Politique de Confidentialite Idomed
Politique de Confidentialite Idomed
Article 1 Définitions
Dans la Politique, les termes et expressions commençant par une majuscule auront le sens qui leur est donné ci-après, et ce qu’ils soient écrits au singulier ou au pluriel :
« Accord de Traitement » : désigne le document contractuel établi entre le Client et IDOMED pour définir les modalités de traitement des Données sur le Site et répartissant entre le Client et IDOMED les obligations prévues par la législation en matière de protection des données.
« Contrat » : désigne l’ensemble constitué du Contrat de mise à disposition d’IDOMED, du Devis et d’éventuelles conditions contractuelles complémentaires.
« Compte » : désigne le compte ouvert par un Utilisateur d’utiliser, en application du Contrat, le Service.
« Coresponsable » : désigne les Parties dans le cadre de leurs droits et obligations relatifs au Traitement.
« Demande » : désigne les demandes d’accès, de communication, d’opposition, de rectification, de limitation, de portabilité ou d’effacement que la Personne Concernée peut adresser à IDOMED.
« Données » : désigne une donnée à caractère personnel, au sens de l’article 4 du règlement n° 2016/679 du 27 avril 2016.
« Patient » : désigne une personne physique à propos de laquelle un ou plusieurs Utilisateurs traitent des Données au moyen du Service.
« Personne Concernée » : désigne toute personne, identifiée ou identifiable, concernée par les Données. L’Utilisateur et le Patient sont des Personnes Concernées.
« Personnel » : désigne les préposés, salariés, prestataires et sous-traitants d’IDOMED ou de l’Utilisateur.
« Politique » : désigne le présent document.
« Professionnel » : désigne toute personne physique habilitée à exercer une profession de santé, au sens du Code de la Santé Publique.
« Service » : désigne l’ensemble des équipements, matériels, logiciels, outils, programmes informatiques et autres éléments, en ce compris toutes améliorations, corrections, modifications, nouvelles versions, documentations, et leurs mises à jour respectives, mis en œuvre par IDOMED, ou sous son contrôle, afin de permettre aux Utilisateurs d’échanger des Données relatives à la Santé de Patients, de façon sécurisée et asynchrone.
« Utilisateur » : Xxxxxxx toute personne physique liée à IDOMED par le Contrat ainsi que tout Professionnel membre du Personnel d’une personne physique ou morale ayant passé un Contrat avec IDOMED.
Article 2 Objet de la Politique de Confidentialité
La Politique définit les conditions et modalités de traitement des Données relatives à l’Utilisateur par IDOMED et des Données relatives aux Patients par IDOMED et les Utilisateurs Professionnels, ainsi que les droits de l’Utilisateur et des Patients sur ces Données.
IDOMED déclare que le Service proposé est conforme aux législations française et européenne relatives à la protection des Données. XXXXXX s’oblige à respecter et faire respecter par son Personnel l’ensemble de ces obligations légales. XXXXXX garantit avoir satisfait à l’ensemble des obligations légales relatives à la protection des Données, et notamment avoir effectué toutes les formalités préalables auprès de l’autorité de protection des données personnelles françaises, la CNIL, qui lui incombent au titre de la mise en œuvre du traitement de Données relatif à l’Utilisateur.
Article 3 Application de la Politique de Confidentialité
L’utilisation du Service est donc conditionnée à l’acceptation pleine et entière de la Politique.
En cas de modification de la Politique, IDOMED s’engage à maintenir un niveau équivalent de confidentialité et de sécurité des Données.
Tout refus de la Politique ou de toute nouvelle version peut exclure l’utilisation du Service par l’Utilisateur et entrainer la suppression des Données relatives à l’Utilisateur.
Article 4 Finalité du traitement des données
Les Données relatives aux Utilisateurs et, le cas échéant, à leurs Patients sont collectées dans le cadre de traitements de données distincts :
Intitulé | Responsable de traitement | Finalités | Sous-finalités | Personnes Concernées |
Fichier Clients/Prospects | IDOMED | Gestion et suivi des relations des Utilisateurs du Service | - Effectuer les opérations relatives à la gestion des utilisateurs (contrats, commandes, suivi du contrat, etc.) - Effectuer des opérations relatives à la prospection (campagnes de publicité, de communication et de marketing, newsletter) - Elaboration de statistiques commerciales - Gestion des Demandes - Gestion des impayés, du précontentieux et du contentieux - Gestion des avis des Utilisateurs sur des produits, services ou contenus | - Utilisateurs Professionnels - Prospects |
Application Idomed | IDOMED et l’Utilisateur Professionnel, en coresponsabilité | Permettre l’échange de Données relatives à un Patient et le partage de documents concernant les Patients | - Fourniture des outils et services nécessaires à la réalisation d’actes de télémédecine et de communication électronique, au partage de documents et à la centralisation d’informations médico- administratives - Fourniture des outils et services permettant la personnalisation du Compte et de l’interface par l’Utilisateur - Mise en œuvre des services nécessaires au support utilisateur - Utilisation des données d'utilisation du Service et des retours clients pour l'amélioration du Service - Mise en œuvre des outils nécessaires à assurer la sécurité des Données et du Service | Patients Utilisateurs |
Article 5 Responsabilité de traitement
Le traitement de données « Fichier Clients/Prospects » est placé sous la responsabilité exclusive d’IDOMED.
