Politique de Confidentialité
CUREETY
|
Version |
Date |
|
1 |
Juin 2021 |
|
2 |
Octobre 2021 |
|
3 |
Octobre 2022 |
|
4 |
Avril 2023 |
|
5 |
Mars 2024 |
|
6 |
Juillet 2024 |
|
7 |
Mars 2025 |
Introduction
Nous, La société Cureety, proposons un site internet (ci-après le « Site ») accessible à l’adresse : www.cureety.com, et une solution logicielle : une application/web application, permettant la télésurveillance, le télésuivi médical de patients atteints de maladies chroniques, et dénommée Cureety (ci-après « la Plateforme » ou « CUREETY »), accessible à l’adresse https://app.cureety.com et sur les stores Apple et Android.
Notre but est d’améliorer l’offre de soins pour les patients atteints de maladie chroniques. Ainsi, notre Plateforme est proposée à des Établissements de santé et leurs patients, afin d’assister les patients dans leur suivi sanitaire, d’améliorer leur suivi thérapeutique, leurs soins, et leur prise en charge. Afin également de prévenir des risques de santé futurs, et d’optimiser les parcours de santé.
Les utilisateurs de cette Plateforme sont les professionnels de santé chargés du suivi des patients et les patients eux-mêmes, acceptant les Conditions Générales d’utilisation (CGU) de la Plateforme.
La navigation sur notre site internet ou l’utilisation de la Plateforme implique la collecte, et le traitement de vos données personnelles.
Or, nous attachons une importance particulière au respect de votre vie privée et la protection de vos données personnelles. Nous vous garantissons, à ce titre, le respect de la réglementation applicable en matière de protection des données personnelles et notamment les dispositions du Règlement UE 2016/679 du 27 avril 2016 : Règlement Général sur la Protection des Données dit « RGPD » (ou ci-après « la Réglementation »).
Plus particulièrement, nous nous engageons à respecter les grands principes de la protection des données personnelles :
Les grands principes du RGPD
- Principe de finalité déterminée, explicite et légitime (compatibles avec nos activités) : elles sont détaillées plus bas à travers des tableaux.
- Principe de licéité : le traitement doit s’appuyer sur l’un des fondements juridiques autorisé par la Réglementation (votre consentement, nos intérêt légitimes, une obligation légale …).
- Principe de loyauté et transparence : ce principe concerne les modalités selon lesquelles les données sont collectées et nous impose notamment que vous soyez informé préalablement de manière complète, claire et transparente sur le traitement de données (notamment ses objectifs, le caractère obligatoire ou non des informations, les destinataires de vos données, les droits dont vous disposez). Lorsque votre consentement est requis, nous devons nous assurer que ce dernier est libre, spécifique, explicite, éclairé (avec une information préalable), et univoque (par une action positive de votre part, sans ambiguïté).
- La pertinence et la minimisation : seules les données strictement nécessaires et utiles à nos objectifs sont traitées (principe de Privacy by Default est également ainsi respecté).
- La limitation de la conservation : la durée de conservation de vos données est déterminée en fonction de nos objectifs. Une fois cet objectif atteint, et en tenant compte des obligations légales de conservation, vos données sont archivées, supprimées ou anonymisées.
- La sécurité des données : afin de garantir l’intégrité et la confidentialité de vos données, nous et nos sous-traitants avons l’obligation de garantir un niveau de sécurité appropriée. Nous avons adapté notre niveau de sécurité aux traitements de données sensibles. Afin de respecter ce principe, préalablement à tout nouveau traitement présentant un risque pour vos droits, et afin de définir au mieux le niveau de sécurité adapté, nous réalisons les Analyses d’Impact relative à la protection des données nécessaires. Afin de garantir la confidentialité de vos données, nos collaborateurs ont accès aux seules informations nécessaires à leur activité, les données sensibles font l’objet de contrôles et accès spécifiques, notamment, vos données de santé sont confiées à un hébergeur de données de santé, conformément à la loi.
- Le respect de vos droits : vous disposez de droits du fait du traitement de vos données (décrits précisément à l’article 10) et nous devons garantir l’exercice de vos droits.
- Privacy By Design : Les responsables de traitement et leurs sous-traitants doivent concevoir des outils et systèmes intégrant au sein de leurs fonctionnalités le respect de la protection des données, au stade de la conception et du développement : c’est le concept de Privacy by Design.
