Politique de confidentialité
1 La protection des données personnelles chez LPA
1.1 Introduction
LPA prend très au sérieux la protection des données à caractère personnel de ses patients, collaborateurs, et candidats à l’embauche.
Par conséquent, la société s’engage à ce que la collecte et le traitement des données à caractère personnel soient effectués conformément au Règlement UE n°2016/679 du 27 avril 2016 (ci-après RGPD), entré en application le 25 mai 2018 ainsi qu’à la loi Informatique et Libertés du 6 janvier 1978, modifiée par la loi n°2018-493 du 20 juin 2018.
Cette politique de protection des données personnelles vise ainsi à présenter nos objectifs et engagements pris pour assurer le respect de la vie privée, les droits et les libertés de nos collaborateurs, patients et candidats.
1.2 Qu’est-ce qu’une donnée personnelle ?
Toute donnée permettant d’identifier directement ou indirectement un individu peut être qualifiée de donnée à caractère personnel.
Ainsi, peuvent être considérés comme des données personnelles des éléments tels qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
1.3 Les principes liés à la gestion des données personnelles
Finalité : tout traitement de données personnelles répond à une finalité déterminée et explicite. Les données collectées ne peuvent en aucun cas être utilisées à d’autres fins contraires ou incompatibles avec celles initialement identifiées.
Pertinence/proportion/limitation : seules les données nécessaires à la poursuite de ces finalités sont collectées. Ce principe de minimisation de la collecte des données vise à limiter la possibilité d’utilisation inappropriée des données et les risques pesant sur les personnes en cas de violation de données personnelles.
Licéité : chaque traitement de données à caractère personnel repose sur un fondement juridique déterminé qui peut être le consentement, le contrat, l’obligation légale ou notre intérêt légitime (la lutte contre la fraude par exemple).
Durée de conservation : les données personnelles sont conservées pour une durée limitée et définie en fonction des finalités que les traitements de données personnelles poursuivent.
1.4 Responsable de traitement chez LPA
Le responsable de traitement est LPA, dont le siège social est situé au 5A Quai Mavia, 70100 Gray, immatriculée au RCS sous le numéro 430 216 689 00025.
1.5 Collecte des données à caractère personnel chez LPA
Les laboratoires LPA collectent les données à caractère personnel de différentes façons :
- A l’accueil du laboratoire (sur place ou par téléphone)
- Via le site internet mesanalyseslpa.fr
- Par l’intermédiaire de personnels soignants
Ces traitements de données à caractère personnel reposent sur les bases légales suivantes :
- Dans le cadre de l’exécution d’un contrat
- Sur le fondement de votre consentement
- L’intérêt légitime de LPA en tant que responsable de traitement
- Dans le but de répondre aux obligations légales et règlementaires de la société.
1.6 Données personnelles collectées :
LPA limite la collecte de données personnelles au strict nécessaire permettant la réalisation de ses traitements, à savoir :
Pour les patients, par le biais de la fiche de renseignement patient ou à travers les échantillons prélevés :
- L’identité (nom, prénom, sexe, date de naissance, lieu de naissance),
- Le numéro de sécurité sociale, l’identifiant national de santé (INS)
- L’adresse postale, numéro de téléphone, adresse électronique,
- Les coordonnées du centre de sécurité sociale et de mutuelle d’affiliation,
- Les renseignements cliniques pertinents (maladies connues, traitements, etc),
- La liste des médecins et des établissements de santé,
- Les résultats des analyses réalisées par un laboratoire du groupe.
Pour les collaborateurs, par téléphone, courrier électronique ou en main propre :
- L’identité (nom, prénom, sexe, date de naissance, lieu de naissance),
- Le numéro de sécurité sociale, l’identifiant national de santé (INS)
- L’adresse postale, numéro de téléphone, adresse électronique,
- Des données sur la vie professionnelle,
- Des informations d’ordre économique et financier,
- Des données de géolocalisation.
