Politique générale de protection des données personnelles

de l’Ecole Supérieure d’Ostéopathie

Important

La présente Note a pour objet de remplir l’obligation d’information prévue par les articles 6 et 13 du Règlement Européen sur la protection des données personnelles (RGPD 2016 :679 du 27 avril 2016).

Elle émane de l’Ecole Supérieure d’Ostéopathie agissant en qualité de Responsable du Traitement au sens dudit Règlement.

EXPOSE PRÉLIMINAIRE

L’Ecole Supérieure d’Ostéopathie, Etablissement d’Enseignement supérieur privé, exerce différentes activités et notamment les suivantes :

  • Formation initiale
  • Formation continue
  • Soins cliniques

Dans le cadre de ces activités elle est amenée à collecter des données à caractère personnel, dont la nature et les usages, peuvent être différents.

Mais quel que soit l’usage considéré, l’ESO s’oblige à protéger lesdites données, et plus globalement à respecter les obligations qui s’imposent à elle, en vertu du RGPD.

L’objet du présent document est d’expliquer comment l’ESO s’acquitte de cette obligation.

Il comporte deux parties :

  • A. Conditions Générales

Règles de protection communes à toutes les activités

  • B. Conditions Particulières

Règles de protection propres à chaque activité considérée

  1. CONDITIONS GÉNÉRALES

RÈGLES DE PROTECTION COMMUNES A TOUTES LES ACTIVITÉS DE L’ESO

  1. Nom et coordonnées du Responsable du Traitement

Ecole Supérieure d’Ostéopathie

8, rue A. Nobel

77420 Champs sur Marne

Prise en la personne de son Président, M. Christophe CAPOROSSI

Courriel : info@eso-suposteo.fr

  1. Sous-Traitant – Administrateur Réseau

Plénium Informatique

76 Boulevard de Sébastopol
75003 PARIS
Tél. : 01 55 04 74 74

www.plenium.fr
Courriel : contact@plenium.fr

  1. Droits de l’utilisateur : accès, rectification, opposition, portabilité, limitation, effacement

Opposition

Les Données Personnelles collectées automatiquement (notamment l’adresse IP et cookies) permettent de réaliser des statistiques relatives à la consultation des pages web des Services et de les lier au compte utilisateur, quand celui-ci en possède un.

La personne concernée, dispose par conséquent d’un droit d’opposition à ce traitement accessible lorsqu’elle est connectée à son compte en cliquant info@eso-suposteo.fr

Cette opposition sera liée à son compte utilisateur et sera valable quel que soit le terminal à partir duquel elle accède à son compte.

Suppression du compte

La personne concernée peut demander la suppression de son compte en adressant un courriel à l’adresse suivante : info@eso-suposteo.fr

Ses données personnelles seront supprimées et toutes les éventuelles contributions qu’elle aura pu apporter (commentaires, questions, réponses) seront anonymisées.

NB : les dispositions qui précèdent peuvent faire l’objet de dérogations selon les traitements opérés, notamment ceux liés au déroulement de la scolarité et aux relations de l’Ecole avec ses diplômés.

Ainsi, l’espace Web Aurion reste accessible aux anciens étudiants et son contenu est maintenu après la fin de la scolarité

Accès, rectification, effacement, limitation, retrait du consentement

La personne concernée dispose des droits d’accès, de rectification, d’effacement, d’opposition ou de limitation du traitement de ses données et de retrait de son consentement.

Elle peut également donner des directives à l’ESO concernant l’utilisation de ses données après son décès.

Modalités d’exercice des droits de la personne concernée

La personne concernée peut exercer ses droits à tout moment de la manière suivante :

    • Par voie électronique, en envoyant une demande à l’adresse suivante : info@eso-suposteo.fr
    • Par voie postale à l’adresse suivante :

Ecole Supérieure d’Ostéopathie

8 rue Alfred Nobel

77420 Champs sur Marne

Il pourra lui être demandé de justifier de son identité.