En tant que fabricant de solutions logicielles/applications dans le domaine de la santé, nous nous engageons, par ailleurs, à respecter les règles spécifiques relatives à ce secteur, et à mettre en œuvre toutes mesures favorisant l’éthique numérique.
Afin de veiller à la bonne application de ces règles, nous avons désigné un DPO certifié, votre point de contact en cas de demandes relatives à cette politique de confidentialité, et le relai privilégié de l’Autorité de contrôle en matière de protection des données à caractère personnel.
Nous savons que la lecture de ce genre de document peut être fastidieuse mais nous vous invitons à le lire dans son INTEGRALITE.
Toutefois, pour plus de transparence et de compréhension voici ses éléments clés au travers de ce sommaire :
Les grands principes du RGPD 2
1. Quand la politique de confidentialité s’applique-t-elle ? 6
2. Qui est responsable du traitement de vos données ? 7
Utilisateurs Patients de notre Plateforme : 8
Utilisateurs Professionnel de santé de notre Plateforme : 8
4. Quelles données personnelles utilisons-nous ? 11
5. Quand et comment recueillons-nous ces données ? 12
Utilisateurs Professionnel de santé : 13
Partage de vos données à votre initiative : 14
7. Combien de temps conservons-nous vos données ? 15
8. Vos données font-elles l’objet de transferts hors Union Européenne ? 15
9. Nous utilisons des cookies….c’est quoi ? 15
Les cookies que nous utilisons : 15
10. Quels sont vos droits et comment les exercer ? 16
11. Quelles mesures de sécurité mettons-nous en œuvre pour protéger vos données ? 19
12. Le délégué à la protection des données (ou DPO) : c’est quoi ? C’est qui ? 20
13. Les modifications de la politique de protection des données 20
Définitions
Donnée à Caractère Personnel (DCP) ou Données Personnelles : toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Données de santé : “Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ». Entrent dans cette notion les données de santé par nature, mais également celles qui, du fait de leur croisement/combinaison avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur la santé d’une personne, ou celles qui, du fait de leur destination, deviennent des données de santé (ex : photo d’un détail physique utilisée par un chirurgien pour faire une intervention). Cela comprend les informations sur la personne collectées donc les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services. Les données de santé bénéficient d’un régime de protection renforcé fondé sur un principe d’interdiction de collecte ou de traitement. Il est néanmoins possible de pallier cette interdiction pour un certain nombre d’exceptions prévues à l’article 9.2 du RGPD.
Traitement de données à caractère personnel : L’opération ou un ensemble organisé d’opérations effectué sur des données à caractère personnel (collecte, structuration, conservation, modification, communication…).
Responsable de traitement : Celui qui définit le but du traitement de vos données, qui influe sur la finalité de traitement, celui qui définit la manière dont sera mis en œuvre le traitement des données à caractère personnel. Il détermine à quoi vont servir les données, quels outils vont être mis en œuvre pour les traiter, à quel moment agir sur les données etc…
Sous-traitant : Celui qui effectue des opérations sur les données pour le compte du responsable de traitement, il signe un contrat avec le responsable de traitement qui lui confie certaines tâches et qui s’assure qu’il dispose des garanties techniques et organisationnelles, lui permettant de traiter les données à caractère personnel qui lui sont confiées conformément à la Règlementation.
Destinataire : Celui qui reçoit communication autorisée des données personnelles.
Délégué à la Protection des Données (DPD) : le délégué à la protection des données, souvent appelée DPO, est l’interlocuteur privilégié que vous devez contacter si vous voulez exercer vos droits ou pour toute question relative à la protection des données.
Plateforme ou CUREETY: désigne les Applicatifs (application et web-application), leurs contenus et les services proposés par la société Cureety aux Utilisateurs.
Utilisateur Patient : désigne tout Patient utilisant la Plateforme.
Utilisateur Professionnel de santé : désigne toute personne habilitée à exercer une profession de santé, au sens de la réglementation applicable, participant à la prise en charge du Patient et utilisant la Plateforme. Il peut s’agir plus spécifiquement du le médecin référent en charge du suivi du Patient (« praticien hospitalier »), d’infirmiers diplômés d’Etat ou d’infirmiers en pratique avancée. Tout suivi, décision médicale ou acte médical étant assuré ou délivré au Patient hors du cadre de la Plateforme et des CGU.
Utilisateur Service Tiers : désigne les personnels des services tiers tels que définis au sein des CGU, (services accessibles sur option des Établissements de Santé, par le biais de fonctionnalités spécifiques de la Plateforme), autorisés à utiliser ces fonctionnalités de la Plateforme.
