Politique de confidentialité

Les données personnelles de l’Utilisateur sont traitées par l’ANS en qualité de responsable de traitement dans le cadre de l’exécution d’une mission d’intérêt public dont elle est investie (article 6, 1, (e) du RGPD).
Par ailleurs, l’ANS est destinataire des déclarations d’incidents graves de sécurité des systèmes d’information réalisées conformément à l’article L. 1111-8-2 du code de la santé publique. Dans ce cadre, elle est amenée à traiter les données à caractère personnel des contacts au sein des structures déclarantes, ainsi que les données pouvant être ultérieurement transmises par les structures dans le cadre de la gestion de l’incident grave de sécurité.

2.1 La mise en œuvre du Portail
Le traitement réalisé par l’ANS a pour finalité la mise en œuvre du Portail permettant l'information et l'accompagnement des établissements de santé et médico-sociaux, des organismes et services exerçant des activités de prévention, de diagnostic ou de soins, des agences régionales de santé et des autorités compétentes de l'Etat, concernant la prévention et la gestion des incidents de sécurité, ainsi que la sécurité des systèmes d'information (cf. Arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d'information). 
Les données recueillies dans le cadre de la mise en œuvre du Portail font l’objet d’un traitement dans le but de répondre à plusieurs sous-finalités, et notamment : 
-    La gestion du Portail (gestion des comptes Utilisateurs, gestion des notifications, etc.) ;
-    L’animation de la communauté cyberveille-santé (partage des bonnes pratiques sur la sécurité du numérique en santé) ; 
-    La réalisation de statistiques d’usage ;

2.2 Le traitement des signalements des incidents de sécurité sur les systèmes d’information
L’ANS collecte des données à caractère personnel pour le recueil, l’analyse et, le cas échéant, la qualification et la transmission des signalements des incidents de sécurité aux agences ou aux autorités compétentes de l’Etat. 

Les catégories de données traitées par l’ANS sont les suivantes : 
•    données d’identification et coordonnées fournies par l’Utilisateur ;
•    données professionnelles fournies par l’Utilisateur  ;
•    données liées à la navigation et à l’utilisation du Portail collectées de façon automatique.

Les données à caractère personnel sont conservées pour la durée nécessaire à la réalisation de ces finalités, et notamment :
•    Les données d’identification, les coordonnées et les données professionnelles collectées dans le cadre de l’accès et de l’utilisation du compte personnalisé sont conservées pendant la durée de vie du compte et peuvent être supprimées à tout moment sur demande de l’Utilisateur. 
•    Les traces techniques collectées de manière automatique lors de l’utilisation du Portail pour en assurer la sécurité et effectuer des statistiques sont supprimées à l’issue d’un délai d’un an à compter de leur émission. 
•    Les données traitées dans le cadre de la gestion des signalements d’incidents de sécurité des systèmes d’information sont conservées pour la durée nécessaire à la gestion de l’incident. Ces données sont uniquement accessibles, au sein de l’ANS et du ministère de la santé et de la prévention, au personnel individuellement désigné et spécialement habilité par ces organismes.

Conformément au règlement général (UE) sur la protection des données n°2016/679 du 27 avril 2016 et à la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, les personnes concernées sont informées qu'elles disposent d’un droit d'accès, de rectification, d’opposition, de limitation du traitement et le droit de porter une réclamation devant la Commission nationale de l'informatique et des libertés pour les données les concernant.
Par exception et en application de l’arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d'information, le droit d'opposition prévu par la loi du 6 janvier 1978 suscitée ne s'applique pas au traitement ayant pour finalité le recueil, l'analyse, la qualification, la transmission et la gestion des signalements des incidents de sécurité.
Ces droits peuvent être exercés auprès de l’ANS :
•    par courrier postal, à l’adresse suivante : GIP ANS (Délégué à la protection des données) 9, rue Georges Pitard - 75015 PARIS ;
•    par messagerie électronique, à l'adresse suivante : dpo@esante.gouv.fr. 
Si l’Utilisateur estime que ses droits n’ont pas été respectés, il a la possibilité de saisir la Commission Nationale de l’Informatique et des Libertés (CNIL) d’une réclamation.

Le Portail est conçu pour être particulièrement attentif aux besoins des Utilisateurs. À cet égard, il y est fait usage de cookies.
Le Portail utilise :
•    Des cookies « techniques », notamment afin de gérer les sessions ainsi que de garantir et maintenir la sécurité et l’intégrité du Portail. Ces cookies sont nécessaires au fonctionnement et à la sécurité du site ;
•    Des cookies permettant de mesurer la fréquentation afin d’améliorer le Portail.

Information et consentement au dépôt des cookies
Les dispositions suivantes ne concernent que les cookies pour lesquels le consentement de l’Utilisateur est obligatoire à leur dépôt. Il ne s’agit donc pas des cookies indispensables au bon fonctionnement du Portail. Les finalités de l’ensemble des cookies sont exposées dans le tableau ci-dessus.   
La simple poursuite de la navigation sur le Portail n’est pas considérée comme l’expression du consentement de l’Utilisateur au dépôt des cookies. 
En cas de refus d’enregistrement de cookies dans son terminal ou son navigateur, ou de suppression de ceux qui y sont enregistrés, la navigation par l’Utilisateur sur le Portail peut être limitée. Le cas échéant, l’ANS, déclinent toute responsabilité concernant les conséquences liées au fonctionnement dégradé du Portail résultant du refus de dépôt/lecture de cookies par l’Utilisateur de l’impossibilité pour le support du Portail d’enregistrer ou de consulter les cookies nécessaires au fonctionnement du Portail du fait du choix de l’Utilisateur.

 L’Utilisateur peut exprimer son consentement par un acte positif grâce au bandeau d’information qui s’affiche lors de la connexion de l’Utilisateur.
 
 Le bandeau permet d’informer l’Utilisateur préalablement au dépôt des cookies de la possibilité de consulter la présente politique de confidentialité afin de prendre connaissance des finalités précises des cookies utilisés ainsi que des mentions légales.
Grâce à ce bandeau, l’Utilisateur a la possibilité : 
•    D’accepter le dépôt des cookies ;
•    Des personnaliser ses choix afin d’accepter partiellement le dépôt des cookies ; 
•    De s’opposer au dépôt de cookies.
 L’absence de manifestation claire de volonté d’accepter le dépôt de cookies s’entend comme un refus. 
 L’Utilisateur peut retirer son consentement au dépôt de tout ou partie des cookies grâce aux outils suivants : 
o    Une icône « gérer mes cookies » accessible tout au long de la navigation de l’Utilisateur : Cette icône ouvrant le panneau de gestion des cookies permet à l’Utilisateur de retirer son consentement, à tout moment de sa navigation, au dépôt de tout ou partie des cookies. 
o    Le paramétrage du logiciel de navigation : L’Utilisateur peut également configurer son logiciel de navigation de manière à ce que des cookies soient enregistrés dans son terminal ou, au contraire, qu’ils soient rejetés, soit systématiquement, soit selon leur émetteur. L’Utilisateur peut également configurer son logiciel de navigation de manière à ce que l’acceptation ou le refus des cookies lui soient proposés ponctuellement, avant qu’un cookie soit susceptible d’être enregistré dans son terminal. Pour la gestion des cookies et des choix de l’Utilisateur, la configuration de chaque navigateur est différente. Elle est décrite dans le menu d’aide du navigateur, qui permettra à l’Utilisateur de savoir de quelle manière modifier ses souhaits en matière de cookies. À tout moment, l’Utilisateur peut faire le choix d’exprimer et de modifier ses souhaits en matière de cookies.