Elle a également le droit d’introduire une réclamation à l’encontre du Responsable du Traitement, et de ses sous-traitants auprès de l’autorité de contrôle française, la CNIL. www.cnil.fr

B. CONDITIONS PARTICULIÈRES

Ces conditions concernent les activités suivantes :

  • Le recrutement d’étudiants aux formations dispensées par l’Ecole (B1)
  • Le contrat d’enseignement (B2)
  • Les soins cliniques (B3)

B.1 : Données relatives à la gestion du recrutement des étudiants aux formations dispensées par l’Ecole

  1. Sous-traitant

Idécom (Information Développement Communication)

SARL

Immatriculée au RCS de Paris sous le numéro 328 187 802

9 bis rue de Vézelay, 75008 Paris

http://www.groupeidecom.com/

  1. Catégories de données traitées

Nom, prénom, adresse postale, adresse électronique, téléphone, parcours scolaire, formation souhaitée.

  1. Utilisation des données traitées

Finalité

Constitution d’une ou plusieurs bases de données permettant la transformation des contacts prospects en étudiants.

Confidentialité

Les données sont utilisées exclusivement par le groupe Edukea, dont l’ESO est membre, pour promouvoir ses activités et inciter les étudiants à s’inscrire dans l’établissement.

Elles ne sont pas cédées ni louées à des tiers.

  1. Destinataires des données traitées

Les salariés et collaborateurs autorisés par Edukea et ses écoles, dont l’ESO, sont les seuls destinataires des données traitées.

Celle-ci s’interdit en toute circonstance de transmettre lesdites données à des tiers extérieurs, pour quelque usage que ce soit.

  1. Durée de conservation des données

Les données sont conservées pendant un délai de cinq (5) ans après la date de saisie et sont effacées après.

Les candidats dont les dossiers ont été classés “sans suite” ou “refusé” seront supprimés de la base de données de l’ESO, dans un délai de 3 ans après leur dernière action, sauf en cas de demande expresse de suppression adressée par le candidat à l’ESO.

  1. Protection des données traitées

Ce guide est disponible à l’adresse suivante : https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles

B.2 Données relatives au contrat d’enseignement

  1. Sous-Traitant

Auriga, éditeur du logiciel Aurion

SARL au capital de 125 820 euros

RCS Paris : 348 041 997

37 rue Bergère 75009 Paris,

Hébergeur : Ikoula

  1. Catégories de données traitées

Extrait de la politique de confidentialité de la société Auriga, éditeur du logiciel Aurion.

Cartographie générale des données gérées par Aurion

Cette liste vous permet de déterminer en particulier, parmi les données que vous traitez, celles qui sont des données “personnelles” et qui doivent être sécurisées.

Les stakeholders (individus)

Types d’individus

Une seule fiche pour des rôles qui peuvent être différents (plusieurs rôles possibles pour un même individu), en général :

  • apprenants
  • intervenants
  • enseignants
  • anciens élèves
  • interlocuteurs d’entreprise
  • candidats aux concours
  • prospects

Les attributs “socle”

  • Nom, Prénom, Nom d’usage
  • Adresses
  • Coordonnées (n° de téléphone, adresses e.mail)
  • Sexe : H/F
  • Titre
  • Situation maritale
  • Date et lieu de naissance
  • Nationalité
  • Photo
  • N° de sécurité sociale
  • RIB (banque, n° de compte…)
  • RUM (référence SEPA)
  • N° de compte de tiers (pour la compta)
  • Un login et un mot de passe pour accéder au portail Web

Pour les intervenants :

  • un matricule interne
  • des coûts horaires / des statuts

Pour les apprenants :

  • N° INE
  • N° CVE

Des informations paramétrées

Les utilisateurs d’Aurion peuvent rajouter, pour chaque individu, et sans aucune limitation :