Professionnels de Santé : désigne toute personne habilitée à exercer une profession de santé, au sens du Code de la Santé Publique, participant à la prise en charge du Patient.
Personne concernée : désigne la personne étant ou pouvant être identifiée dans le cadre des traitements de données réalisés par la société Cureety.
Établissement de Santé : désigne l’établissement de santé ayant souhaité soutenir l’activité de ses Professionnels de Santé en souscrivant à la Plateforme par le biais d’un contrat de partenariat avec La société Cureety.
Dispositif médical : tout instrument, appareil, équipement, logiciel, implant, réactif, matière ou autre article, destiné par le fabricant à être utilisé, seul ou en association, chez l’homme pour l’une ou plusieurs des fins médicales visées à l’article 2 du RÈGLEMENT (UE) 2017/745 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 5 avril 2017 relatif aux dispositifs médicaux.
Télémédecine : Elle est définie comme « une forme de pratique médicale à distance utilisant les technologies de l’information et de la communication. Elle met en rapport, entre eux ou avec un patient, un ou plusieurs professionnels de santé, parmi lesquels figure nécessairement un professionnel médical et, le cas échéant, d’autres professionnels apportant leurs soins au patient ».
Elle peut permettre : d’établir un diagnostic, d’assurer un suivi à visée préventive ou un suivi post-thérapeutique, requérir un avis spécialisé, préparer une décision thérapeutique, prescrire des actes ou des produits, interpréter à distance les données nécessaires à votre suivi médical, effectuer une surveillance de votre état de santé et plus largement de prendre toutes décisions appropriées quant à votre prise en charge. La télésurveillance fait partie des actes de télémédecine.
Quand la politique de confidentialité s’applique-t-elle ?
Cette politique de confidentialité s’applique dès lors que vous accédez ou utilisez notre Plateforme (par le biais de notre site internet ou à la suite d’un téléchargement sur les stores Apple ou Android) .
L’accès à, et l’utilisation, de notre Plateforme est conditionnée à l’acceptation de nos CGU et de cette politique de confidentialité, portées à votre connaissance, lors de votre première connexion. Le consentement des Utilisateurs Patients au traitement de leurs Données de santé est recueilli juste après cette information, avant toute utilisation.
Qui est responsable du traitement de vos données ?
- Lorsque vous accédez ou utilisez la Plateforme Cureety : trois responsables de traitement interviennent :
Professionnel de Santé/Établissement de Santé : responsable du traitement des données personnelles des patients dans le cadre de leur parcours de soins (décisions et actes médicaux).
Services tiers sollicités par l’Utilisateur Professionnel de santé dans le cadre d’un suivi médical à domicile : responsable de traitement dans le cadre de la gestion et du suivi médical.
Nous (Cureety) sommes sous-traitants concernant les traitements de données réalisés aux fins de suivi médical : notamment la collecte des éléments essentiels à votre télésurveillance médicale, le dossier médical partagé dans l’espace sécurisé de la Plateforme, la centralisation des éléments transmis par votre Etablissement pour compléter votre suivi médical grâce à la Plateforme, générer et suivre les prescriptions de télésurveillance.
Par ailleurs, nous (Cureety) sommes responsable du traitement des données personnelles des Utilisateurs (Professionnel de santé et Patients) au titre de l’utilisation de la Plateforme (dispositif médical) et ses Services, en exécution des CGU.
- Lorsque la Plateforme est utilisée comme support numérique d’une Étude ou Recherche dans le domaine de la Santé : le responsable du traitement est le promoteur de la recherche (Médecin/Établissement de Santé).
Mais afin de mieux comprendre, nous allons vous détailler dans quel but nous utilisons vos données à l’article suivant.
Pourquoi utilise-t-on vos données personnelles ? Et sur quelle justification légale nous basons-nous ?
Une justification légale ? Oui…pour pouvoir traiter des données personnelles, il est obligatoire de se fonder sur une des raisons prévues par la loi, sur une « base juridique ». Sur quelle base juridique avons-nous choisi de traiter vos données, et pour quelle finalité, nous vous l’exposons dans le tableau ci-dessous.
