Protection des données personnelles

1 — Introduction

Honestica est la société éditrice du service InnoMed360 et sera désignée par la suite « InnoMed360 » pour les besoins des présentes.

InnoMed360 accorde une grande importance à la protection de votre vie privée et de vos données personnelles. C’est un élément fondateur de notre démarche. Cette charte de protection des données personnelles (ci-après la « Charte »), a donc pour objet de vous présenter plus en détail notre approche face à vos données personnelles, de vous expliquer les cas dans lesquels nous les collectons, les raisons justifiant cette collecte et ce que nous en faisons. Elle présente aussi les mesures de sécurité que nous appliquons pour protéger leur confidentialité, rappelle vos droits sur vos données personnelles, et les moyens pour les exercer. De manière générale, votre attention est attirée sur le fait que les données collectées via InnoMed360 sont des données sensibles et confidentielles qui nécessitent une vigilance particulière.

Ces données désignent les informations qui concernent des personnes physiques, identifiées ou identifiables, directement ou indirectement, y compris les données relatives à la santé physique ou mentale (ci-après les « Données personnelles »). Notre Charte s’applique dans le respect des dispositions relatives à la protection des Données personnelles, et notamment, le Règlement européen 2016/679 du 27 avril 2016, et la loi Informatique et Liberté de 1978 modifiée, ainsi que les dispositions du Code de la santé publique (CSP), (ci-après la « Loi »). Cette Charte a vocation à s’appliquer aux utilisateurs de InnoMed360 et aux visiteurs lors de leur navigation sur le site InnoMed360.fr (ci-après le « Site »). La Charte fait partie intégrante des Conditions Générales d’Utilisation du Site.

2 — À quelles fins vos données sont -elles traitées ?

InnoMed360 traite vos Données personnelles uniquement pour :
Pour l’échange de documents, le traitement effectué consiste à extraire des informations contenues dans les documents médicaux, puis les utiliser pour accomplir les finalités du traitement.

Pour le suivi à domicile des patients présentant des symptômes d’infection à Covid-19, le traitement effectué consiste à collecter auprès des patients par le biais de questionnaires ciblés reçus via SMS ou E-mail des informations médicales pendant pendant une durée variant de 14 et 30 jours.

Les questionnaires sont analysés automatiquement et sont présentés au soignant sous forme de tableaux de bord et d’alertes pour l’aider à adapter le suivi en fonction des résultats.

Sauf avis contraire expressément donné par l’Utilisateur, InnoMed360 n’utilise pas vos Données personnelles à des fins de démarchage commercial ou marketing, de recherche, de publication de statistiques.

5 — Quelles sont les données traitées ?

Les Données personnelles que nous traitons sont :

Cookies

De quoi s'agit-il ?

Un « cookie » est une information stockée sur votre appareil quand vous naviguez sur un site internet. Il permet d’identifier votre appareil à chaque visite.

À quoi servent-ils ?

Nous utilisons des cookies afin de :
- Vous offrir une meilleure expérience de navigation sur le InnoMed360.fr ;
- Mesurer et améliorer les services proposés sur InnoMed360.fr.

Que pouvez-vous faire pour gérer les cookies stockés sur votre appareil ?

Vous pouvez accepter ou refuser les cookies. Si vous refusez les cookies, certains aspects de notre Site peuvent ne pas fonctionner sur votre appareil et vous pourriez ne pas pouvoir accéder à certaines fonctionnalités de notre Site.

3 — Que faisons-nous de vos données ?

Les Données personnelles de santé sont strictement destinées aux Utilisateurs concernés en émission et/ou en réception, d’un document médical. InnoMed360 garantit qu’elles ne seront transmises à aucun tiers non autorisé, sous réserve des sous-traitants éventuels de InnoMed360, tel que l’hébergeur de données de santé certifié ou le prestataire d’éditique.

Les Données personnelles collectées dans les formulaires de contact, et les cookies, sont uniquement destinées aux administrateurs de InnoMed360. Nous ne procédons à aucun transfert de Données personnelles vers les pays qui ne sont membres, ni de l’Union Européenne ni de l’Espace Économique Européen.