  • Un bloc-notes ; pour ces champs qui contiennent du texte libre et qui servent à consigner des informations opérationnelles, nous vous conseillons de ne pas les utiliser pour caractériser des personnes et surtout pas d’y insérer des commentaires négatifs ;
  • Des “attributs paramétrés” (qui peuvent être de type date, numérique, bloc-notes, booléen, relation avec une codification de référence)
  • Des documents rattachés :
    • diplômes
    • bulletins de notes et crédits
    • contrats de vacation
    • conventions de stages
    • facture
  1. Utilisation des données traitées

Finalité

Gestion du contrat d’enseignement depuis sa formation jusqu’à sa cessation, en passant par toutes les phases intermédiaires : pédagogiques, comptables, et financières

Confidentialité

Les données sont utilisées exclusivement par l’ESO pour gérer la relation contractuelle nouée avec les apprenants.

Elles ne sont pas cédées ni louées à des tiers.

Le sous-traitant Auriga s’interdit de son côté toute utilisation de ces données autres que celles correspondant à la finalité du traitement.

  1. Destinataires des données traitées

Les salariés et collaborateurs autorisés par le groupe Edukea, dont l’ESO est membre, sont les seuls destinataires des données traitées.

Celle-ci s’interdit en toute circonstance de transmettre lesdites données à des tiers extérieurs, pour quelque usage que ce soit.

  1. Durée de conservation des données

Dix (10) ans.

Cette durée est toutefois susceptible d’être prolongée, par application des règles de Durées d’Utilité Administrative (DUA) résultant du BO n°24 du 16 juin 2005, relatif au tri & à la conservation des archives concernant l’Education Nationale (§2.1.2)

Le point de départ du délai d’effacement, est la dernière modification de la fiche de la personne concernée.

Le mot « modification » désigne tout mouvement affectant le dossier de l’étudiant, telle notamment la mise à jour de ses coordonnées personnelles, ou de sa situation scolaire.

  1. Protection des données traitées

Sont ici reproduites un extrait de la Politique de Protection des Données personnelles du sous-traitant Auriga, relatif à la maitrise de la confidentialité et à la protection des accès.

Aide à la maîtrise de la confidentialité avec AURION

Un certain nombre de fonctions et modes opératoires disponibles dans Aurion contribuent, chez nos Clients utilisateurs, à maîtriser la manipulation des données “personnelles” :

  • Le système d’habilitations permet de limiter les accès aux traitements et aux données ;
  • Le système d’attributs paramétrés permet de ne gérer que les données dont les établissements ont réellement besoin ;
  • Le système d’archivage permet de placer des données anciennes dans des espaces accessibles seulement à certaines personnes dûment habilitées ; à quoi s’ajoutent les possibilités de suppression en batterie, en particulier des documents attachés aux fiches ;
  • Des alertes automatiques peuvent également être posées sur des informations par exemple ayant dépassé une date limite ;
  • Les requêtes ad libitum permettent d’analyser la quasi totalité des données et de contrôler, entre autres, le contenu des informations, la validité de leur conservation… ;
  • Les journaux permettent de tracer tout ce qui a été fait ; ils sont exploitables par le requêteur ; des données sensibles sont aussi stockées dans les journaux ; ceux-ci devront donc être purgés régulièrement, et on ne donnera accès aux journaux qu’à quelques happy few.

Protection des accès

  • Les mots de passe, Aurion comme WebAurion sont cryptés (MD 5) ;
  • Tous les flux entre Aurion, WebAurion, Routeur Aurion et la base de données PG sont chiffrés en SSL ;
  • Il vous appartient évidemment de définir des rôles très précis d’administrateur de la base (les détenteurs des codes d’accès à PG sont normalement tenus au secret professionnel ;
  • WebAurion est étanche à toute intrusion via injection de code SQL. En effet, tous les paramètres de WebAurion (dans les URLs en GET/POST ou dans les formulaires) qui sont utilisés dans des requêtes SQL, sont envoyés à la base de données via des requêtes préparées (dans ce type de requête SQL, la requête n’est pas construite en concaténant du code SQL et les valeurs des paramètres, mais en utilisant une requête SQL avec des paramètres, ces paramètres étant remplis ultérieurement dans le processus), ce qui permet de contrôler les paramètres et d’ainsi éviter les injections SQL ;
  • Fonctionnellement, l’accès aux informations via WebAurion est très réglementé : le gestionnaire peut déterminer avec une grande finesse la population (ie via requêtes) qui peut accéder à telle ou telle information ;
  • Sur chaque fiche individu, l’icône “Planète” permet aux gestionnaires du backoffice de lancer WebAurion comme si il était cet individu. Cet accès est réglementé par des habilitations très particulières qu’il convient de ne laisser qu’à des utilisateurs patentés 