Le traitement de données « Application Idomed » est placé sous la responsabilité conjointe d’IDOMED et des Utilisateurs Professionnels. Ce partage de la responsabilité est justifié par les caractéristiques du Service. Le Service permet à un Patient de créer un Compte pour être Utilisateur du Service et, dans ce cadre, de mettre en partage des Données le concernant. Afin d’éviter que la résiliation du Contrat par un Utilisateur
Professionnel entraîne la suppression de la totalité des Données concernant l’Utilisateur Patient, IDOMED et les Utilisateurs Professionnels ont fait le choix de mettre en place une responsabilité conjointe. Le Contrat passé par IDOMED avec les Utilisateurs Professionnels répartit entre les parties les obligations prévues par le RGPD selon les modalités suivantes :
Légende
■ En charge 🞑 Soutien 🞈 Contrôle, validation
Définition des caractéristiques du traitement | Personne en charge | |
Professionnel | IDOMED | |
Définition des finalités du Traitement | ■ | 🞑 |
Définition de la base juridique de chaque finalité du Traitement | ■ | 🞑 |
Information des Professionnels quant à l’ouverture d’un Compte | ■ | 🞑 |
Définition des moyens techniques et matériels du Traitement | ■ | |
Définition des moyens humains et organisationnels du Traitement | ■ | ■ |
Attribution des profils d’utilisation aux Utilisateurs Autorisés et modification / suppression des droits des Utilisateurs Autorisés | ■ | 🞑 |
Contrôle du principe de minimisation des données relatives aux Utilisateurs | ■ | |
Contrôle du principe de minimisation des données relatives aux Patients | ■ | |
Définition de la durée de conservation des données relatives aux Utilisateurs | ■ | |
Définition de la durée de conservation des données relatives aux Patients | ■ | |
Effacement des données relatives aux Utilisateurs | ■ | |
Effacement des données relatives aux Patients | ■ | 🞑 |
Conservation des données relatives aux Utilisateurs au terme des relations contractuelles entre Coresponsables | ■ | |
Conservation des données relatives aux Patients au terme des relations contractuelles entre Coresponsables | ■ | |
Tenue d’une documentation relative au Traitement | ■ | ■ |
Réutilisation des données à des fins statistiques concernant les Utilisateurs, exclusivement | ■ | ■ |
Mise en place du mécanisme d’agrégation et contrôle de l’anonymat des résultats | 🞈 | ■ |
Obligations génériques | Personne en charge | |
Professionnel | IDOMED | |
Désignation d’un référent interne chargé d’assurer la mise en œuvre du Contrat au sein de son organisation | ■ | ■ |
Désignation d’un Point de contact pour les Personnes Concernées, les autorités et les tiers | ■ | 🞑 |
Encadrement de la sous-traitance | ■ | ■ |
Information de l’autre Coresponsable quant au recours à un sous-traitant | ■ / 🞈 | ■ / 🞈 |
Registre des activités de traitement | ■ | ■ |
Coopération avec l’Autorité de Protection et réponse à toute demande d’informations de l’Autorité de Protection ou de toute autre autorité de protection des données compétentes | ■ | 🞑 |
S’alerter mutuellement en cas de doute sur la conformité d’une instruction au règlement ou à toute réglementation communautaire ou nationale applicable au Traitement | ■ | ■ |
Cadrage de la mise en place éventuelle d’un transfert de données vers un pays tiers ou une organisation internationale | ■ / 🞈 | ■ / 🞈 |
Prendre – et documenter – les précautions, mesures et garanties techniques nécessaires pour préserver la confidentialité et la sécurité des données et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés et plus généralement | ■ | ■ |
Prendre – et documenter – les précautions, mesures et garanties organisationnelles appropriées pour protéger les données contre la destruction, la perte, l'altération, la diffusion ou l'accès autorisé, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute forme de traitement illicite | ■ | ■ |
Réalisation d’une analyse de risque | ■ | 🞑 |
Aspects relatifs au Service | Personne en charge | |
Professionnel | IDOMED | |
Vérification du respect du privacy by design / privacy by default par le Service | ■ | |
Choix de l’hébergeur | 🞈 | ■ |
Maintien en conditions opérationnelles du Service | ■ | |
Maintenance corrective | ■ | |
Mise en place des mesures de sécurité liées au Service | ■ | |
Etablissement et validation d’un plan d’assurance sécurité pour le Service | 🞈 | ■ |
Attribution, gestion et suppression des habilitations des Utilisateurs Autorisés | ■ | ■ |
Information et consentement des Personnes Concernées | Personne en charge | |
Professionnel | IDOMED | |
Rédaction des mentions d’information relatives au Traitement | 🞈 | ■ |
Diffusion de l’information aux Utilisateurs Autorisés et Patients auxquels un Compte est créé par le Client | ■ | |
Recueil et conservation de la preuve du consentement, le cas échéant | ■ | |
Contrôle de la majorité des Patients / recueil de l’accord du représentant légal | ■ | |
Gestion des demandes des Personnes Concernées | Personne en charge | |
Professionnel | IDOMED | |
Réception des demandes des Patients | ■ | ■ |
Instruction des demandes des Patients | ■ | 🞑 |
Réponse aux demandes des Patients | ■ | |
Réception des demandes des Utilisateurs | ■ | ■ |
Instruction des demandes des Utilisateurs | 🞑 | ■ |
Réponse aux demandes des Utilisateurs | ■ | |
