Politique de confidentialité du site internet

Dernière mise à jour : mars 2025

Le Centre Hospitalier Joël Beaugendre (ci-après « l’Établissement ») attache une importance fondamentale à la protection des données personnelles de ses utilisateurs. La présente politique décrit comment nous collectons, utilisons et protégeons vos données dans le cadre de votre navigation sur le site https://chcbe.katchak-agency.fr, conformément au Règlement Général sur la Protection des Données (RGPD – Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

1. Responsable du traitement

Nom : Centre Hospitalier Joël Beaugendre

Adresse : Saint-Sauveur / Bananier – BP 68 – 97130 Capesterre-Belle-Eau

Email : contact@chcbe-gpe.fr

Téléphone : 05 90 55 99 00

2. Délégué à la Protection des Données (DPO)

Conformément à l’article 37 du RGPD, et en tant qu’établissement public de santé, le Centre Hospitalier Joël Beaugendre a désigné un Délégué à la Protection des Données :

Organisation : Caribbean Partners

Email : dpo@chcbe-gpe.fr

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits, vous pouvez contacter directement notre DPO à l’adresse indiquée ci-dessus.

3. Données collectées

3.1 Données de navigation (cookies analytiques)

Dans le cadre de l’utilisation de Google Analytics / GA4, nous collectons, sous réserve de votre consentement :

  • Adresse IP anonymisée
  • Pages consultées et durée de visite
  • Type de navigateur et système d’exploitation
  • Provenance de la visite (moteur de recherche, lien direct, etc.)
  • Identifiants de session anonymes

Ces données sont collectées uniquement après votre consentement explicite via le bandeau cookies.

3.2 Données non collectées

Ce site ne comporte pas de formulaire de contact ou de prise de rendez-vous. Aucune donnée de santé ni donnée médicale des patients n’est collectée via ce site internet.

4. Finalités et bases légales des traitements

4.1 Mesure d’audience (Google Analytics / GA4)

Finalité : Analyse statistique anonyme de la fréquentation du site

Base légale : Consentement de l’utilisateur (Art. 6.1.a du RGPD)

Durée de conservation : 26 mois à compter de la collecte (paramétrage GA4)

4.2 Logs techniques du serveur

Finalité : Sécurité et maintien en condition opérationnelle du site

Base légale : Intérêt légitime de l’établissement (Art. 6.1.f du RGPD)

Durée de conservation : 12 mois

5. Destinataires des données

Vos données peuvent être transmises aux destinataires suivants :

  • Google Ireland Limited (pour Google Analytics GA4) – prestataire de mesure d’audience
  • PlanetHoster (hébergeur du site) – hébergement des logs techniques
  • Katchak Digital Agency (prestataire de maintenance web) – dans le cadre de la maintenance du site uniquement
  • Chatbase Inc. (outil de messagerie instantanée IA) – gestion du chatbot intégré au site
  • OpenAI, LLC (modèle de langage) – traitement des requêtes soumises au chatbot

Aucune donnée n’est vendue ni cédée à des tiers à des fins commerciales.

6. Transferts hors Union Européenne

6.1 PlanetHoster — Canada

L’hébergement du site est assuré par PlanetHoster, société dont les serveurs sont situés au Canada. Le Canada bénéficie d’une décision d’adéquation de la Commission européenne, ce qui signifie qu’il offre un niveau de protection des données personnelles reconnu comme équivalent à celui en vigueur au sein de l’Union européenne. Ce transfert ne nécessite donc pas de garanties supplémentaires.

6.2 Google Analytics — États-Unis

L’utilisation de Google Analytics implique un transfert de données vers les États-Unis. Bien que le cadre EU-US Data Privacy Framework ait conduit à une reconnaissance d’adéquation partielle fin 2023, la CNIL demeure vigilante quant aux conditions d’utilisation des outils de mesure d’audience américains.

L’Établissement est informé que la CNIL recommande de privilégier des outils de mesure d’audience dont les données restent hébergées au sein de l’Union européenne ou dans un pays à décision d’adéquation incontestée. Une migration vers une solution alternative pourra être envisagée dans le cadre de la feuille de route de mise en conformité.

En attendant, les transferts vers Google sont encadrés par les clauses contractuelles types de la Commission européenne. Vous pouvez consulter les garanties mises en place par Google sur : https://policies.google.com/privacy

Référence CNIL : Mesure d’audience et transferts de données — mise en conformité

6.3 Chatbase et OpenAI — États-Unis

Le site intègre un outil de messagerie instantanée propulsé par Chatbase Inc. (San Francisco, Californie), qui utilise le modèle de langage d’OpenAI, LLC (San Francisco, Californie) pour générer ses réponses. Ces deux prestataires sont établis aux États-Unis, pays ne bénéficiant pas d’une décision d’adéquation générale de la Commission européenne.