Utilisateurs Patients de notre Plateforme :
|
Finalités de traitement |
Sous-finalités |
Base juridique |
|
Mise à disposition d’une Plateforme de télésurveillance et de ses services (en exécution des CGU) |
|
Exécution contrat + article 9 2 a) RGPD (consentement Données sensibles – Nécessaire pour fournir le service demandé). Voir notice information patient – consentement Respect de nos obligations légales |
|
Gestion des Utilisateurs Patients au titre de l’utilisation de la Plateforme (en exécution des CGU) |
|
Exécution contrat + article 9 2 a) RGPD (Consentement Données sensibles – nécessaire pour fournir le service demandé) |
|
Réalisation d’analyses, études et de statistiques ne permettant pas votre identification à partir des données d’utilisation de la Plateforme (dont des données de santé) : pour surveiller notre dispositif médical, et dans le but d’améliorer nos Services (R & D) |
Respect de nos obligations légales + article 9 2 i) RGPD (garantie de norme élevée d’un Dispositif médical) et intérêt légitime + article 9 2 a) (consentement données sensibles) ou article 9 2 j) (recherche scientifique) |
|
Utilisateurs Professionnel de santé de notre Plateforme :
|
Finalités de traitement |
Sous-finalités |
Responsabilité de traitement |
|
Mise à disposition d’une Plateforme de télésurveillance et de services liés, en exécution des CGU et de dispositions contractuelles spécifiques (contrat de partenariat avec les Établissement de Santé) |
|
Exécution contractuelle |
|
Gestion des Utilisateurs Professionnel de santé au titre de leur utilisation de la Plateforme, conformément au CGU et contrat de partenariat avec les Établissement de santé |
|
Exécution contractuelle Respect de nos obligations légales |
|
Réalisation d’analyses, études et de statistiques : pour surveiller notre dispositif médical, et dans le but d’améliorer nos Services (R & D) |
Respect de nos obligations légales et intérêt légitime |
|
Utilisateurs Services Tiers
|
Finalités de traitement |
Sous-finalités |
Responsabilité de traitement |
|
Mise à disposition d’une fonctionnalité permettant la mise en relation des Utilisateurs Professionnel de santé et Utilisateurs Services Tiers, en exécution des CGU et de dispositions contractuelles spécifiques. |
|
Exécution contractuelle |
|
Gestion des Utilisateurs Services tiers au titre de leur utilisation de la Plateforme, conformément au CGU |
|
Exécution contractuelle |
|
Réalisation d’analyses, études et de statistiques : pour surveiller notre dispositif médical, et dans le but d’améliorer nos Services (R & D) |
Respect de nos obligations légales et intérêt légitime |
|
Autres finalités :
|
Finalités de traitement |
Sous-finalités |
Base juridique |
|
Respecter de nos obligations légales |
|
Obligation Légale de traçabilité et matériovigilance DM Obligation de recourir à un hébergement de données de santé |
|
Gestion du site internet |
Gestion administrative et technique en lien avec les prestataires |
Intérêt légitime |
|
Gestion de la sécurité du site et de son bon fonctionnement |
||
|
Gestion de la prospection BtoB |
Intérêt légitime |
|
|
Gestion de nos partenariats et relations d’affaires |
Gestion contractuelle et suivi des partenariats |
Exécution contractuelle |
|
Amélioration et développement de nos produits et services |
Réalisation d’enquêtes de satisfaction/retours utilisateur |
Intérêt légitime |
|
Mise en œuvre des mesures nécessaires à la sécurité des données sur le site et sur la Plateforme, et à la sécurité de notre Système d’informations |
Intérêt légitime |
|
|
Gestion de nos Registres et procédures associées à la gestion de vos droits et la protection de vos données |
Registre d’exercice des droits et procédure associée, registre des violations de données et procédure associée |
Intérêt légitime Respect de nos obligations légales |
|
Gestion des réclamations, gestions des contentieux, exercice ou défense d’un droit en justice |
Intérêt légitime |
|
Quelles données personnelles utilisons-nous ?
|
Personnes concernées |
Catégorie de données personnelles |
Exemples |
|||
|
Utilisateur Patient |
Utilisateur Professionnel de santé |
Utilisateur Services Tiers |
Visiteur site |
||
|
x |
x |
x |
x |
Données d’identification |
Nom*, Prénom*, date de naissance(utilisateur Patient), coordonnées (adresse mail*, N°téléphone), rôle de l’utilisateur, signature. Les coordonnées d’un aidant peuvent également être collectées (s’il y a consenti). |
|
X |
Numéro d’identification unique |
NIR (gestion de la facturation) |
|||
|
x |
Données relatives à la vie personnelles |
Réponses aux questionnaires : Habitudes de vie, contenus de nos échanges |
|||
|
x |
Données relatives à la santé |
réponses aux questionnaires : nature et nombres des effets secondaires observés (listés ou libres), taux d’observance, contenus des prescriptions de télésurveillance |
|||
|
x |
x |
Données relatives à la vie professionnelle |
Établissement de travail, poste (données collectées également pour les visiteurs complétant le formulaire de demande de démo), spécialité, service, n°RPPS |
||
|
x |
x |
x |
Données de connexions |
Adresse IP, journaux de connexion |
|
|
x |
x |
x |
x |
Données relatives au contrat ou nécessaire à la « relation client » ou gestion des partenariats |
Renseignements : contenus dans les demandes de démo ou de contact Correspondances avec les utilisateurs dans le cadre de l’exécution du contrat Activation des options de la Plateforme, contenus de nos échanges. |
Quand et comment recueillons-nous ces données ?
