’occasion des activités de prévention, de diagnostic, de soin ou de dispensation de médicaments d’un Professionnel de santé et tout élément de nature à caractériser la santé d’une personne physique ;
“Patient” désigne les personnes concernées par les documents médicaux, les questionnaires médicaux ;
“Prestataire d’éditique” désigne le prestataire d’éditique, la société Corus, avec laquelle Honestica a conclu un contrat le 23 octobre 2018, ou tout autre prestataire assurant l’impression, la mise sous pli, et l’envoi par voie postale des comptes rendus en version papier.
“Loi” désigne toutes les lois et réglementations applicables aux traitements des Données à caractère personnel ;
“Professionnel de santé” désigne tout professionnel de santé exerçant au sein d’une structure libérale ou d’un établissement de santé, enregistré auprès de son ordre professionnel ou de son autorité d’enregistrement ;
“Responsable du traitement” désigne la personne physique ou morale, qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens des traitements des données à caractère personnel ;
“Sous-traitant” désigne la personne physique ou morale, qui traite des Données à caractère personnel pour le compte du Responsable du traitement ;
“Sous-traitant de second rang” désigne un Sous-traitant tiers mandaté par Lifen qui, dans le cadre de la prestation de services pour le compte de Lifen, est autorisé à traiter des Données à caractère personnel ;
“Traitements” désigne toute opération ou ensemble d’opérations, effectuées ou non à l’aide de procédés automatisés, et appliquées à des Données ou des ensembles de Données à caractère personnel ;

3 — Qui traite vos données personnelles ?

L’Établissement de santé, pour les Données personnelles de santé collectées. Lifen agit comme Sous-traitant. Cela signifie que Lifen, en sa qualité de Sous-traitant, ne traite ces Données personnelles que surinstruction de l’Établissement de santé. En tant que Responsable du traitement,l’Établissement de santé effectue les formalités nécessaires auprès del’Autorité de contrôle pour utiliser les services de Lifen. Lorsque Lifen n’est pas tenue de faire ces formalités, Lifen a néanmoins mis en place les mesures de sécurité et de confidentialité propres à garantir la protection de vos Données personnelles.

Lifen sous-traite certaines de ses activités pour la réalisation des services. Ainsi :

- L’hébergement et les services d’hébergement associés des Données personnelles traitées sont effectués auprès d’hébergeurs certifiés Hébergeurs de Données de Santé par le Ministre de la Santé, la société AWS et la société Microsoft France (Azure) ;

- L’impression, la mise sous pli, et l’envoi par voie postale des notes d’information patient qui nécessitent un envoi papier sont effectués par la société Corus.

Lifen s’engage à ce que ses Sous-traitants garantissent le même niveau de sécurité que le sien Le Responsable du traitement et les Sous-traitants y compris Lifen (ci-après les « Parties ») s’engagent à respecter la Loi applicable aux Traitements de Données à caractère personnel.

4 — À quelles fins vos données sont -elles traitées ?

Lifen traite vos Données personnelles uniquement pour :

- Constituer des cohortes, monocentriques ou multicentriques, dans le cadre de projets de recherche portés par les Responsables du traitement ;
- Extraire des comptes rendus médicaux de l’Établissement les données pertinentes (les « Variables d’intérêt ») définies par le Responsable du traitement l’aide d’algorithme d’intelligence artificielle ;
- Structurer des données extraites selon le protocole de recherche ;
- Faciliter l’exploitation des données médicales pseudonymisées à des fins cliniques ou de recherche à l’aide d’outils logiciels ;
- Constituer des tableaux de bord avec des données permettant le suivi des cohortes ;
- Fournir une interface de visualisation de données anonymisées et pseudonymisées permettant l’analyse des résultats ;
- Permettre la traçabilité entre le Patient et ses données pseudonymisées afin que le Responsable du traitement soit en mesure d’identifier le Patient à partir des données pseudonymisées, lorsque cela est nécessaire ;
- Suivre l'usage et le fonctionnement des services Lifen ;
- Permettre une meilleure navigation sur le Site.