InnoMed360 pourrait cependant être amenée à communiquer à des tiers les Données personnelles qu’elle traite lorsqu’une telle communication est requise par la loi, une disposition réglementaire ou une décision judiciaire, ou si cette communication est nécessaire pour assurer la protection et la défense de ses droits.

Concernant les Données de santé à caractère personnel, InnoMed360 s’engage, lorsque le cadre légal le permet :
L’Utilisateur, en tant que Responsable de Traitement de Données de santé à caractère personnel, est responsable de :
InnoMed360, en tant que Sous-traitant, s’engage à :

Sous-traitant de second rang

Conformément à l’article 28 du RGPD, le Responsable du traitement autorise de manière générale InnoMed360 à avoir recours à des sous-traitants (ci-après “Sous-traitant de second rang”), pour mener des activités de traitement spécifiques.

InnoMed360 s’assure que le Sous-traitant de second rang présente les mêmes garanties quant à la mise en oeuvre des Mesures de sécurité pour les missions qui lui ont été confiées. InnoMed360 s’engage à conclure un contrat avec le Sous-traitant de second rang aux termes duquel son accès aux données du Responsable du traitement sera strictement limité à l’objet du contrat conclu avec InnoMed360.

Les Sous-traitants de second rang avec lesquels InnoMed360 a conclu un contrat, en cours à la date de signature du Contrat, sont OVH (hébergeur certifié), AWS (hébergeur certifié), Corus (éditique), MS Santé (messagerie sécurisée de santé) et Apicem (messagerie sécurisée de santé).

Le Responsable du traitement a le droit de s’opposer au recours à un Sous-traitant de second rang à compter de la date de réception de cette information.

7 — Protection de vos données et durée de conservation

Sécurité

Nous mettons en œuvre toutes les mesures de sécurité requises pour protéger vos Données personnelles. Pour garantir la sécurité de vos Données personnelles, InnoMed360 a mis en place les procédures et processus suivants :
Les Parties s’engagent à prendre les mesures appropriées afin de garantir que tout salarié, partenaire, sous-traitant et toute personne physique agissant sous l’autorité du Responsable du traitement ou sous celle de InnoMed360, est dûment habilité à accéder aux Données à caractère personnel. Les professionnels de santé qui utilisent InnoMed360 sont soumis au secret professionnel par la Loi. Ainsi, chaque Utilisateur est invité à mettre en œuvre, sous sa responsabilité, l’ensemble des mesures de sécurité utiles et pertinentes pour les besoins de la protection des accès à son ordinateur ou son équipement portable ou mobile, et à l’ensemble des Données personnelles accessibles sur InnoMed360, en particulier vis- à-vis des tiers.

Afin de garantir la confidentialité, l’intégrité et la sécurité des Données à caractère personnel, InnoMed360 reconnaît avoir mis en œuvre les Mesures de sécurité ci-dessous, destinées à protéger les Données à caractère personnel :

Zones géographiques

InnoMed360 héberge les données à caractère personnel chez des hébergeurs, qui peuvent être indifféremment ;
Si InnoMed360 vient à contracter avec un nouvel hébergeur hors France, il s’engage à donner le choix au Responsable de Traitement quant au pays d’hébergement de ses Données à caractère personnel.

Durées de conservation

Données de santé

InnoMed360 s’engage à conserver les Données à caractère personnel collectées pendant une durée de conservation limitée. InnoMed360 n’est en revanche pas garant des obligations incombant au Responsable de Traitement en matière de durée de conservation des Données à caractère personnel.

Les durées de conservation des Données à caractère personnel collectées via InnoMed360 sont différentes selon les types de données et sont précisées ci-dessous :

À l’issue des délais de conservation, InnoMed360 s’engage, au choix du Responsable du traitement, à :
Les documents médicaux qui ont été transmis au Responsable de traitement ou qu’il a transmis via InnoMed360 peuvent toutefois être conservés aussi longtemps que d’autres professionnels de santé émetteurs ou récepteurs de ces documents médicaux restent actifs sur InnoMed360.