Notification de la rectification ou de l'effacement de données ou de la limitation du traitement au Coresponsable, sous-traitants et destinataires | ■ | ■ |
Analyse d’impact sur la vie privée | Personne en charge | |
Professionnel | IDOMED | |
Réalisation d’une analyse d'impact relative à la protection des données | ■ | 🞑 |
Constitution du dossier de consultation de l’Autorité de Protection, le cas échéant | ■ | 🞑 |
Interaction avec l’Autorité de Protection, lorsqu’elle est saisie pour avis | ■ | 🞑 |
Violations de données | Personne en charge | |
Professionnel | IDOMED | |
Information de l’autre partie d’une violation de données | ■ | ■ |
Gestion de l’instruction des violations de données | ■ | 🞑 |
Mise en conformité et suivi de la mise en conformité | ■ / 🞑 | ■ / 🞑 |
Documentation de la violation de données | ■ | ■ |
Notification des violations de données à l’Autorité de Protection | ■ | 🞑 |
Communication aux Personnes Concernées d'une violation de données | 🞑 | ■ |
Désignation d’un délégué à la protection des données | ■ | ■ |
Article 6 Base juridique du traitement
Un traitement de données ne peut se faire que sur une « base juridique », c’est-à-dire pour un motif prévu par la loi, déterminée. Lorsque sont traitées des Données Sensibles, en plus de la base juridique, le responsable de traitement doit apporter une justification complémentaire.
La matrice suivante précise les bases juridiques applicables aux traitements de Données mis en œuvre par IDOMED :
Intitulé | Sous-finalités | Base juridique |
Fichier Clients/Prospects | - Effectuer les opérations relatives à la gestion des utilisateurs (contrats, commandes, suivi du contrat, etc.) - Effectuer des opérations relatives à la prospection (campagnes de publicité, de communication et de marketing, newsletter) afin de pouvoir acquérir de nouveau client - Elaboration de statistiques commerciales afin de pouvoir communiquer sur des informations comme le nombre d’utilisateurs, la durée d’utilisation des services, etc. - Gestion des Demandes - Gestion des impayés, du précontentieux et du contentieux - Gestion des avis des Utilisateurs sur des produits, services ou contenus afin de pouvoir faire évoluer le service | - Exécution d’un contrat - Intérêts légitimes - Intérêts légitimes - Obligation légale - Exécution du contrat - Intérêt légitime |
Application Idomed | - Fourniture des outils et services nécessaires à la réalisation d’actes de télémédecine et de communication électronique, au partage de documents et à la centralisation d’informations médico-administratives - Fourniture des outils et services permettant la personnalisation du Compte et de l’interface par l’Utilisateur - Mise en œuvre des services nécessaires au support utilisateur | - Exécution du contrat - Exécution du contrat - Exécution du contrat - Intérêts légitimes |
- Obligation légale | ||
- Utilisation des données d'utilisation du Service et des retours clients pour l'amélioration du Service afin de pouvoir faire évoluer le service - Mise en œuvre des outils nécessaires à assurer la sécurité des Données et du Service - Gestion des Demandes - Données sensibles | - Obligation légale - Prise en charge médicale |
Lorsque le traitement de données est mis en œuvre sur la base de l’intérêt légitime du responsable de traitement, le responsable de traitement a vérifié au préalable que ses intérêts légitimes ne portaient pas atteinte aux droits et intérêts des Personnes Concernées. En aucun cas les données ne sont alors utilisées dans un but de nature à porter atteinte à la vie privée des Personnes Concernées. La justification de l’intérêt légitime d’IDOMED figure ci-dessous :
- Fichier Clients/Prospects :
o Effectuer des opérations relatives à la prospection (campagnes de publicité, de communication et de marketing, newsletter) afin de pouvoir acquérir de nouveau client : la CNIL considère que la prospection peut s’opérer auprès des professionnels sans consentement. IDOMED a un intérêt légitime, pour le développement de sa société et la promotion de l’Application IDOMED ainsi que pour leur proposer un outil de messagerie conforme aux obligations de sécurité et de confidentialité, à traiter les données des professionnels de santé. Les droits des professionnels de santé sont garantis : ils sont informés du traitement de données en amont ou lors de l’envoi de la première sollicitation et peuvent s’y opposer.
o Elaboration de statistiques commerciales afin de pouvoir communiquer sur des informations comme le nombre d’utilisateurs, la durée d’utilisation des services, etc. : les statistiques élaborées permettent à IDOMED de dégager des indicateurs de performance de ses produits, services ou contenus. Elaborées à partir de données à caractère personnel, les statistiques sont strictement anonymes, de sorte que les droits des personnes concernées sont assurés.
o Gestion des avis des Utilisateurs sur des produits, services ou contenus afin de pouvoir faire évoluer le service : tout Utilisateur peut adresser un avis sur ses produits, services ou contenus à IDOMED ou en publier sur des comparateurs. IDOMED a un intérêt légitime d’une part à défendre ses produits, services ou contenus, d’autre part à tenir compte de ces avis pour les faire évoluer. La transmission ou la publication de l’avis étant un fait volontaire de l’Utilisateur, le traitement de ces données ne porte aucune atteinte à ses droits.