B.3 Données relatives aux soins clinique

  1. Sous-Traitants

Au titre de la conception et de l’entretien du logiciel

Edreams Factory

Cap Voltaire, 20 Rue Voltaire

93100 Montreuil

http://www.edreamsfactory.com

Au titre de l’hébergement des données

Coreye, marque et dénomination de l’activité d’hébergement de la société Pictime Groupe

Campus du Digital

Parc de la Haute Borne

61 avenue de l’Harmonie

59262 Sainghin-en-Mélantois

https://www.pictime-groupe.com

  1. Catégories de données traitées
  • Inscription du patient : nom, prénom, date de naissance, tel, adresse, profession, courriel, conjoint,
  • Prise de Rendez-vous : typologie de la pathologie, commentaires
  • Planning : Validation du patient en salle d’attente, avant réception par le praticien
  • Consultation patient : éléments de dossier médical
  • Extraction partielle (limitée aux informations contenues dans la fiche de renseignement des données patient) aux fins d’analyse des comportements de la patientèle.
  • Compte externe (site internet) : adresse électronique, nom, prénom, tel
  1. Utilisation des données traitées

Finalité

Gestion de la relation patient depuis la prise de RV jusqu’à l’alimentation du dossier patient

Confidentialité

Les données sont utilisées exclusivement et strictement par l’ESO pour gérer la relation contractuelle nouée avec les patients.

Elles ne sont ni communiquées, ni cédées ni louées à des tiers.

Les sous-traitant Edreams Factory et Correye s’interdisent de leur côté toute utilisation de ces données autres que celles correspondant à la finalité du traitement

  1. Destinataires des données traitées

Les données ne sont accessibles qu’aux collaborateurs de l’ESO, en charge de la relation patient.

  1. Durée de conservation des données traitées

Les données sont conservées par le groupe Edukea, dont l’ESO est membre, pendant un délai de 5 ans commençant à courir, le 1er janvier de l’année qui suit le dernier soin prodigué.

Exemple : dernier soin prodigué le 15 juin 2018.

Date d’effacement : 31 décembre 2023

  1. Protection des données traitées

Chacun des sous-traitants en ce qui le concerne, s’oblige à mettre en œuvre les règles de protection des données confiées, telles que définies a minima par la CNIL, sur son site www.cnil.fr

Il est en outre rappelé que Coreye, est un hébergeur agréé données de santé par le Ministère de la Santé dans les termes suivants :

« Décret du 4 janvier 2006  

« La société Pictime-Coreye est agréée pour l’hébergement de « données de « santé à caractère personnel collectées au moyen « d’applications fournies « par les clients dénommée offre Silver « Santé .
« Cette prestation comporte une fonctionnalité d’accès direct du « patient aux applications hébergées 

Un tel agrément implique la mise en œuvre de solides outils de sécurité, de nature à garantir un haut niveau de confidentialité aux données hébergées.

Clause finale – Evolution des présentes conditions

Les présentes conditions s’efforcent d’être à jour par rapport à l’évolution des textes.

C’est pourquoi elles sont susceptibles d’évoluer à tout moment.

Elles sont téléchargeables.

Champs-sur-Marne, le 1er février 2019 – MàJ 07/03/2022

Christophe CAPOROSSI

ESO PARIS – Président