Données administratives

Les Données personnelles utilisées à des fins d’envoi de formulaire de contact et de gestion de fichiers client de InnoMed360, sont conservées pendant une durée de trois ans à compter de leur collecte ou du dernier contact avec InnoMed360.

Données de navigation

Les logs de connexion, cookies et autres traceurs mis en place sur notre Site, seront conservés conformément à la réglementation applicable pour une durée de 13 mois. Pour plus de détails, voir la rubrique cookies ci-dessus.

8 — Quels sont vos droits et comment les exercer ?

Conformément à la Loi, vous disposez d’un droit d’accès, de rectification, de limitation, d’opposition, d’effacement et de portabilité sur vos Données personnelles, que vous pourrez exercer pour motifs légitimes, et sous réserve des motifs légitimes impérieux dont pourrait justifier InnoMed360 pour conserver vos Données personnelles. Ces droits peuvent être exercés à tout moment en remplissant ce formulaire (PDFODT) et en le retournant :
En cas de demande, InnoMed360 s’engage à informer, dans les meilleurs délais, le Responsable du traitement et à lui fournir les informations nécessaires pour la transmission des données à son patient.

Le Responsable de traitement reconnaît, de manière générale, être exclusivement responsable de l’information préalable et du recueil du consentement des patients dans le respect des dispositions du RGPD. L’Utilisateur, en tant que Responsable de Traitement, doit désigner une personne dans son organisation (le « Contact Client ») qui sera en mesure de désigner à InnoMed360 un professionnel de santé lorsque cela s’avèrera nécessaire, par exemple pour tout problème nécessitant l’accès aux données de santé ou relatif à la gestion des relations avec le patient. Le Responsable de Traitement doit s’assurer de communiquer à InnoMed360, par le biais de son DPO, un nouveau Contact Client lorsque cela s’avèrera nécessaire, notamment en cas de départ de celui-ci.

Droit d’information

Nous vous informons de la collecte et du traitement de vos Données personnelles et des droits dont vous disposez à ce titre :
Nous informons nos Utilisateurs faisant partie d’une même équipe de soins, qu’il leur appartient de délivrer aux patients qu’ils prennent en charge (ci-après les « Patients »), préalablement au partage de leurs données de santé, les informations suivantes :
Pour les Utilisateurs de InnoMed360 n’appartenant pas à une même équipe de soins, nous vous informons que le Patient doit expressément consentir, par le biais d’une case à cocher :

Droits d’accès, de rectification et de limitation :

Vous pouvez nous demander à tout moment :

Droit à la portabilité

Vous avez le droit de récupérer les Données personnelles que vous nous avez fournies. InnoMed360 s’engage à vous fournir vos Données personnelles dans un format structuré, couramment utilisé et lisible.

Droits d’opposition et droit à l’effacement

Vous pouvez vous opposer au traitement ou demander l’effacement de vos Données personnelles, c’est-à-dire leur suppression par InnoMed360.

9 — À qui adresser vos demandes ?

Nous avons désigné un Délégué à la Protection des Données personnelles (ci-après le “DPO”) auprès de la CNIL, pour témoigner de notre engagement en faveur du respect de votre vie privée et de vos droits sur vos Données personnelles. Pour toute question en lien avec le traitement des Données personnelles par InnoMed360, vous pouvez contacter notre DPO aux coordonnées suivantes : dpo@InnoMed360.fr 17, rue du Faubourg du Temple, 75010 Paris.

10 — Autres engagements

Analyse d’impact relative à la protection des Données à caractère personnel

Conformément à l’article 35 du RGPD, le Responsable du traitement s’engage à réaliser une analyse d’impact pour s’assurer de la conformité des Traitements à la Loi, lorsqu’ils sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées par les Traitements.