- Application Idomed :
o Utilisation des données d'utilisation du Service et des retours clients pour l'amélioration du Service afin de pouvoir faire évoluer le service : il s’agit d’élaborer des statistiques pour dégager des indicateurs de performance propres à l’Application IDOMED. Elaborées à partir de données à caractère personnel, les statistiques sont anonymes ou pseudonymisées de façon irréversible. Conformément à la recommandation de la CNIL en la matière, le consentement de la personne à l’installation des outils de mesure est demandé au préalable.
Article 7 Données traitées
Pour permettre l’utilisation du Service, différentes Données peuvent ou doivent être collectées et traitées. La matrice suivante définit les catégories de Données susceptibles d’être traitées par IDOMED :
Catégorie de Fichier Clients/Prospects Application Idomed donnée Utilisateur Patient | |||
Données d’identification | - Identité : civilité, nom, prénoms, code interne d'identification, copie d'un titre d'identité (si nécessaire, aux fins de preuve de l'exercice d'un droit ou pour répondre à une obligation légale) ; - Date de création du contact - Coordonnées : adresse*, numéro de téléphone* (fixe et/ou mobile), numéro de télécopie*, email*. | - Inscription : Nom et prénom, identifiant interne, email, n° RPPS ou équivalent, justificatif professionnel ou d’identité (conservé le temps de la validation du compte) - Fiche profil : biographie*, photographie*, adresse d’exercice*, numéros de téléphone et emails publics* | - Inscription : Civilité, nom et prénom, numéro de mobile, email, date de naissance, numéro de sécurité sociale - Fiche patient (accessibles uniquement aux professionnels de santé) : adresse postale* |
Données relatives au contrat ou nécessaires à la gestion des commandes, des livraisons, de la facturation, de la comptabilité | - Transactions commerciales : numéro de la transaction, détail de l'achat / de l'abonnement, détail du bien ou du service, quantité, montant, périodicité, historique des achats et des prestations de services, origine de la vente (vendeur, représentant, partenaire, affilié) ou de la commande ; - Renseignement : demandes de documentation, demandes d'essai ; - Livraison : adresse de livraison, retour des produits ; | Type de compte / d’abonnement | Type de compte / d’abonnement |
et, en particulier, de la gestion des comptes clients | - Correspondances avec le client et service après-vente, échanges et commentaires des clients et prospects, personne(s) en charge de la relation client. | ||
Données relatives à la vie professionnelle | Entreprise, fonctions | Profession, spécialité* | |
Données bancaires et financières | - Etat des paiements : Payé / retard / Gratuit - Règlement : modalités, remises consenties, reçus, soldes et impayés. | Etat de paiement : oui/non | |
Données de connexion et données techniques | - Adresse IP et journaux de connexion - Type et modèle d’appareil, Système d’exploitation et navigateur - Statistiques d’utilisation de l’application | Adresse IP et journaux de connexion - Type et modèle d’appareil, Système d’exploitation et navigateur - Statistiques d’utilisation de l’application | |
Données Sensibles | Traitements*, pathologies*, Antécédents personnels et familiaux*, Social* (champs libres) |
Légende 1 Lorsque la fourniture des Données est facultative, un astérisque * le signalant apparaît à côté de la Donnée Personnelle ou catégorie de Donnée Personnelle concernée.
Article 8 Droits des Personnes Concernées
8.1. Généralités
Les Personnes Concernées ne détiennent aucun droit de propriété sur les Données les concernant. En revanche, la législation relative à la protection des données personnelles leur reconnaît les droits, l’applicabilité de ces droits dépendant de la base juridique retenue pour mettre en œuvre le traitement de données :
- Droit d’accès et de rectification : la Personne Concernée peut solliciter l’accès à ses Données et, le cas échéant, leur rectification ;
- Droit de retirer son consentement : la Personne Concernée peut à tout moment retirer son consentement au traitement des Données le concernant, ce retrait ne valant que pour l’avenir ;
- Droit d’opposition : la Personne Concernée peut s’opposer au traitement des Données le concernant, sous réserve de fournir un motif légitime (le motif légitime n’est pas nécessaire en cas d’opposition au traitement à des fins de prospection commerciale) ;
- Droit à l’oubli : la Personne Concernée a droit à l’effacement des Données le concernant à l’issue d’une certaine durée ;
- Droit à la limitation du traitement : la Personne Concernée peut demander à ce que les Données le concernant fassent l’objet d’un marquage spécifique en vue de limiter leur traitement futur, dans différentes circonstances ;
- Droit à la portabilité : la Personne Concernée peut demander à obtenir une copie, dans un format interopérable, des seules Données qu’il a fournies à IDOMED, voire à ce que les Données en cause soient directement transférées vers un autre responsable de traitement ;
- Droit de ne pas faire l’objet d’une décision individuelle automatisée : la Personne Concernée faisant l’objet d’une décision individuelle automatisée doit pouvoir prendre connaissance des logiques sous-tendant la décision et en discuter avec une personne physique.