Lifen n’utilise pas vos Donnéespersonnelles à d’autres fins que celles explicitement mentionnées ci-dessus, enparticulier Lifen n’utilise pas vos Données personnelles aux fins de démarchagecommercial ou marketing.
‍

5 — Quelles sont les données traitées ?

Les Données personnelles que nous traitons sont :

Des données personnelles de contact (nom, prénom, date de naissance, email, numéro de mobile, adresse postale) ;‍
Des données personnelles à caractère sensible (données de santé) que sont par exemple, les comptes rendus médicaux, les questionnaires médicaux, contenant notamment les Variables d’intérêt propres aux projets comme les antécédents, l’histoire de la maladie et les parcours de soin détaillés y figurant ;‍
Des données personnelles de traçabilité et de navigation sur le site (adresse IP, cookies, logs…).

Cookies
‍
De quoi s'agit-il ?

Un « cookie » est une information stockée sur votre appareil quand vous naviguez sur un site internet. Il permet d’identifier votre appareil à chaque visite.
‍
À quoi servent-ils ?

Nous utilisons des cookies afin de :
- Vous offrir une meilleure expérience de navigation sur le Lifen.fr ;
- Mesurer et améliorer les services proposés sur Lifen.fr.

Que pouvez-vous faire pour gérer les cookies stockés sur votre appareil ?

Vous pouvez accepter ou refuser les cookies. Si vous refusez les cookies, certains aspects de notre Site peuvent ne pas fonctionner sur votre appareil et vous pourriez ne pas pouvoir accéder à certaines fonctionnalités de notre Site.

6 — Que fait Lifen de vos données ?

Les Données personnelles de santé sont destinées au Responsable du traitement concerné. Lifen garantit qu’elles ne seront transmises à aucun tiers non autorisé, Les seuls Sous-traitantsde Lifen sont les hébergeurs et le Prestataire d’éditique définis à l’Article 3 de la présente Charte.

Les Données personnelles collectées dans les formulaires de contact, et les cookies, sont uniquement destinées aux administrateurs de Lifen. Lifen ne procède à aucun transfert de Données personnelles vers les pays qui ne sont membres, ni de l’Union européenne ni de l’Espace Économique Européen. Lifen pourrait cependant être amenée à communiquer à des tiers les Donnéespersonnelles qu’elle traite lorsqu’une telle communication est requise par la loi, une disposition réglementaire ou une décision judiciaire, ou si cette communication est nécessaire pour assurer la protection et la défense de ses droits.

Concernant les Données de santé à caractère personnel, Lifen s’engage, lorsque le cadre légal le permet :

- En priorité à ne communiquer les données demandées par l’autorité demandeuse que sur accord du Responsable de traitement ;
- A communiquer dans les meilleurs délais au Responsable de traitement tout élément d’information sur la portée des saisies et/ou sur les personnes concernées par les données saisies.

Le Responsable du traitement de Données de santé à caractère personnel, est responsable de :

- Superviser les Traitements ;
- Avoir procédé aux formalités déclaratives auprès de la CNIL nécessaires aux Traitements auxquels il procède via l’utilisation de Lifen.

Lifen, en tant que Sous-traitant, s’engage à :

- Procéder aux Traitements qui lui sont confiés, uniquement dans le cadre des finalités faisant l’objet des Traitements ;
- Tenir un registre des activités de Traitements ;
- Mettre à la disposition du Responsable du traitement, toutes les informations nécessaires pour démontrer le respect des obligations à sa charge ;
- Communiquer l’extrait de son registre des activités de Traitements correspondant au traitement relevant de la responsabilité du Responsable du traitement, sur demande écrite de ce dernier ;
- Faire respecter le secret professionnel le plus absolu concernant les Données de santé à caractère personnel qui transitent par Lifen aux personnes placées sous sa responsabilité ou aux prestataires susceptibles d’intervenir dans l’exécution. Lifen est tenu, en application du RGPD, d’informer le Responsable de Traitement si une de ses instructions constitue une violation de la Loi.