Vos données personnelles sont recueillies :
- Lors de la création de vos comptes utilisateurs
- Lors de votre connexion à la Plateforme
- Lors de votre navigation sur/ et utilisation de la Plateforme
- Lors de votre accès et navigation sur notre Site
- Lorsque vous souhaitez échanger avec nos services : assistance technique par téléphone ou mail pour les utilisateurs de la Plateforme.
Ces données personnelles peuvent être collectées directement auprès de vous, ou indirectement :
- par le biais de l’Utilisateur Professionnel de santé, afin de réaliser l’inscription des Utilisateurs Patients sur la Plateforme (après les avoir informés et obtenu leur consentement) : données d’identification, données relatives à la santé.
- Par le biais des Professionnels de santé de l’équipe de soins du médecin référent ayant accès à la Plateforme, sous la responsabilité de ce dernier : afin de référencer les Utilisateurs Professionnel de santé impliqués dans le suivi de l’Utilisateur Patient.
- Par le biais des Utilisateurs Professionnels de santé concernant les données des Utilisateurs Patients en suivi téléphonique.
- Par le biais de l’Utilisateur Patient : afin de transmettre les coordonnées d’un aidant, si ce dernier y consent.
Les moyens de collecte de vos données personnelles peuvent donc être :
- Téléphone
- Application / web application
- Formulaire papier
Qui en a connaissance ?
Utilisateurs Patients :
- L’Utilisateur Professionnel de santé en charge de votre suivi médical, et son équipe de soins sont destinataires des données relatives à la santé collectées par le biais de la Plateforme avec votre consentement. Sauf opposition de votre part, et afin d’améliorer la qualité de votre parcours de soins, certaines informations médicales et personnelles sont également susceptibles d’être échangées et partagées avec d’autres professionnels de santé intervenant dans votre prise en charge, dans la limite des informations essentielles et pertinentes.
- Nos services internes (personnels habilités : seules personnes ayant besoin de connaître des données dans le cadre de leurs missions. Notamment : Admin Cureety, Service support/assistance technique).
- Nos sous-traitants intervenant dans le traitement des Données (notamment : éditeur du Site, hébergeur HDS, infogérant HDS) dans le cadre strict de leurs missions et conformément aux exigences du RGPD, notamment en matière de sécurité et de confidentialité.
À ce titre nous précisons que nous avons choisi, en tant que société d’hébergement de données de santé et d’Infogérance certifiée HDS :
AZNETWORK
40, rue Ampère, 61000 ALENCON
FRANCE
Contact : 02.33.32.12.47
- Les autorités publiques compétentes, conformément à la réglementation, en cas de demande (mise à disposition, le cas échéant).
Utilisateurs Professionnel de santé :
- Les Utilisateurs Patients (nom du Praticien/infirmière, service, Établissement de rattachement)
- Les autres utilisateurs de la Plateforme membre de l’équipe de soins ou administrative de l’Utilisateur Professionnel de santé, en ce compris des professionnels de santé externes intervenant dans la prise en charge du Patients, dans la limite des informations essentielles et pertinentes (en ce compris des informations saisies librement par les Utilisateurs Professionnels de santé concernant les Utilisateurs Patients).
- L’administrateur Professionnel de santé
- Nos services internes (personnels habilités : seules personnes ayant besoin de connaître des données dans le cadre de leurs missions. Notamment : Admin Cureety, Service support/assistance technique).
- Nos sous-traitants intervenant dans le traitement des données (notamment : éditeur du site, hébergeur) dans le cadre strict de leurs missions et conformément aux exigences du RGPD, notamment en matière de sécurité et de confidentialité.
- Les autorités publiques compétentes, conformément à la réglementation, en cas de demande (mise à disposition, le cas échéant).