Les matrices suivantes définissent les droits applicables à chaque traitement de Données mis en œuvre par IDOMED :
Fichier Clients/Prospects
Traitement
Sous finalité | Effectuer les opérations relatives à la gestion des utilisateurs | Effectuer des opérations relatives à la prospection | Elaboration de statistiques commerciales | Gestion des Demandes | Gestion des impayés, du précontentieux et du contentieux | Gestion des avis des Utilisateurs sur des produits, services ou contenus |
Base juridique Accès Rectification Retrait du consentement Opposition Oubli Portabilité Limitation Décision automatisée | Exécution du contrat | Intérêts légitimes | Obligation légale | Exécution du contrat | Intérêt légitime | |
✓ | ✓ | ✓ | ✓ | ✓ | ||
✓ | ✓ | ✓ | ✓ | ✓ | ||
(Données sensibles) | ||||||
✓ | ✓ | |||||
✓ | ✓ | ✓ | ✓ | ✓ | ||
✓ | ✓ | |||||
✓ | ✓ | ✓ | ✓ | ✓ | ||
Sans objet | Sans objet | Sans objet | Sans objet | Sans objet | ||
Application Idomed
Traitement
Fourniture des outils et services nécessaires à la réalisation d’actes de télémédecine et de communication électronique, au partage de documents et à la centralisation d’informations médico- administratives | Fourniture des outils et services permettant la personnalisation du Compte et de l’interface par l’Utilisateur | Mise en œuvre des services nécessaires au support utilisateur | Utilisation des données d'utilisation du Service et des retours clients pour l'amélioration du Service | Mise en œuvre des outils nécessaires à assurer la sécurité des Données et du Service | Gestion des Demandes |
Exécution du contrat | Intérêt légitime | Obligation légale | |||
✓ | ✓ | ✓ | |||
✓ | ✓ | ✓ | |||
(Patient pour le partage de données de santé) | |||||
(Patient pour le partage de données de santé) | ✓ | ✓ | |||
✓ | ✓ | ✓ | |||
✓ | |||||
✓ | ✓ | ✓ | |||
Sans objet | Sans objet | Sans objet | |||
Sous finalité
Base juridique Accès Rectification
Retrait du consentement
Opposition Oubli Portabilité
Limitation Décision automatisée
Par ailleurs, en tout état de cause, la Personne Concernée dispose de la possibilité de définir des directives relatives à la conservation, à l'effacement et à la communication des Données la concernant après son décès.
Si la Personne Concernée considère qu’IDOMED ne respecte pas ses obligations, elle peut adresser une plainte ou une demande auprès de l’autorité compétente. En France, l’autorité compétente est la CNIL à laquelle la Personne Concernée peut adresser une demande par voie électronique en cliquant sur le lien suivant : xxxxx://xxx.xxxx.xx/xx/xxxxxxxx/xxxxxxxx.
Les Personnes Concernées peuvent exercer leurs droits auprès d’IDOMED par tout moyen. Toute Demande émise autrement que par le biais du Compte doit-être accompagnée d’un justificatif d’identité de la Personne Concernée.
XXXXXX s’oblige à donner suite aux Demandes dans un délai d’un (1) mois à compter de la réception d’une Demande complète permettant de vérifier l’identité de la Personne Concernée.
8.2. Spécificités
En cas de retrait du consentement au traitement de Données Sensibles dans le cadre du Fichier Clients/Prospects, le Compte de l’Utilisateur Patient doit être désactivé. Les Données le concernant sont susceptibles d’être conservées en archive à des fins probatoires.
Le Patient doit exercer ses droits auprès de l’Utilisateur Professionnel le prenant en charge. XXXXXX s’interdit de prendre connaissance des messages, informations, documents et Données partagées dans le cadre du Service, hormis dans le cadre d’opérations de maintenance.
Article 9 Collecte directe et indirecte
Dans le cadre du traitement de données Fichier Clients/Prospects, les Données peuvent être collectées directement auprès de l’Utilisateur ou auprès de son employeur, s’agissant des Utilisateurs Professionnels.
Dans le cadre du traitement de données Application Idomed, les Données relatives aux Utilisateurs sont collectées directement par IDOMED. Les Données relatives aux Patients peuvent être collectées directement auprès du Patient ou indirectement auprès de Professionnels.
Article 10 Sécurité des données
IDOMED assure la sécurité des Données collectées et traitées. A cet égard, IDOMED et ses sous-traitants s’obligent à mettre en œuvre un ensemble de mesures de nature à assurer une protection maximale aux Données, notamment pour éviter leur altération, leur destruction ou
leur diffusion par des tiers non autorisés. XXXXXX procède régulièrement, et à tout le moins une fois tous les vingt-quatre (24) mois, à une analyse de risque en termes de sécurité des Données traitées dans le cadre du Service, afin de s’assurer de la pertinence et de la suffisance des mesures mises en place.