Pour les candidats, par courrier postal, courrier électronique ou à travers les candidatures sur la plateforme en ligne :
- L’identité (nom, prénom, sexe, date de naissance, lieu de naissance),
- L’adresse postale, numéro de téléphone, adresse électronique,
- Des données sur la vie professionnelle.
Pour les préleveurs externes oralement sur place ou par téléphone, par courrier électronique :
- L’identité (nom, prénom, sexe),
- L’adresse postale, numéro de téléphone, adresse électronique,
- Le numéro RPPS,
- Des données sur la vie professionnelle.
Pour des visiteurs externes sur place :
- L’identité (nom, prénom),
- Des données sur la vie professionnelle.
1.7 Finalités des traitements chez LPA
Les données personnelles collectées peuvent être utilisées par la Société LPA pour les finalités suivantes :
Pour les patients :
- Réaliser les examens
- Communiquer les résultats au médecin
- Transmettre les échantillons à des laboratoires de seconde intention
Pour les collaborateurs :
- Fournir les services attendus des collaborateurs, à savoir :
- Rédiger et transmettre les contrats de mission conformément à nos obligations légales,
- Établir les bulletins de salaire et procéder aux différentes déclarations obligatoires,
- Optimiser l’affectation à la récupération des échantillons en fonction de la géolocalisation des coursiers
- Contrôler l’activité des coursiers ;
Pour les candidats :
- Collecter et traiter les candidatures dans le cadre du processus de recrutement.
Pour les préleveurs externes :
- Communication
- Respect des obligations légales
Pour les visiteurs externes :
- Contrôle d’identité conformément à la politique de sécurité physique
- Attestation de la lecture la politique de sécurité
1.8 Qui a accès à mes données à caractère personnel ?
Les données à caractère personnel confiées ou collectées sont accessibles aux personnels habilités chez LPA.
Des tiers agissant pour le compte de LPA sont également amenés à traiter certaines données personnelles. Il s’agit par exemple de :
- Notre cabinet comptable,
- Nos fournisseurs de services informatiques,
- Nos fournisseurs d’automates,
- Des laboratoires de seconde instance.
Ces prestataires et sous-traitants sont tenus de préserver la confidentialité et de protéger les données personnelles auxquelles ils ont accès.
1.9 Combien de temps mes données personnelles sont-elles conservées ?
La durée de conservation des données personnelles est définie en fonction des finalités poursuivies, de la nature des données, mais aussi des contraintes légales et réglementaires.
Les données personnelles manipulées sont ainsi supprimées ou prises en charge par un prestataire de destruction de documents une fois leur durée maximale de conservation atteinte (cf. LPA-DD1-DOC1-001 Tableau des documents archivés)
Elles peuvent cependant être supprimées avant ce délai à la demande de la personne concernée si cette requête est fondée, c’est-à-dire si elle n’est pas incompatible avec une obligation légale ou réglementaire s’imposant à LPA.
1.10 Comment mes données personnelles sont-elles conservées ?
Les données que nous collectons peuvent connaître deux modalités de conservation :
- En base active : il s’agit des données d’utilisation courante dans le cadre de nos activités. Les données en base active sont immédiatement accessibles aux personnels habilités.
- Sur un support de gestion électronique des documents (GED) hébergé chez un partenaire
- En archive : l’archivage est un mode de stockage intermédiaire entre celui de la base active et leur suppression définitive. Les données en question peuvent être stockées :
- Au sein d’une infrastructure spécifique, distincte de la base active,
- Sur un support papier.
Les données de santé récoltées par LPA sont stockées chez différents hébergeurs agréés ou certifiés HDS (Hébergeur de Données de Santé) au sein de l’Union Européenne.
1.11 Comment mes données personnelles sont-elles sécurisées ?
Les données à caractère personnelles détenues par LPA sont protégées :
- Techniquement, en appliquant des mesures de sécurité physique et logique visant à assurer un niveau de sécurité adapté à la nature des données manipulées.
- De manière organisationnelle, en mettant en place les dispositifs de gestion des accès aux données personnelles et d’encadrement des relations avec les collaborateurs et partenaires de LPA.