Les données échangées dans le cadre du chatbot (messages saisis par les utilisateurs) sont transmises aux serveurs de Chatbase hébergés sur l’infrastructure AWS (région us-east-1), puis traitées par OpenAI pour la génération des réponses.

Les garanties encadrant ces transferts sont les suivantes :

  • Clauses contractuelles types (CCT) conformes à l’article 46 du RGPD, intégrées aux conditions contractuelles de Chatbase
  • Certification RGPD et SOC 2 Type II de Chatbase
  • Absence d’utilisation des données pour entraîner des modèles d’IA (engagement contractuel de Chatbase et d’OpenAI)
  • Chiffrement des données en transit et au repos

Compte tenu de la nature des données susceptibles d’être échangées dans un contexte hospitalier, il est recommandé de ne jamais saisir d’informations médicales, de données de santé ou de données personnelles sensibles dans l’interface du chatbot. Ce dernier est destiné à répondre à des questions générales relatives au fonctionnement de l’Établissement.

Pour plus d’informations : Politique de confidentialité Chatbase · Sécurité Chatbase · Trust Center

7. Vos droits

Les droits dont vous disposez varient selon la base légale du traitement concerné. Vous trouverez ci-dessous le détail des droits applicables à chaque finalité.

7.1 Traitement fondé sur le consentement — Mesure d’audience (GA4)

Base légale : Art. 6.1.a du RGPD

  • Droit d’accès (Art. 15) — obtenir une copie des données collectées vous concernant
  • Droit de rectification (Art. 16) — corriger des données inexactes
  • Droit à l’effacement (Art. 17) — demander la suppression de vos données
  • Droit à la limitation du traitement (Art. 18) — suspendre temporairement l’utilisation de vos données
  • Droit à la portabilité (Art. 20) — recevoir vos données dans un format structuré et lisible par machine
  • Droit de retrait du consentement (Art. 7) — retirer votre consentement à tout moment, sans effet rétroactif, via le bandeau cookies ou en contactant le DPO

7.2 Traitement fondé sur l’intérêt légitime — Logs techniques du serveur

Base légale : Art. 6.1.f du RGPD

  • Droit d’accès (Art. 15) — obtenir une copie des données de journalisation vous concernant
  • Droit de rectification (Art. 16) — corriger des données inexactes
  • Droit à l’effacement (Art. 17) — demander la suppression de vos données, sous réserve des obligations légales de conservation
  • Droit à la limitation du traitement (Art. 18) — suspendre temporairement l’utilisation de vos données
  • Droit d’opposition (Art. 21) — vous opposer au traitement pour des raisons tenant à votre situation particulière ; l’Établissement pourra toutefois maintenir le traitement s’il justifie de motifs légitimes impérieux
Le droit à la portabilité (Art. 20) et le droit de retrait du consentement (Art. 7) ne s’appliquent pas aux traitements fondés sur l’intérêt légitime.

7.3 Comment exercer vos droits ?

Afin de répondre à une demande d’exercice de droits, la demande doit être :

  • Formulée par la personne concernée, son représentant légal (détenteur de l’autorité parentale ou tuteur) ou un mandataire ;
  • Accompagnée d’un justificatif d’identité s’il y a des doutes sur l’identité du demandeur ;
  • Envoyée au secrétariat de direction par e-mail : secretariat.direction@chcbe-gpe.fr.

Bien qu’il soit recommandé d’envoyer la demande d’exercice de droit à l’adresse e-mail ci-dessus, elle peut être adressée directement à un service, par courrier, par téléphone, sur place ou par tout autre moyen, ou au DPO via :

  • E-mail : dpo@chcbe-gpe.fr
  • Téléphone : 0590 55 99 00
  • Courrier : CH CBE – Saint-Sauveur Bananier – 97130 Capesterre-Belle-Eau
  • Physique : en s’adressant à un agent du CH CBE

Votre demande sera traitée dans un délai d’un mois à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe ou nombreuse.

8. Droit d’introduire une réclamation

Si vous estimez que vos droits ne sont pas respectés, vous disposez du droit d’introduire une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés) :

Site : https://www.cnil.fr

Adresse : 3 Place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07

Téléphone : 01 53 73 22 22

9. Sécurité des données

L’Établissement met en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité de vos données personnelles, notamment :

  • Connexion sécurisée HTTPS (chiffrement SSL/TLS)
  • Accès restreint aux données aux seules personnes habilitées
  • Hébergement sur des serveurs sécurisés

10. Mise à jour de la politique

La présente politique de confidentialité peut être mise à jour à tout moment afin de refléter les évolutions légales ou les changements dans nos pratiques. La date de dernière mise à jour est indiquée en haut de page.