Les membres de son personnel et ses sous-traitants sont ainsi liés par une clause de confidentialité, tandis que les Données circulant sur des réseaux, tels qu’Internet, sont systématiquement chiffrées.
Pour le traitement des Données de Santé, outre le recours à un hébergeur agréé par le Ministère de la Santé, IDOMED conditionne l’accès à une sensibilisation spécifique et à l’encadrement par un professionnel médical.
L’accès au Service est sécurisé et se fait grâce à tout dispositif d’authentification conforme à la législation locale applicable à IDOMED, tel qu’un identifiant et un mot de passe. Le dispositif d’authentification est strictement personnel. L’Utilisateur est seul responsable des mesures à mettre en œuvre pour assurer la confidentialité de son dispositif d’authentification. En cas de perte ou de vol du dispositif d’authentification, ou si l’Utilisateur prend connaissance de son utilisation par un tiers non autorisé, il doit immédiatement en informer IDOMED à l’adresse suivante xxxxxxx@xxxxxx.xx, afin de révoquer son dispositif d’authentification et d’en obtenir un nouveau. IDOMED ne saurait en aucun cas être tenue pour responsable des accès au Site de tiers non autorisés permis par l’utilisation illicite du dispositif d’authentification de l’Utilisateur.
IDOMED et ses sous-traitants conservent dans leur système informatique les données de nature à permettre l’identification de toute personne ayant accédé au Site et/ ou aux Données ou ayant créé, modifié ou supprimé toute information ou Donnée Personnelle sur le Site, et ce en vue notamment de leur communication éventuelle en justice.
IDOMED s’engage à notifier immédiatement à l’Utilisateur, dès qu’il en a connaissance, tout incident grave, toute intrusion, divulgation, accès illicite ou altération et toute tentative d’intrusion, divulgation, accès illicite ou altération dans le Site ou toute malveillance contre les Données ayant ou susceptible d’avoir un impact grave pour l’Utilisateur. La notification d’une telle violation de données constitue une obligation légale et ne peut en aucun cas être assimilée à une quelconque reconnaissance de responsabilité de IDOMED dans sa survenue ou son exploitation.
L’Utilisateur reconnaît et accepte que les obligations de sécurité de IDOMED se limitent au périmètre du Service / de l’Application / du Logiciel / du Site. L’Utilisateur s’engage, consécutivement, à prendre – et faire prendre et respecter par son Personnel, le cas échéant – l’ensemble des mesures nécessaires à assurer la confidentialité et la sécurité des Données, notamment en sécurisant l’accès aux Terminaux et authentifiants de connexion.
Article 11 Destinataire des données
Les Données sont destinées à IDOMED, aux Utilisateurs, aux sous-traitants et prestataires habilités dans les conditions et modalités suivantes :
Intitulé Destinataires internes Destinataires externes | ||
Fichier Clients/Prospects | Service commercial Service support Service comptable et juridique | Pour l’envoi d’emails aux Utilisateurs : Sendgrid (Twilio) et Mailjet Pour l’automatisation des tâches : Zapier Pour le paiement : Stripe et GoCardless Pour le CRM : Zoho |
Application Idomed | - Utilisateurs Patients - Utilisateurs Professionnels - Administrateur (pour dépannage à chaud) | Pour l’hébergement des données : Amazon Web Service EMEA Pour l’envoi de SMS (pour OTP) : Nexmo (Vonage) Pour la visioconférence webRTC : Tokbox (Vonage) Pour la gestion des notifications mobile : Firebase (Google). Pour le support utilisateurs : Gsuite (Google) |
Les Données peuvent également être mises à disposition des autorités publiques compétentes. Certaines Données sont susceptibles d’être transférées en dehors de l’Union Européenne :
- Les données traitées dans le cadre des applicatifs Nexmo et Tokbox, de la société Vonage, sont susceptibles d’être transmises en dehors de l’UE : la société Vonage a adhéré au Privacy Shield aux Etats-Unis et recourt aux clauses contractuelles types de la Commission Européenne dans les autres pays (xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxx-xxxxxx/?xxxxxxxxxxx_xxxxxxxxxxx_xxxxxxx) ;
- Les données traitées dans le cadre des applicatifs Firebase et Gsuite de la société Google : la société Google a adhéré au Privacy shield (xxxxx://xxxxxxxx.xxxxxx.xxx/xxxxxxx?xxxxx) ;
- Les données traitées dans le cadre de l’applicatif Sendgrid de la société Twilio : la société Twilio a adhéré au Privacy Shield (xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxx) ;
- Les données traitées dans le cadre de l’applicatif Zapier: la société Zapier a adhéré au Privacy Shield (xxxxx://xxxxxx.xxx/xxxxxxx) ;
- Les données traitées par Stripe : la société Stripe a adhéré au Privacy Shield (xxxxx://xxxxxx.xxx/xx/xxxxxxx).
