Politique de confidentialité du portail eRPPS

1.    DÉFINITIONS

Dans le cadre de la présente politique « Données personnelles et cookies », les termes suivants ont la signification qui leur est donnée au présent article :

Agence du Numérique en Santé (également désignée « ANS ») : Désigne le groupement d’intérêt public mentionné à l’article L.1111-24 du code de la santé publique. 

Autorité d’enregistrement (également désignée « AE ») : désigne les entités en charge de l’enregistrement dans le « Répertoire partagé des professionnels intervenant dans le système de santé » (RPPS) des Professionnels relevant de leur compétence et de la mise à jour de leurs données. 

Portail eRPPS (également désigné « Portail ») : désigne la solution qui offre aux Utilisateurs les fonctionnalités décrites dans les Conditions Générales d’Utilisation (« CGU »). Le Portail est un service gratuit mis à disposition des Utilisateurs par l’ANS. Il a pour finalité d’enregistrer les Professionnels dans le RPPS.

Professionnels : désigne les professionnels intervenant dans le système de santé qui utilisent le Portail pour renseigner les données d’identification les concernant. Il existe deux catégories de Professionnels pouvant accéder au Portail :

  • les professionnels exerçant une profession listée au b) du 1° de l’article 2 de l’arrêté du 23 septembre 2022 relatif à la mise en œuvre du RPPS (« arrêté RPPS »), dont l’enregistrement dans le RPPS relève des ARS  (Assistant de Service Social, Oculariste, Podo-Orthésiste, Ergothérapeute, Psychomotricien, Audioprothésiste, Opticien-Lunetier, Psychothérapeute, Manipulateur ERM, Technicien de Laboratoire, Chiropracteur, Orthoprothésiste, Assistant dentaire, Orthophoniste, Orthopédiste-Orthésiste, Epithésiste, Ostéopathe, Diététicien, Orthoptiste, Psychologue, etc.). Ces professionnels sont tenus de procéder à leur enregistrement dans les conditions prévues par les dispositions qui régissent leurs professions ; 
  • les professionnels des secteurs sanitaire, médico-social et social, qui n’ont pas d’obligation d’enregistrement, afin de leur permettre d’accéder à des services numériques en santé (Carte Professionnel de Santé, Messagerie Sécurisée de Santé, etc.).

Gestionnaires : désigne les personnes physiques rattachées à une Autorité d’enregistrement ayant notamment pour mission de renseigner les données d’identification des Professionnels, et lorsque les Professionnels les renseigne lui-même, de contrôler et valider les informations saisies. 

Utilisateur : Tout Professionnel et/ou Gestionnaire qui utilise les fonctionnalités du Portail.

RPPS : le répertoire unique de référence permettant d’identifier les professionnels intervenant dans le système de santé qui rassemble et publie les informations sur ces professionnels, sur la base d’un numéro RPPS attribué au Professionnel toute sa vie, est encadré par l’arrêté RPPS.

Pro Santé Connect : désigne le téléservice mis en œuvre par l’ANS contribuant à simplifier l’identification électronique des professionnels intervenant dans le système de santé. C’est un fédérateur d’identité permettant aux Utilisateurs de s’authentifier par le biais de leurs cartes CPS ou e-CPS pour accéder au Portail.

2.    OBJET

La mise en œuvre et l’utilisation du Portail impliquent le traitement de données à caractère personnel au sens de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés et du RGPD.
La présente politique « Données personnelles et cookies » a pour objet d’informer l’Utilisateur sur les traitements de données personnelles réalisés dans le cadre de la mise en œuvre du Portail.

 3.    RESPONSABILITÉ DE TRAITEMENT

Responsabilité de traitement relative au Portail
Dans le cadre de la mise à disposition du Portail, l’ANS est responsable du traitement des données collectées aux seules fins de la création, de la gestion des comptes Utilisateurs et du fonctionnement du Portail.
L’Autorité d’enregistrement est responsable de la collecte, la vérification et l’enregistrement des données, renseignées par le biais du Portail, concernant les Professionnels relevant de sa compétence.
Pour ce traitement l’ANS agit en qualité de sous-traitant de l’Autorité d’Enregistrement. 
A ce titre, l’Autorité d’enregistrement et l’ANS mettent en œuvre, dans la limite de leurs périmètres de responsabilité, les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément aux dispositions de la loi Informatique et Libertés modifiée et du RGPD.
Responsabilité de traitement relative au RPPS
L’ANS agit en qualité de responsable de traitement des données du RPPS.
L’Autorité d’enregistrement est responsable de la collecte, la vérification et l’enregistrement des données concernant les Professionnels relevant de sa compétence.
A ce titre, l’Autorité d’enregistrement et l’ANS mettent en œuvre, dans la limite de leurs périmètres de responsabilité, les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément aux dispositions de la loi Informatique et Libertés modifiée et du RGPD.

4.    FINALITÉS DU TRAITEMENT

Le Portail a pour finalité de permettre l’enregistrement des Professionnels dans le RPPS.
Le RPPS a pour finalité le partage d’informations de référence sur l’ensemble des professionnels du secteur sanitaire, social ou médico-social, dès lors qu’ils interviennent ou sont susceptibles d’intervenir dans le système de santé.
Ce traitement de données à caractère personnel est mis en œuvre en application des dispositions de l’arrêté du 23 septembre 2022 relatif à la mise en œuvre du « Répertoire partagé des professionnels intervenant dans le système de santé » (RPPS).
Ce traitement est mis en œuvre dans le cadre de l’exécution d’une mission d’intérêt public par l’ANS.