Dans l’hypothèse où InnoMed360 aurait connaissance d’un risque élevé pour les droits et libertés des personnes concernées par les Traitements, nous nous engageons à informer, dans les meilleurs délais, le Responsable du traitement d’un tel risque, et à lui apporter son aide pour la réalisation de l’analyse d’impact, ainsi que pour la réalisation de la consultation préalable de l’autorité de contrôle.

Certification

Nous nous engageons à fournir sur demande du Responsable de Traitement les preuves de nos certifications, et à l’informer de tout changement de bureau de certification dans un délai de 30 jours.

Par ailleurs nous nous engageons à fournir sur demande du Responsable de Traitement le dernier rapport d’audit relatif à nos certifications.

Notification des violations de Données à caractère personnel

Conformément à l’article 33 du RGPD, le Responsable du traitement s’engage à notifier à l’autorité de contrôle, dans un délai maximum de soixante-douze (72) heures à compter de sa prise de connaissance, toute violation de Données à caractère personnel.

InnoMed360 s’engage à informer le Responsable du traitement, dans les meilleurs délais après en avoir pris connaissance, de toute violation de Données à caractère personnel, portant sur les Traitements relevant de la responsabilité du Responsable de traitement, et à prendre les mesures appropriées pour limiter le risque et protéger les Données à caractère personnel.

La notification sera adressée par InnoMed360 au Responsable du traitement par courriel, et contiendra, autant que possible, tout élément d’information utile au Responsable du traitement afin de lui permettre de notifier, si nécessaire, la violation à l’autorité de contrôle.

La notification adressée au Responsable du traitement par InnoMed360, ne constitue pas une reconnaissance de faute ou de responsabilité de ce dernier.

Audit

Le Responsable du traitement se réserve la possibilité de réaliser des audits pour vérifier la conformité de InnoMed360 aux dispositions de la Charte.

Après en avoir informé InnoMed360 par écrit, y compris par courriel à l’adresse dpo@InnoMed360.fr, en respectant un préavis de vingt (20) jours, le Responsable du traitement peut faire réaliser, à ses frais, un audit du respect de l’ensemble des dispositifs de sécurité mis en œuvre pour assurer la sécurité des Données à caractère personnel. Un tel audit peut avoir lieu à tout moment, dans la limite d’un audit par année civile.

L’audit devra être réalisé par un expert indépendant et reconnu, dont le choix devra être validé par InnoMed360 au minimum cinq (5) jours avant le début de l’audit. Un tel audit fera l’objet d’une convention tripartite dont les principales clauses seront conformes au référentiel d’exigences PASSI publié par l’ANSSI.

En tout état de cause, les opérations d’audit ne devront pas perturber le fonctionnement du service mis en œuvre par InnoMed360 au-delà des contraintes inhérentes à un audit.

L’audit ne pourra pas porter sur des informations non spécifiques au Responsable du Traitement, ceci afin de préserver la confidentialité des informations propres aux autres clients de InnoMed360 ou des informations dont la divulgation serait susceptible de porter atteinte à la sécurité des autres clients et d’autres données à caractère personnel les concernant.

InnoMed360 s’engage à fournir à l’Utilisateur les résultats d’un audit externe indépendant sur les dispositifs opérationnels mutualisés (dispositifs de sécurité que nous avons mis en place pour l’ensemble de nos clients).

InnoMed360 s’engage à collaborer de bonne foi avec l’auditeur et à faciliter son audit, en lui apportant toutes les informations nécessaires et en répondant à toutes ses demandes relatives à l’audit.

Un exemplaire du rapport d’audit rédigé par l’auditeur sera remis à chaque partie.

Si les conclusions de l’audit contiennent des recommandations, leurs conditions de mise en œuvre seront étudiées contradictoirement dans les meilleurs délais entre le Responsable de traitement et InnoMed360.

L’auditeur, personne physique désignée, sera dûment mandaté par écrit par le contractant, et sera soumis à la plus stricte confidentialité et au secret des affaires.

11 — Modification de la Charte

InnoMed360 se donne la possibilité de modifier sa Charte à tout moment, et procèdera à la publication de la version modifiée sur son Site.

Dernière mise à jour : 24 Avril 2021.