Patient Data and Right to Privacy

Protection de la vie privée des patients, sécurité et confidentialité des données

Working closely with scientists and clinicians, Epsidy is building a multi-disciplinary team and a community to deliver better patient care. We do collect and process statistical, non identifiable data for the purpose of clinical research and product development. Thus, we are sometimes exposed to patient information. We treat patient data with the utmost confidentiality, and never collect or store identifiable data. Any such data is deleted from our records promptly.

Epsidy is likely to reuse personal data from a French public database called PMSI. This use is strictly regulated. When Epsidy uses PMSI data for legitimate purposes, it acts as a data controller and does not access your personal data. Only research laboratories/study offices registered with the French CNIL have direct access to PMSI data. Access to PMSI personal data is justified by a public interest reason.

You can exercise your rights of access, rectification and opposition with the director of the managing body of the compulsory health insurance scheme to which you are attached in accordance with the provisions of article R. 1461-9 of the CSP of the French law.

Travaillant en étroite collaboration avec des scientifiques et des cliniciens, Epsidy met en place une équipe multidisciplinaire et une communauté afin de fournir de meilleurs soins aux patients. Nous collectons et traitons des données statistiques non identifiables à des fins de recherche clinique et de développement de produits. Ainsi, nous sommes parfois exposés à des données patients. Nous traitons les données patients avec la plus grande confidentialité, et ne collectons ni ne stockons jamais de données identifiables. Toute donnée de ce type est supprimée de nos bases dans les plus brefs délais.

Epsidy est susceptible de réutiliser des données personnelles issues d’une base de données publique appelée PMSI. Cette utilisation est strictement encadrée par la réglementation. Lorsqu’Epsidy fait appel aux données du PMSI pour des besoins légitimes, elle agit comme responsable du traitement et n’accède pas à vos données personnelles. Seuls des laboratoires de recherche / bureaux d’études référencés auprès de la CNIL ont un accès direct aux données du PMSI. L’accès aux données personnelles du PMSI est justifié par un motif d’intérêt public.

Vous pouvez exercer vos droits d’accès, de rectification et d’opposition auprès du directeur de l’organisme gestionnaire du régime d’assurance maladie obligatoire auquel vous êtes rattaché conformément aux dispositions de l’article R. 1461-9 du CSP.

Customer Data Protection - Services orders

Protections des données à caractère personnel des clients - commandes de prestations

Ordering services from Epsidy may result in the collection and processing of personal data from customers, their representatives, users and staff (hereinafter the "Concerned Personnel"), the use of which is subject to the provisions of the law applicable to personal data protection. As such, in the execution of any order, Epsidy and its customers undertake to comply with the regulations in force applicable to the processing of personal data and, in particular, Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 applicable as of 25 May 2018 (hereinafter "GDPR") and Law No. 2018-493 of 20 June 2018 amending the French ‘Loi informatique et Libertés’ of 6 January 1978.

Personal data collected from Concerned Personnel are subject to computer processing by Epsidy. They are recorded in its customers’ files and is essential for processing orders and for carrying out and following up on services. They are also kept for security purposes, in order to comply with legal and regulatory obligations. They will be kept as long as necessary for the execution of the services and the possible applicable guarantees.

The data controller is Epsidy. Access to personal data will be strictly limited to Epsidy employees authorized to process them due to their functions. Collected information may be communicated to third parties contractually bound to Epsidy for the execution of subcontracted tasks, in accordance with the general terms.

In the context of the execution of their services, third parties have only limited access to the data and must use them in accordance with the provisions of the applicable legislation on the protection of personal data. Apart from the cases set out above, Epsidy will not sell, rent, transfer or give access to third parties to Concerned Personnel’s data without the latter's prior consent, unless it is obliged to do so for legitimate reasons.

However, Concerned Personnel agree to receive e-mails containing offers from Epsidy in connection with their overall professional activity.

If the data is transferred outside the EU, Concerned Personnel will be informed and the guarantees taken to secure the data (for example, adoption of standard protection clauses validated by the French ‘CNIL’, adoption of a code of conduct, obtaining CNIL certification, etc.) will be specified.

In accordance with applicable regulations, Concerned Personnel have a right to access, correct, delete, and transfer the data concerning them, as well as the right to object to the processing on legitimate grounds, rights that they may exercise by contacting Epsidy's Data Protection Officer at the following postal address Epsidy, Rue du Morvan, 54500 VANDOEUVRE-LES-NANCY or by e-mail to: ask[at]epsidy[dot]com.

In the event of a complaint, Concerned Personnel may also address their request to the French Commission Nationale de l'Informatique et des Libertés (CNIL).

La commande de prestations auprès d’Epsidy, peut donner lieu à la collecte et au traitement de données à caractère personnel du client, de ses représentants, utilisateurs et de son personnel (ci-après les « Personnes Concernées »), dont l’utilisation est soumise aux dispositions du droit applicable à la protection des données à caractère personnel. A ce titre, dans le cadre de l’exécution de toute commande, Epsidy et son client s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après « RGPD ») et la loi n°2018-493 du 20 juin 2018 modifiant la Loi informatique et Libertés du 6 janvier 1978.

Les données personnelles recueillies auprès des Personnes Concernées font l'objet d'un traitement informatique réalisé par Epsidy. Elles sont enregistrées dans son fichier clients et sont indispensables au traitement des commandes, à l’exécution et au suivi des prestations. Ces données sont également conservées à des fins de sécurité, afin de respecter les obligations légales et réglementaires. Elles seront conservées aussi longtemps que nécessaire pour l'exécution des prestations et des garanties éventuellement applicables.

Le responsable du traitement des données est Epsidy. L'accès aux données personnelles sera strictement limité aux employés d’Epsidy habilités à les traiter en raison de leurs fonctions. Les informations recueillies pourront éventuellement être communiquées à des tiers liés à Epsidy par contrat pour l'exécution de tâches sous-traitées, conformément aux conditions générales.

Dans le cadre de l'exécution de leurs prestations, les tiers n'ont qu'un accès limité aux données et ont l'obligation de les utiliser en conformité avec les dispositions de la législation applicable en matière de protection des données personnelles. En dehors des cas énoncés ci-dessus, Epsidy s'interdit de vendre, louer, céder ou donner accès à des tiers aux données des Personnes Concernées sans consentement préalable de ces dernières, à moins d'y être contrainte en raison d'un motif légitime.

Les Personnes Concernées acceptent cependant de recevoir des courriers électroniques contenant des offres d’Epsidy en rapport avec l'ensemble de leur activité professionnelle.

Si les données sont amenées à être transférées en dehors de l'UE, les Personnes Concernées en seront informées et les garanties prises afin de sécuriser les données (par exemple, adoption de clauses types de protection validées par la CNIL, adoption d'un code de conduite, obtention d'une certification CNIL, etc.) leur seront précisées.

Conformément à la réglementation applicable, les Personnes Concernées disposent d'un droit d'accès, de rectification, d'effacement, et de portabilité des données les concernant, ainsi que du droit de s'opposer au traitement pour motif légitime, droits qu'il peut exercer en s'adressant au délégué à la protection des données d’Epsidy à l'adresse postale suivante : Epsidy, Rue du Morvan, 54500 VANDOEUVRE-LES-NANCY ou par e-mail à : ask[at]epsidy[point]com.

En cas de réclamation, les Personnes Concernées peuvent également adresser leur demande auprès de la Commission Nationale de l'Informatique et des Libertés.