Utilisateurs Service Tiers :
- L’Utilisateur Professionnel de Santé
- Les autres utilisateurs de la Plateforme membre de l’équipe de soins ou administrative de l’Utilisateur Professionnel de santé
- L’administrateur Service Tiers.
- Nos services internes (personnels habilités : seules personnes ayant besoin de connaître des données dans le cadre de leurs missions. Notamment : Admin Cureety, Service support/assistance technique).
- Nos sous-traitants intervenant dans le traitement des données (notamment : éditeur du site, hébergeur dans le cadre strict de leurs missions et conformément aux exigences du RGPD, notamment en matière de sécurité et de confidentialité. À ce titre nous précisons que l’hébergeur est hébergeur de données de santé certifié.
- Les autorités publiques compétentes, conformément à la réglementation, en cas de demande (mise à disposition, le cas échéant).
Partage de vos données à votre initiative :
Nous vous invitons à ne pas partager vos données personnelles collectées par le biais de la Plateforme qu’avec des personnes de confiance.
En tant qu’Utilisateur de la Plateforme, vous pouvez faire le choix de recourir à des services tiers que nous proposons : notamment la mise en relation avec des professionnels de santé pouvant participer à votre prise en charge. Dans ce cadre, le partage de vos données personnelles avec ces services, intervient à votre initiative. Les données personnelles collectées par la Plateforme transmises à votre initiative ne font l’objet d’aucune correction ou modification et nous n’intervenons pas dans leur traitement ultérieur. Nous sommes uniquement responsables de leur transmission sécurisée et fiable au service tiers, auquel vous avez choisi de recourir.
Combien de temps conservons-nous vos données ?
Nous nous engageons à utiliser et conserver vos données pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles sont collectées et traitées (article 3 de la présente Politique). Afin de définir ces durées, nous nous référons aux dispositions légales en vigueur, aux éventuels délais de prescription, et aux recommandations/référentiels de l’Autorité de contrôle en matière de protection des données à caractère personnel.
A titre d’exemple, nous conservons :
- Données relatives à l’exercice de l’un de vos droits cités à l’article 10 de la présente politique : 5 ans à compter de l’expiration du délai de réponse.
- Données relatives au contrat : durée de la relation contractuelle, puis 5 ans à compter de la fin du contrat à des fins probatoire ou au titre d’une obligation légale
- Données nécessaires à la fourniture du service de télésurveillance : à compter de la clôture du compte utilisateur, vos données sont archivées pendant 10 ans, puis elles pourront être anonymisées (sauf oppostion préalable de votre part).
- Données collectées dans le cadre d’une demande de démo de l’application : les informations demandées sont conservées pendant 3 ans à compter de notre dernier contact (en l’absence de suites contractuelles).
Vos données font-elles l’objet de transferts hors Union Européenne ?
Les données que nous collectons sont hébergées en France, et nous ne transférons aucune donnée à caractère personnel, hors du territoire de l’Union Européenne dans le cadre de nos activités de fabricant de solutions logicielles/applications dans le domaine de la santé (Dispositif Médical).
Nous utilisons des cookies….c’est quoi ?
Définition :
Un cookie est un traceur constitué par une suite d’informations/fichiers de petite taille, pouvant être placés sur votre terminal et/ou lus lors de la consultation d’un site, d’une application mobile ou de l’installation d’un logiciel.
Les données obtenues par le biais de ces traceurs peuvent permettre un suivi de votre navigation : pages visitées, durée de la visite, fréquence des visites, opérateur ou type de terminal à partir duquel la visite est effectuée, etc…
Les cookies que nous utilisons :
Les cookies utilisés par Cureety sont des cookies nécessaires et utilisés afin de :
- Assurer la qualité et la sécurité de la navigation sur le Site et sur la Plateforme
- Assurer l’authentification sur la Plateforme
Quels sont vos droits et comment les exercer ?
Conformément à la Réglementation, vous bénéficiez de droits vous permettant de contrôler et d’agir sur vos données personnelles.
Ces droits varient en fonction de la base juridique retenue pour traiter vos Données (et nous vous exposons ces bases juridiques au sein de l’article 3 de la présente Politique).