En aucun cas des données relatives à la santé ne sont transférées en dehors de l’Union Européenne.
Article 12 Durée de conservation
IDOMED s’interdit de conserver les Données au-delà d’une durée raisonnable. La durée de conservation varie selon les données et les traitements en cause :
Catégorie de donnée Fichier Clients/Prospects Durée de conservation | ||
Données d’identification | - Identité : civilité, nom, prénoms, code interne d'identification, copie d'un titre d'identité (si nécessaire, aux fins de preuve de l'exercice d'un droit ou pour répondre à une obligation légale) ; - Date de création du contact - Coordonnées : adresse*, numéro de téléphone* (fixe et/ou mobile), numéro de télécopie*, email*. | - Durée du contrat majorée de 3 ans en base active - Au-delà, conservation des données en base archive pour la durée d'archivage légal (5 ou 10 ans) - 1 an pour les justificatifs d'identité |
Données relatives au contrat ou nécessaires à la gestion des commandes, des livraisons, de la facturation, de la comptabilité et, en particulier, de la gestion des comptes clients | - Transactions : numéro de la transaction, détail de l'achat / de l'abonnement, détail du bien ou du service, quantité, montant, périodicité, historique des achats et des prestations de services, origine de la vente (vendeur, représentant, partenaire, affilié) ou de la commande ; - Renseignement : demandes de documentation, demandes d'essai ; - Livraison : adresse de livraison, retour des produits ; | - Durée nécessaire à la gestion de la relation commerciale en base active - 10 ans à compter de la fin du contrat, en base archive, à des fins probatoires ou au titre du respect d’une obligation légale |
- Correspondances avec le client et service après-vente, échanges et commentaires des clients et prospects, personne(s) en charge de la relation client. | ||
Données relatives à la vie professionnelle | Entreprise, fonctions | - Durée du contrat majorée de 3 ans en base active pour les clients - Au-delà, conservation des données en base archive pour la durée d'archivage légal (5 ou 10 ans) |
Données bancaires et financières | ||
- Etat des paiements : Payé / retard / Gratuit
- Règlement : modalités, remises consenties, reçus, soldes et impayés.
- Durée du contrat
- 10 ans à compter de la facture
Catégorie de donnée | Application Idomed Utilisateur Patient | Durée de conservation | |
Données d’identification | - Inscription : Nom et prénom, identifiant interne, email, n° RPPS ou équivalent, justificatif professionnel ou d’identité (conservé le temps de la validation du compte) - Fiche profil : biographie*, photographie*, adresse d’exercice*, numéros de téléphone et emails publics* | - Inscription : Civilité, nom et prénom, numéro de mobile, email, date de naissance, numéro de sécurité sociale | Durée du contrat en base active, puis 10 ans en base archive (à des fins probatoires) |
- Fiche patient (accessibles uniquement aux professionnels de santé) : adresse postale* | |||
Données relatives au contrat ou nécessaires à la gestion des commandes, des livraisons, de la facturation, de la comptabilité et, en particulier, de la gestion des comptes clients | Type de compte / d’abonnement | Durée du contrat en base active, puis 10 ans en base archive (à des fins probatoires) | |
Données relatives à la vie professionnelle | Profession, spécialité* | Durée du contrat en base active, puis 10 ans en base archive (à des fins probatoires) | |
Données bancaires et financières | Etat de paiement : oui/non | Durée du contrat en base active, puis 10 ans en base archive (à des fins probatoires) | |
Données de connexion et données techniques | - Adresse IP et journaux de connexion - Type et modèle d’appareil, Système d’exploitation et navigateur - Statistiques d’utilisation de l’application | - 12 mois glissants - Durée d’utilisation (à des fins de sécurité) - 13 mois (25 mois pour les rapports établis sur cette base) | |
Données Sensibles | Traitements*, pathologies*, Antécédents personnels et familiaux*, Social* (champ libre) | - Conversations : En base active pendant 24 mois à compter du dernier message ou jusqu’à archivage volontaire. Destruction après remise à l’Utilisateur Professionnel au terme de son contrat - Fiches patient lorsque le patient ne s’est pas connecté : En base active pendant 24 mois à compter du dernier message ou jusqu’à archivage volontaire. Destruction après remise à l’Utilisateur Professionnel au terme de son contrat | |
- Fiches patient lorsque le patient s’est connecté : Durée du contrat ou 24 mois à compter de la dernière utilisation. |
Article 13 Xxxxxxx et traqueur
IDOMED et ses partenaires peuvent installer dans l’Application Idomed des cookies et traceurs d’activités.
13.1. Définitions
Les cookies et traceurs d’activités (ci-après, les « Cookies ») sont des fichiers créés et stockés dans le navigateur lors de la navigation sur le Site ou dans l’Application lors de son utilisation. Les Cookies ne peuvent être lus que par leur émetteur. Pendant leur durée de validité, ils permettent de reconnaître le navigateur lors d’une connexion au Site ou le téléphone lors de l’utilisation de l’Application. Les Cookies ne permettent en aucun cas d’identifier l’Utilisateur.