1.12 Quels sont mes droits et comment les exercer ?
Le Règlement général sur la protection des données (RGPD) garantit un certain nombre de droits :
- Droit d’accès et d’obtention d’une copie des données personnelles
- Droit de rectification des données personnelles
- Droit de suppression des données / Droit à l’oubli
- Droit de restriction
- Droit d’opposition
- Droit d’anonymisation
Ainsi, dans le cas où un patient, collaborateur ou partenaire de LPA souhaiterait exercer l’un de ces droits, il peut en faire la demande :
- Par courrier électronique à l’adresse : dpo@mesanalyseslpa.fr ,
- En utilisant le formulaire disponible sur le site web mesanalyseslpa.fr ,
- Par courrier postal :
LPA
à l’attention du DPO,
5A Quai Mavia
70100 Gray
Il permet également de définir les directives concernant le sort de ses données personnelles après sa mort, en désignant la personne qui sera chargée d’exécuter ces directives auprès de la société LPA. Pour ce faire, il est requis de communiquer les éléments suivants : adresse postale, courrier électronique, nom, prénom(s), copie d’une pièce d’identité comportant sa signature.
1.13 Transfert des données hors Union européenne
Nous conservons et traitons vos données personnelles au sein de l’Union Européenne.
Toutefois, si nous devions transférer vos données à des sous-traitants ou partenaires commerciaux hors de l’Union Européenne, nous nous assurerions que le traitement soit encadré par les clauses contractuelles types de la Commission européenne qui permettent de garantir un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes.
2 Conservation des données à caractère personnel
2.1 Principes régissant la conservation des données à caractère personnel
LPA est soumise à une double exigence s’agissant de la conservation des données à caractère personnel qu’elle collecte :
- Le Règlement général sur la protection des données (RGPD) impose de ne conserver les données personnelles collectées que pour une durée n’excédant pas celle nécessaire au regard des finalités poursuivies. Ce principe de limitation de la conservation implique de supprimer ou anonymiser les données personnelles une fois leur durée de conservation atteinte.
- En outre, certaines données doivent être conservées pendant une durée définie par les lois et réglementations en vigueur.
2.2 Cycle de vie des données à caractère personnel
Les données collectées et manipulées par LPA sont gérées différemment selon l’avancement de leur cycle de vie.
La période de conservation des données se compose généralement d’une phase de conservation en base active et d’une seconde en base archive.
- Les données à caractère personnel se trouvent en base active à la suite de leur collecte et ce, pendant toute la durée nécessaire à la réalisation des traitements
- Les données à caractère personnel sont conservées en base archive lorsque la durée nécessaire à la réalisation des traitements est écoulée, mais que leur conservation reste requise (pour des raisons légales, réglementaires, judiciaires, etc.)
Une fois la période de conservation des données à caractère personnel écoulée, ces dernières sont supprimées définitivement.
2.3 Durées de conservation des données à caractère personnel
Les durées de conservation des données à caractère personnel manipulées par LPA sont définies dans le document « LPA-DDI-DOC1-001 Tableau des documents archivés ».
3 Politique de gestion des cookies
3.1 Qu’est-ce qu’un cookie ?
Un “cookie” est une suite d’informations, généralement de petite taille et identifié par un nom, qui peut être transmis à votre navigateur par un site web sur lequel vous vous connectez. Votre navigateur web le conservera pendant une certaine durée, et le renverra au serveur web chaque fois que vous vous y reconnecterez. Les cookies ont de multiples usages : ils peuvent servir à mémoriser votre identifiant client auprès d’un site marchand, le contenu courant de votre panier d’achat, un identifiant permettant de tracer votre navigation pour des finalités statistiques ou publicitaires, etc.