Voici un tableau récapitulatif de vos droits et leur contenu, en fonction des bases juridiques de traitement :
Tableau droits RGPD |
Consentement |
Exécution contractuelle |
Intérêt légitime |
Obligation légale |
|
Droit d’accès : droit d’obtenir les informations listées à l’art.15 RGPD et une copie des données faisant l’objet d’un traitement |
X |
X |
X |
X |
|
Droit de rectification : rectifier vos données inexactes ou incomplètes que vous ne pourriez mettre à jour vous-même (art.16 RGPD) |
X |
X |
X |
X |
|
Droit à l’effacement/l’oubli: données inexactes, incomplètes, équivoques, périmées ou dont la collecte/l’utilisation n’est pas ou plus licite (art. 17 RGPD) |
X |
X |
X |
|
|
Droit d’opposition : s’opposer au traitement de vos données dans les conditions prévues à l’art.21 RGPD |
X |
|||
|
Droit de retirer votre consentement (art. 13-2c RGPD) : à tout moment (pour l’avenir) |
X |
|||
|
Droit à la limitation : droit de demander le gel temporaire de vos données (réalisation d’un marquage en vue de limiter leur traitement futur), dans les 4 cas prévus par l’art. 18 RGPD |
X |
X |
X |
X |
|
Droit à la portabilité (art.20 RGPD) : droit de nous demander une partie de vos données (collectées de façon directe, traitées de façon automatisée, dans la mesures où cela ne porte pas atteinte aux droits d’un tiers si leurs données sont comprises) dans un format ouvert et lisible par machine |
X |
X |
Vous disposez également :
- du droit de ne pas faire l’objet d’une décision automatisée : en exécution de nos CGU, notre Plateforme réalise des évaluations par le biais d’algorithmes, entraînant la délivrance d’informations de santé personnalisées et d’alertes automatisées.
Ex : en fonction des réponses aux questionnaires des Utilisateurs Patients, il va définir un niveau de gravité et générer une information/une alerte.
Ce traitement de données automatisé fait l’objet d’un encadrement spécifique par l’article 22-3 et -4 du RGPD,. Dans le cadre de notre Plateforme, ce traitement est basé soit sur l’exécution contractuelle, soit sur votre consentement (Utilisateurs Patients) car ils traitent vos données de santé. Le traitement par cet algorithme est constitutif du service que nous vous fournissons.
Notre algorithme est un dispositif médical, ayant obtenu le marquage CE. Cet algorithme est basé sur des critères objectifs spécifiques au domaine de la pathologie de l’utilisateur patient et a été défini avec le comité scientifique de Cureety (dont des professionnels de santé). Il a fait l’objet d’un audit dans le cadre de la procédure de marquage CE. Les résultats du traitement de données réalisé par cet algorithme est accessible par l’Utilisateur Professionnel de santé. Enfin, nous assurons la traçabilité des actions de traitement réalisées par cet algorithme et des données utilisées.
Vous avez le droit d’exprimer votre point de vue vis-à-vis de la décision produite par cet algorithme et le droit de contester cette décision auprès de nos services.
Ces mesures permettent de vous garantir un niveau de supervision humaine conforme aux dispositions légales en vigueur.
- droit de définir le sort de vos données post-mortem et de choisir que nous communiquions (ou non) vos données à un tiers que vous aurez préalablement désigné. En cas de décès et à défaut d’instructions de votre part, nous nous engageons à détruire vos données, sauf si leur conservation s’avère nécessaire à des fins probatoires ou pour répondre à une obligation légale.
- Du droit d’introduire une réclamation auprès de votre autorité de protection des données :
|
France |
Commission nationale de l’informatique et des libertés (CNIL) |
3 place de Fontenoy |
|
Belgique |
Autorité de Protection des Données |
Rue de la Presse 35, 1000 Bruxelles +32 (0)2 274 48 00 |
|
Espagne |
Agencia Española de Protección de Datos (AEPD) |
C/ Jorge Juan, 6. 28001 – Madrid |
|
Italie |
la Garante per la protezione dei dati personali (GPDP) |
Piazza Venezia 11 +39 06.696771- |
|
Portugal |
Comissão Nacional de Protecção de Dados |
Av. D. Carlos I, 134, 1º 1200-651 Lisboa Portugal +351 21 392 84 00 |
Vous pouvez exercer ces droits ou poser toute question relative au traitement de vos données personnelles, en contactant notre Délégué à la Protection des Données (DPO) par courrier électronique à l’adresse : dpo@cureety.com, ou par courrier postale à l’adresse suivante :
CUREETY SAS
DPO
33, rue de l’Amirauté
22100 DINAN – France
en indiquant :
- Vos coordonnées (nom, prénom, adresse)
- L’exposition d’un motif propre à votre situation particulière lorsque celui-ci est exigé par la loi (notamment en cas d’opposition au traitement fondé sur l’intérêt légitime, sauf prospection commerciale où aucun motif n’est requis)
- L’indication du fondement légal en cas d’exercice du droit à l’effacement.