Sous-traitant de second rang

Conformément à l’article 28 du RGPD, le Responsable du traitement autorise de manière générale Lifen à avoir recours à des sous-traitants (ci-après “Sous-traitant de second rang”), pour mener des activités de traitement spécifiques.

Lifen s’assure que le Sous-traitant de second rang présente les mêmes garanties quant à la mise en œuvre des Mesures de sécurité pour les missions qui lui ont été confiées. Lifen s’engage à conclure un contrat avec le Sous-traitant de second rang aux termes duquel son accès aux données du Responsable du traitement sera strictement limité à l’objet du contrat conclu avec Lifen.

Les Sous-traitants de second rang avec lesquels Lifen a conclu un contrat, en cours à la date de signature du Contrat, sont AWS et Microsoft France Azure (hébergeur certifié) et Corus (éditique).
‍

7 — Protection de vos données et durée de conservation

Sécurité

Lifen met en œuvre toutes les mesures de sécurité requises pour protéger vos Données personnelles. Pour garantir la sécurité de vos Données personnelles, Lifen a mis en place les procédures et processus suivants :

- La pseudonymisation et / ou le chiffrement des connexions et des Données personnelles ;
- La capacité de garantir la confidentialité, l’intégrité, la disponibilité et la résilience permanentes des systèmes et services de Traitements ;
- La possibilité de rétablir la disponibilité et l’accès aux Données à caractère personnel dans des délais appropriés, en cas d’incident physique ou technique ;
- L’hébergement des Données personnelles de santé auprès d’hébergeurs de données de santé certifiés ;
- Les mesures appropriées pour protéger les Données personnelles contre toute perte, utilisation détournée, accès non autorisé, divulgation, altération ou destruction ;
- La traçabilité des accès ;
- Un processus pour tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles, pour assurer la sécurité des Traitements ;

- Toutes les Données à caractère personnel traitées par Lifen sont hébergées, c’est-à-dire stockées de façon durable ou ponctuelle pour les besoins des traitements, auprès d’un hébergeur de données de santé certifié ;
- L’ensemble des Données à caractère personnel traitées par Lifen sont sauvegardées sur un système assurant leur redondance et dont l’hébergement est assuré par un hébergeur de données de santé certifié sur les mêmes lieux d’hébergement ;
- L’ensemble des connexions au serveur sont chiffrées selon le protocole HTTPS. L’ensemble des Données de santé à caractère personnel sont stockées et chiffrées dans une base de données “données de santé” ;
- Conformément aux dispositions de l’article L.1110-4 du Code de la santé publique, au décret n°2007-960 du 15 mai 2007 dit « décret confidentialité » et aux recommandations de l’ANS, notamment le « Référentiel d’authentification des acteurs de santé », Lifen a mis en place un système d’authentification forte des Personnels habilités ;
- Les accès aux traces fonctionnelles et aux Données à caractère personnel font l’objet d’une traçabilité et d’une journalisation conformément aux principes de la PGSSI-S. Lifen s’engage, sur demande, à donner accès cette traçabilité au Responsable de traitement ;
- Les notes d’informations transmises par voie postale sont transmises au Prestataire d’éditique, par un serveur FTP sécurisé avec restriction d’IP.

Zones géographiques

Lifen héberge les données à caractère personnel chez des hébergeurs, qui peuvent être indifféremment ;

- La société Amazon Web Services EMEA SARL, société à responsabilité limitée immatriculée au Registre du commerce et des sociétés de Luxembourg sous le numéro de B186284, dont le siège social est situé au 38, avenue John F. Kennedy, L – 1855 Luxembourg, dont les espaces de stockage sont situés à Paris. Dans ce cadre les Données à caractère personnel transitent sur les serveurs du site AWS de Dublin sans y être stockées.