3.2 Quels sont les types de cookies utilisés par LPA ?
Les cookies déposés par LPA n’ont pas tous la même finalité. On peut ainsi distinguer :
- Les cookies de navigation nécessaires au bon fonctionnement du site mesanalyseslpa.fr
Il s’agit des cookies indispensables à la navigation sur notre site qui vous permettent d’utiliser les principales fonctionnalités des sites et de sécuriser votre connexion. Cela inclut le cookie stockant les préférences des cookies, les cookies de personnalisation du site, les cookies d’identification en cas d’accès à l’interface WordPress, ainsi que le cookie utilisé par la protection anti-spam des formulaires.
Il est possible de bloquer ou supprimer ces cookies, mais les préférences ne seront plus sauvegardées, les formulaires inutilisables et l’interface WordPress inaccessible.
- Les cookies d’analyse de mesure d’audience / de performance
Il s’agit de cookies qui nous permettent de connaître l’utilisation et les performances des sites, d’établir des statistiques, des volumes de fréquentation et d’utilisation de divers éléments (contenus visités, parcours…) aux fins d’améliorer l’intérêt et l’ergonomie de nos services (les pages ou les rubriques les plus souvent consultées, les articles les plus lus, …).
Les cookies nous servent par exemple également à compter les visiteurs d’une page.
Le fait de refuser la mise en œuvre de tels cookies ou de les supprimer n’a pas d’incidence sur votre navigation sur les sites mais est de nature à nous empêcher de vous assurer de la meilleure qualité de services que nous souhaitons proposer à nos visiteurs.
3.3 Durée de vie des cookies
Les cookies déposés par LPA et ses partenaires ont une durée de vie de 30 jours maximum. Cela ne concerne pas les données stockées dans le “localStorage” du navigateur, dont la durée de vie dépend de la configuration et du comportement du navigateur, et qui ne sont jamais envoyées au serveur.
La durée de validité d’un cookie donné déposé par LPA ou ses partenaires n’est pas prolongée à l’occasion d’un nouvel accès de l’utilisateur au site.
3.4 Collecte de cookies et consentement
Certains cookies et traceurs déposés par LPA ou ses partenaires ne nécessitent pas le consentement de l’utilisateur, comme les cookies techniques nécessaires au bon fonctionnement du site.
En outre, certains cookies d’analyse de mesure d’audience / de performance sont dispensés du recueil du consentement sous certaines conditions.
Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service et être ainsi exemptés de consentement conformément à l’article 82 de la loi Informatique et Libertés, ces traceurs doivent :
- Être utilisés pour une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consulté), pour le compte exclusif de l’éditeur ;
- Servir à produire des données statistiques anonymes uniquement.
À l’inverse, pour être exemptés de consentement, ces traceurs ne doivent pas :
- Conduire à un recoupement des données avec d’autres traitements ou à ce que les données non anonymes soient transmises à des tiers ;
- Permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web. Toute solution utilisant un même identifiant à travers plusieurs sites (via par exemple des cookies déposés sur un domaine tiers chargé par plusieurs sites) pour croiser, dédoubler ou mesurer un taux de couverture (« reach ») unifié d’un contenu est exclue.
Afin de mettre en place des solutions respectueuses des droits des personnes, la CNIL recommande également que :
- Les utilisateurs soient informés de la mise en œuvre de ces traceurs, par exemple via la politique de confidentialité du site ou de l’application mobile ;
- La durée de vie des traceurs soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de treize mois, et qu’elle ne soit pas prorogée automatiquement lors des nouvelles visites ;
- Les informations collectées par l’intermédiaire de ces traceurs soient conservées pour une durée maximale de vingt-cinq mois ;
- Les durées de vie et de conservation ci-dessus mentionnées fassent l’objet d’un réexamen périodique afin d’être limitées au strict nécessaire.
Certains services de mesure d’audience permettent de faire une analyse comparative, par exemple, de proposer à différents médias en ligne de comparer l’importance de leurs lectorats.
Un sous-traitant peut fournir un service de mesure d’audience comparatif à de multiples éditeurs si :
- Les données sont collectées, traitées et stockées de manière indépendante pour chaque éditeur ; et que
- Les traceurs sont totalement indépendants les uns des autres et de tout autre traceur.