5.    CATÉGORIES DE DONNÉES

Conformément aux dispositions de l’arrêté précité, le RPPS est composé de données librement communicables au public et de données dont l’accès est réservé à certaines catégories de destinataires, dont la liste figure à l’article 6 de l’arrêté RPPS.  Les services de l’ANS, gestionnaire du RPPS, éditent le site https://annuaire.sante.fr/, qui permet au public d’accéder librement aux données communicables au public. 

Les données relatives aux Professionnels collectées et enregistrées dans le RPPS sont les suivantes : 

  1. données d’identification du Professionnel : noms de famille, prénoms, civilité, sexe, date et lieu de naissance, date de décès, numéro d’identification technique de l’utilisateur ;
  2. données de contact : adresse postale, adresse de messagerie électronique, numéro de téléphone mobile et fixe ;
  3. données décrivant l’exercice de la profession : nom et prénom d'exercice, profession, civilité d'exercice, catégorie d'exercice, période de suspension ou d'interdiction d'exercice, qualifications de spécialiste et disciplines, attributions particulières, date de reconnaissance et d'abandon ;
  4. données sur les activités professionnelles :
  • genre d’activité, date de début et de fin de l’activité ;
  • mode d’exercice, fonction (rôle dans la structure) ;
  • fonction ou rôle du professionnel dans la structure d'activité, type d'activité libérale ou statut hospitalier pour les activités concernées ;
  • coordonnées professionnelles : coordonnées de la structure d’exercice ou d’emploi (adresse postale, adresse de messagerie électronique, téléphone) ;
  • structure d’exercice ou d’emploi : numéros SIREN/SIRET ou FINESS, activité, secteur d’activité santé, catégorie juridique.  

Les données relatives aux Utilisateurs collectées sur le Portail afin de permettre la saisie et l’enregistrement des données concernant les Professionnels, sont les suivantes :

  1. données d’identification et professionnelles relatives aux Gestionnaires habilités à valider l’inscription d’un Professionnel : données d’identification issues de la CPA, identifiant, etc.
  2. les documents permettant d'attester de l'exactitude des données enregistrées et leur imputabilité.
  3. les traces applicatives, données de connexion et de navigation, et adresses IP liées l’utilisation du Portail.
  4. un historique des mises à jour effectuées sur les données des Professionnels.

6.    DURÉES DE CONSERVATION

Les données à caractère personnel du RPPS sont conservées pendant une durée de vingt ans à compter de la fin d'activité du Professionnel. 
Les documents et informations nécessaires à la gestion du répertoire, mentionnées au III de l'article 4 de l’arrêté, sont conservées pendant une durée d'un an à compter de leur collecte.

7.    DROIT DES PERSONNES CONCERNÉES

Droit des Professionnels
Conformément au règlement général pour la protection des données (RGPD) et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (modifiée), les Professionnels qui utilisent le Portail pour renseigner les données d’identification les concernant disposent d’un droit d’accès, de rectification et de limitation du traitement.
Ces droits, prévus aux articles 15, 16 et 21 du règlement susmentionné s'exercent auprès de l’Autorité d’enregistrement compétente, laquelle est responsable de la collecte initiale des données. L’Autorité d’enregistrement doit définir des modalités d’exercice de ces droits et les porter à la connaissance des personnes concernées.
En application de l’arrêté RPPS, les Professionnels ne disposent pas du droit de s’opposer à l’enregistrement de leurs données et à la communication au public des données du RPPS. 
Les Professionnels, s’ils estiment que leurs droits n’ont pas été respectés, disposent du droit d’introduire une réclamation auprès de la CNIL sur son site internet ou par courrier postal à l’adresse suivante : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07.

Droit des Gestionnaires 
Les Gestionnaires rattachés à une Autorité d’enregistrement qui utilisent le Portail pour renseigner des données d’identification concernant des Professionnels disposent d’un droit d’accès, d’effacement, de limitation, de rectification et d’opposition au traitement des données les concernant. 
Ces droits peuvent être exercés :

  • sur demande écrite à l’adresse suivante : GIP Agence du Numérique en Santé - Délégué à la protection des données  - 2 / 10 Rue d'Oradour-sur-Glane, 75015 Paris ;
  • par messagerie électronique, à l'adresse suivante : dpo@esante.gouv.fr

Les Gestionnaires, s’ils estiment que leurs droits n’ont pas été respectés, disposent du droit d’introduire une réclamation auprès de la CNIL sur son site internet ou par courrier postal à l’adresse suivante : CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07.

8.    NOTIFICATION DES VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL

Dans le cas où l’Autorité d’enregistrement détecte une violation de données à caractère personnel au sens de l’article 4. 12 du RPGD (i. e. :  violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données) susceptible d’avoir un impact, même indirect, sur les données du Portail et/ou les données du RPPS, elle doit en informer l’ANS dans les meilleurs délais après en avoir pris connaissance.

Cette notification s’effectue par voie électronique, par mail adressé à dpo@esante.gouv.fr, et contient à titre indicatif : 

  • la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
  • la description des conséquences probables de la violation de données à caractère personnel ;
  • la description des mesures prises ou que l’autorité d’enregistrement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives ;
  • l’appréciation sur le point de savoir si une notification à la CNIL est requise ;
  • l’appréciation sur le point de savoir si une communication aux personnes concernées est requise. 

9.    COOKIES

L’Utilisateur est informé que lors de ses visites, un cookie peut automatiquement s’installer sur le logiciel de navigation. 
Les cookies utilisés sont des cookies de session strictement nécessaires au fonctionnement du service. Sans ces cookies, l’utilisation du service peut être dégradée, voire impossible. Ces cookies ne sont conservés que pendant la durée de la session.