- La société Microsoft France SAS (Azure), société par action simplifiée immatriculée au Registre du commerce et des sociétés de Nanterre sous le numéro 327 733 184, dont le siège social est situé au 39 quai du Président Roosevelt, 92130 Issy-Les-Moulineaux, dont les espaces de stockage sont situés en France. Dans ce cadre, les Données à caractère personnel peuvent transiter sur des serveurs de l’hébergeur en Union européenne.

Si Lifen vient à contracter avec un nouvel hébergeur hors France, il s’engage à donner le choix au Responsable de Traitement quant au pays d’hébergement de ses Données à caractère personnel.

Durées de conservation

Données de santé

Lifen s’engage à conserver les Données à caractère personnel collectées pendant une durée de conservation limitée. Lifen n’est en revanche pas garant des obligations incombant au Responsable du traitement en matière de durée de conservation des Données à caractère personnel.

Les durées de conservation des Données à caractère personnel collectées via Lifen qui s'appliquent aux Traitements de données pour lesquels Lifen est Sous-traitant d'un Établissement de santé sont de 2 ans à compter de la dernière publication des résultats du Projet d’étude.

À l’issue des délais de conservation, Lifen s’engage, au choix du Responsable du traitement, à :

- Détruire les Données à caractère personnel ;
- Restituer les Données à caractère personnel au Responsable du traitement ;
- Archiver les données à caractère personnel après leur anonymisation.

Données de navigation

Les logs de connexion, cookies et autres traceurs mis en place sur notre Site, seront conservés conformément à la réglementation applicable pour une durée de 13 mois. Pour plus de détails, voir la rubrique cookies ci-dessus.
‍

8 — Quels sont vos droits et comment les exercer ?

Si vous acceptez l’utilisation de vos données pour le Projet d’étude, vous n’aurez aucune action à réaliser ;après une période de 15 jours calendaires suivant l’envoi de ce document, il sera considéré que vous acceptez de participer et le recueil des données débutera à partir du contenu de votre dossier médical.

Cependant, vous n’êtes pas obligé(e) d’accepter que vos données soient utilisées pour ce Projet d’étude dès maintenant puis à tout moment. Cette décision n’aura aucune conséquence sur votre prise en charge médicale et la qualité des soins que vous recevrez.

Si vous le souhaitez, vous pouvez demander à ce que :

- les données vous concernant contenues dans la base vous soient présentées ;
‍
- une information soit corrigée ;
‍
- vos données soient supprimées de la base de recueil ;
‍
- le Traitement de ces données dans le cadre du Projet d’étude soit limité ;

- le Traitement de ces données dans le cadre du Projet d’étude soit arrêté.

9 — À qui adresser vos demandes ?

Vous pouvez exercer vos droits ou obtenir des précisions sur ce sujet :
- en informant directement le Délégué à la Protection des Données de Lifen intervenant sous délégation de Gustave Roussy à l’adresse suivante : dpo@lifen.fr;
- ou en remplissant le formulaire en ligne disponible ici;
- ou auprès du médecin hospitalier vous prenant en charge pour le suivi du cancer du poumon, qui en informera le Délégué à la Protection des Données de Lifen;
- ou auprès du Délégué à la Protectiondes Données de Gustave Roussy : donneespersonnelles@gustaveroussy.fr

10 — Autres engagements

Analyse d’impact relative à la protection des Données à caractère personnel

‍Conformément à l’article 35 du RGPD, le Responsable du traitement s’engage à réaliser une analyse d’impact pour s’assurer de la conformité des Traitements à la Loi, lorsqu’ils sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées par les Traitements.

Dans l’hypothèse où Lifen aurait connaissance d’un risque élevé pour les droits et libertés des personnes concernées par les Traitements, nous nous engageons à informer, dans les meilleurs délais, le Responsable du traitement d’un tel risque, et à lui apporter son aide pour la réalisation de l’analyse d’impact, ainsi que pour la réalisation de la consultation préalable de l’autorité de contrôle.