13.2. Typologie des Cookies
Il existe différents types de Cookies. Le tableau ci-dessous décrit la typologie des Cookies utilisés par IDOMED et ses partenaires.
Type | Présentation | Utilisation par IDOMED |
Cookies | Ils comprennent les Cookies indispensables à la navigation sur le Site ainsi qu’à l’utilisation de | |
techniques | ses fonctionnalités et/ou à l’utilisation de l’Application et les Cookies de fonctionnalité, | SSID - IDOMED - xxx.xxxxxx.xx |
permettant à l’Utilisateur de paramétrer le Site et/ou l’Application. | deviceId - IDOMED - | |
Ils fluidifient la navigation et l’utilisation du Site et/ou de l’Application, adaptent leur | xxx.xxxxxx.xx | |
présentation en mémorisant les préférences d’affichage, identifient l’Utilisateur pour l’accès | io - IDOMED - xxx.xxxxxx.xx | |
au Compte. | provisionalDeviceID - IDOMED - | |
xxx.xxxxxx.xx | ||
stripe_sid - - Stripe - | ||
xx.xxxxxx.xxx et x.xxxxxx.xxxxxxx |
stripe_mid - - Stripe - xx.xxxxxx.xxx et x.xxxxxx.xxxxxxx | ||
Cookies des réseaux sociaux | Créés par les éditeurs de réseaux sociaux, ils sont inclus sur le Site et/ou dans l’Application pour permettre faciliter le partage de contenu. Les éditeurs peuvent également tracer la navigation des Utilisateurs sur le Site et/ou dans l’Application. Ils peuvent influer sur le contenu et les publicités affichés sur le Site et/ou dans l’Application. | AUCUN |
Cookies publicitaires | Il s’agit de cookies, traceurs ou identifiants publicitaires, tels que IDFA ou Advertising ID, pouvant être créés par le système d’exploitation du terminal, d'autres sites internet diffusant des publicités, des widgets. Ils sont utilisés pour effectuer de la publicité ciblée, c'est-à-dire adapter la publicité en fonction de la navigation de l'Utilisateur. | AUCUN |
Cookies d'analyse d'audience | Ils mesurent l’audience des contenus et rubriques du Site et/ou de l’Application (nombre de visites, de pages vues, activité des visiteurs) et peuvent déterminer la ville depuis laquelle l’Utilisateur se connecte. Ils permettent d’évaluer la pertinence des contenus et rubriques, de les réorganiser et d’en optimiser l’ergonomie. | AUCUN |
Pixel de suivi | Ils permettent à IDOMED de qualifier l’audience du Site et aux éditeurs de suivre la navigation des Utilisateurs sur le Site et/ou l’Application. L’objectif est d’identifier les centres d’intérêts de l’Utilisateur. | AUCUN |
Les Cookies autre que techniques peuvent être fournis par des tiers. Ces tiers peuvent collecter des données par ce biais à des fins qui leur sont propres. L’Utilisateur peut consulter les politiques de gestion des cookies de ces tiers sur leur site internet.
13.3. Conditions d’utilisation des Cookies
Les cookies techniques indispensables à la navigation ont une durée de vie égale au temps de la session ; les cookies techniques de fonctionnalité le temps de la session, quelques heures et au maximum une année. Ils ne sont pas soumis au consentement de l’Utilisateur.
L’utilisation des autres Cookies nécessite le consentement préalable et explicite de l’Utilisateur. Un message à cette fin s’affiche sur le Site et/ou l’Application permet à l’Utilisateur d'exprimer son consentement à ces cookies. La durée de vie de ces cookies n’excède pas treize (13) mois.
Lorsque des statistiques sont élaborées à partir des Cookies, les données en résultant sont conservées vingt-cinq (25) mois à compter de leur génération.
A ce jour, IDOMED n’utilise pas d’autre type de cookie que les cookies techniques indispensable à la navigation.
Si IDOMED devait décider d’utiliser des Cookies soumis au consentement préalable de l’Utilisateur postérieurement, l’accord de l’Utilisateur serait sollicité au préalable.
13.4. Paramétrage du navigateur
L’Utilisateur peut configurer son navigateur pour désactiver l’enregistrement des Cookies. La désactivation des Cookies ne bloque pas l’utilisation des Pixels de suivi. La manière de configurer le navigateur peut dépendre du terminal et du navigateur :
• Pour Internet Explorer
• Pour Safari
• Pour Chrome
• Pour Firefox
• Pour tout autre navigateur : l’Utilisateur est invité à se référer à la documentation du navigateur.
Par ailleurs, certains navigateurs permettent d’installer un bloqueur de Cookies. Les bloqueurs de Cookies permettent en principe à l’Utilisateur de déterminer les Cookies dont il souhaite autoriser l’installation et/ou l’utilisation. L’Utilisateur est invité à se référer à la documentation du bloqueur de Cookies qu’il peut avoir installer.
En cas de désactivation ou de blocage des cookies, les Cookies techniques peuvent également être bloqués ce qui peut empêcher ou entraver le fonctionnement du Site.
S’il ne souhaite pas que les Cookies des réseaux sociaux collectent des données, l’Utilisateur exprimer choix directement sur :
• Yahoo
• Youtube