La copie d’un titre d’identité pourra vous être demandée afin de nous assurer de votre identité et sera conservée le temps nécessaire à la vérification ou au respect d’une obligation légale.
Nous donnerons suite aux demandes effectuées, dans un délai pouvant aller d’un (1) mois à (3) mois à compter de la réception d’une demande complète.
Pour mieux connaître vos droits, vous pouvez également consulter le site de votre autorité de contrôle :
|
France |
Commission nationale de l’informatique et des libertés (CNIL) |
3 place de Fontenoy |
|
Belgique |
Autorité de Protection des Données |
Rue de la Presse 35, 1000 Bruxelles +32 (0)2 274 48 00 |
|
Espagne |
Agencia Española de Protección de Datos (AEPD) |
C/ Jorge Juan, 6. 28001 – Madrid |
|
Italie |
la Garante per la protezione dei dati personali (GPDP) |
Piazza Venezia 11 +39 06.696771- |
|
Portugal |
Comissão Nacional de Protecção de Dados |
Av. D. Carlos I, 134, 1º 1200-651 Lisboa Portugal +351 21 392 84 00 |
Quelles mesures de sécurité mettons-nous en œuvre pour protéger vos données ?
La sécurité des données porte sur les mesures prises afin de protéger vos données des faits suivants :
- Altération
- Destruction
- Perte
- Divulgation ou accès non-autorisés
Afin de garantir cela, nous devons mettre en œuvre les mesures techniques, juridiques et organisationnelles appropriées compte tenu de l’état des connaissances, des coûts, de la nature, de la portée, du contexte et des finalités des traitements afin de garantir un niveau de sécurité adapté aux risques, et ce, dès la conception.
A cet effet, nous avons notamment mis en œuvre :
- Désignation d’un délégué à la protection des données (DPO)
- Réalisation d’analyses d’impact relative à la vie privée
- Hébergement des données chez un hébergeur certifié données de santé
- Pseudonymisation et anonymisation
- Chiffrement
- Procédures internes garantissant la confidentialité : clause au sein des contrats, cloisonnement des accès
- Procédés d’authentification avec accès nominatif et sécurisé
- Procédure la confidentialité, l’intégrité, la disponibilité et la résilience de nos systèmes d’information (notamment : processus de sauvegardes des données et de l’infrastructure quotidiennes, bases de données dupliquées dans plusieurs systèmes, ressources réparties géographiquement, stockage sécurisé (physique : alarmes, alimentation sans coupure, climatisation, et logique : firewall, antivirus) redondance intégrée avec SLA = 99,9%)
Le délégué à la protection des données (ou DPO) : c’est quoi ? C’est qui ?
Le délégué à la protection des données est désigné afin de veiller au respect de la Règlementation en matière de protection des données, et donc des règles décrites au sein de la présente Politique.
Conformément à l’article 39 du RGPD, il veille notamment :
- à informer et conseiller le Responsable de traitement (RT) ;
- à s’assurer de la conformité des pratiques du RT avec la règlementation et ses évolutions ;
- à sensibiliser l’ensemble des équipes à la Réglementation et aux bonnes pratiques en matière de protection des données à caractère personnel ;
- à vérifier l’exercice effectif des droits des personnes concernées ;
- à coopérer avec l’Autorité de contrôle compétente (et être son point de contact).
Notre DPO est la société Data need Advice, joignable
- à l’adresse mail : dpo@cureety.com,
- ou à l’adresse :
CUREETY SAS
DPO
33, rue de l’Amirauté
22100 DINAN – France
Les modifications de la politique de protection des données
La présente Politique de protection des données a été validée préalablement à sa diffusion par notre DPO.
Elle fait l’objet d’une révision au minimum tous les ans, ou lorsque des modifications importantes des traitements de données personnelles sont effectuées.
À ce titre, nous nous réservons le droit d’adapter et modifier la présente Politique, et vous invitons à la consulter régulièrement.
En cas d’évolution ou modifications importantes de cette Politique, nous nous engageons à vous informer préalablement à la mise en œuvre des modifications qui pourraient impacter le traitement de vos données personnelles.
Nous nous engageons à indiquer clairement et visiblement la date de mise à jour et l’identification de la dernière version de la présente Politique.