‍Certification

Lifen s’engage à fournir sur demande du Responsabledu traitement les preuves de leurs certifications, et à l’informer de tout changement de bureau de certification dans un délai de 30 jours. Par ailleurs Lifen s’engage à fournir sur demande du Responsable du traitement le dernier rapport d’audit relatif à ses certifications.

‍Notification des violations de Données à caractère personnel

‍Conformément à l’article 33 du RGPD, le Responsable du traitement s’engage à notifier à l’autorité de contrôle, dans un délai maximum de soixante-douze (72) heures à compter de sa prise de connaissance, toute violation de Données à caractère personnel.

Lifen s’engage à informer le Responsable du traitement, dans les meilleurs délais après en avoir pris connaissance, de toute violation de Données à caractère personnel, portant sur les Traitements relevant de la responsabilité du Responsable de traitement, et à prendre les mesures appropriées pour limiter le risque et protéger les Données à caractère personnel.

La notification sera adressée par Lifen au Responsable du traitement par courriel, et contiendra, autant que possible, tout élément d’information utile au Responsable du traitement afin de lui permettre de notifier, si nécessaire, la violation à l’autorité de contrôle.

La notification adressée au Responsable du traitement par Lifen, ne constitue pas une reconnaissance de faute ou de responsabilité de ce dernier.

‍Audit

‍Le Responsable du traitement se réserve la possibilité de réaliser des audits pour vérifier la conformité de Lifen aux dispositions de la Charte.

Après en avoir informé Lifen par écrit, y compris par courriel à l’adresse dpo@lifen.fr, en respectant un préavis de vingt (20) jours, le Responsable du traitement peut faire réaliser, à ses frais, un audit du respect de l’ensemble des dispositifs de sécurité mis en œuvre pour assurer la sécurité des Données à caractère personnel. Un tel audit peut avoir lieu à tout moment, dans la limite d’un audit par année civile.

L’audit devra être réalisé par un expert indépendant et reconnu, dont le choix devra être validé par Lifen au minimum cinq (5) jours avant le début de l’audit. Un tel audit fera l’objet d’une convention tripartite dont les principales clauses seront conformes au référentiel d’exigences PASSI publié par l’ANSSI.

En tout état de cause, les opérations d’audit ne devront pas perturber le fonctionnement du service mis en œuvre par Lifen au-delà des contraintes inhérentes à un audit.

L’audit ne pourra pas porter sur des informations non spécifiques au Responsable du Traitement, ceci afin de préserver la confidentialité des informations propres aux autres clients de Lifen ou des informations dont la divulgation serait susceptible de porter atteinte à la sécurité des autres clients et d’autres données à caractère personnel les concernant.

Lifen s’engage à fournir à l’Utilisateur les résultats d’un audit externe indépendant sur les dispositifs opérationnels mutualisés (dispositifs de sécurité que nous avons mis en place pour l’ensemble de nos clients).

Lifen s’engage à collaborer de bonne foi avec l’auditeur et à faciliter son audit, en lui apportant toutes les informations nécessaires et en répondant à toutes ses demandes relatives à l’audit.

Un exemplaire du rapport d’audit rédigé par l’auditeur sera remis à chaque partie.

Si les conclusions de l’audit contiennent des recommandations, leurs conditions de mise en œuvre seront étudiées contradictoirement dans les meilleurs délais entre le Responsable de traitement et Lifen.

L’auditeur, personne physique désignée, sera dûment mandaté par écrit par le contractant, et sera soumis à la plus stricte confidentialité et au secret des affaires.
‍

11 — Modification de la Charte

Lifen se donne la possibilité de modifier sa Charte à tout moment, et procèdera à la publication de la version modifiée sur son Site.

‍Dernière mise à jour : 04 janvier 2024.

‍