POLITIQUE DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL – PLATEFORME IZYMEET®

1.   Préambule 

 

La société ITEKCOM (SOSRDV) accorde la plus grande importance à la protection de la vie privée des personnes. Depuis plus de 15 ans, nous faisons de la sécurité et la protection des données des priorités, tant au sein de nos équipes que dans le choix de nos partenaires techniques.

Nous estimons qu'une politique de confidentialité doit être simple et intelligible. Elle répond à deux objectifs précis : votre information et votre protection.

Conformément au Règlement (UE) n°2016/679 portant sur la Protection des Données à caractère personnel [ci-après « le Règlement » ou « le RGPD »], la société ITEKCOM (45, ROUTE DES LUCIOLES, 06560 VALBONNE , FRANCE), propriétaire de la Plateforme et de la marque SOSRDV, intervient toujours en qualité de Sous-traitant dans le cadre des traitements des données à caractère personnel vous concernant et mis en œuvre sur la Plateforme SOSRDV [ci-après dénommée « la Plateforme »].

Les traitements de vos données sont mis en œuvre uniquement pour le compte et sur instructions des professionnels de santé auprès de laquelle vous prenez rendez-vous via SOSRDV [ci-après dénommée « Votre Professionnel de Santé »]. Votre Professionnel de Santé est ainsi Responsable du traitement des données de ses utilisateurs (vous).

En sa qualité d’éditeur et d’hébergeur de la Plateforme, ITEKCOM s’engage à respecter l’ensemble des règles et obligations prévues par le Règlement et notamment celles relatives à son statut de Sous-traitant. Votre Professionnel de Santé s’engage à en faire de même, notamment s’agissant des règles et obligations relatives à son statut de Responsable de traitement.

Nous attirons spécifiquement votre attention sur le fait que vos Données à caractère personnel sont chiffrées et hébergées sur des serveurs certifiées HDS (Hébergement de données de santé) conformément aux dispositions de l'article L.1111-8 du code de la santé publique.

L’Utilisateur est également informé que la Plateforme SOSRDV est soumise à une collaboration étroite avec la Direction générale de la santé du Ministère des solidarités et de la santé dans le cadre de son programme informatique « SI-DEP », afin de lutter activement contre la propagation du Coronavirus SARS-CoV-2 (COVID-19). Toutes données résultant d’opérations de dépistage contre la COVID-19 seront automatiquement adressées aux services SI-DEP. Cette alimentation directe de SI-DEP est encadrée contractuellement avec la Direction Générale de la Santé. Il s’agit d’un traitement d’intérêt public qui a pour unique finalité de centraliser les résultats des examens de dépistage Covid-19 en vue de leur réutilisation à des fins d’enquête sanitaire, de surveillance épidémiologique et de recherche via la plateforme des données de santé.

Pour plus d’information sur ce traitement et vos droits : consultez le site du ministère des solidarités et de la santé (https://solidarites-sante.gouv.fr/ministere/article/donnees-personnelles-et-cookies). Pour exercer vos droits (accès, rectification, limitation, voire opposition), nous vous invitons à contacter l’adresse postale ‘Référent en protection des données - Direction Générale de la Santé (DGS) - Ministère des solidarités et de la santé - 14 avenue Duquesne - 75350 PARIS 07 SP’ ou l’adresse électronique sidep-rgpd@sante.gouv.fr

Conformément à l’article 10 du décret n°2020-551 du 12 mai 2020, les données issues de cette collaboration pourront être valablement transférées vers les Agences Régionales de Santé (ARS), l’Agence Nationale de Santé Publique (ANSP), les organismes nationaux et locaux d’assurance maladie, la Caisse nationale militaire de sécurité sociale et le Service de santé de l’armée, à des fins de réalisation des investigations concernant les personnes évaluées comme contacts à risque de contamination, au suivi et à l’accompagnement des personnes et à la réalisation d’enquêtes sanitaires.

2. Rappel des notions clés 

  • « Plateforme SOSRDV » : Solution web développée par ITEKCOM et permettant à ses Utilisateurs de créer un compte, de solliciter une prise de rendez-vous, de transmettre des documents utiles aux rendez-vous et, éventuellement, de recevoir la communication de résultats de tests. Sont compris dans la dénomination « Plateforme », l’ensemble des composantes informatiques et graphiques de la Plateforme, qu’ils soient accessibles ou non-accessibles par l’Utilisateur.
  • « Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
  • « Traitement » : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
  • « Responsable du traitement » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.
  • « Sous-traitant » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
  • « Destinataire » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.
  • « Tiers » : une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.
  • « Consentement » de la personne concernée : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.
  • « Violation de données à caractère personnel » :une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

3. Finalités et modalités des traitements de données

 L’Utilisateur de la Plateforme [ci-après dénommé « l’Utilisateur »] est notamment informé que toute information qu’il consent communiquer sur la Plateforme est utile à l’accès, à l’utilisation et à l’individualisation des Services proposés par la Plateforme SOSRDV. Ces services sont notamment la création d’un compte, la demande de prise de rendez-vous et leur suivi, le transfert de documents utiles et la réception de résultats.

La collecte des données à caractère personnel, les traitements de ces données et leurs modalités de mise en œuvre sont établis sous l’entière responsabilité de votre Professionnel de Santé qui utilise les services de la Plateforme SOSRDV.

Durant l’exécution des Services, ces informations sont chiffrées et principalement destinées aux services internes de Votre Professionnel de Santé. ITEKCOM et ses prestataires dûment mandatés sont également autorisés à intervenir sur la Plateforme et ses bases de données dès lors qu’une telle intervention est strictement nécessaire à la fourniture des Services. 

Les modalités des traitements de données opérés par ITEKCOM sur la Plateforme sont les suivantes :

             3.1- Les traitements et finalités poursuivies sont :

 

Finalités

Catégories de traitements

Exécutant

Responsable de traitement

Permettre l’accès et la personnalisation de la Plateforme et ses Services

Création d’un compte Utilisateur et d’identifiants de connexion

Vous

Votre Professionnel de Santé

Personnalisation du profil Utilisateur

(champ de personnalisation en fonction des choix de votre Pharmacien dont ITEKCOM n’a pas la maîtrise)

Vous

Votre Professionnel de Santé

Permettre la prise de rendez-vous et la réception de résultats en ligne

Gestion et suivi des rendez-vous

Vous

Votre Professionnel de Santé

Communication de résultats

Votre Pharmacien

Votre Professionnel de Santé

Permettre le maintien et l’exploitation sûre et stable de la Plateforme

Hébergement de la Plateforme et des bases de données de Comptes Utilisateurs

ITEKCOM et son hébergeur HDS

Votre Professionnel de Santé

Supervision applicative et opérations de sécurité constantes et préventives

ITEKCOM

Votre Professionnel de Santé

Améliorer l’expérience d’utilisation des Services

Mise à disposition d’un formulaire de contact

Votre Pharmacien

Votre Professionnel de Santé

Intégration de cookies de navigation fonctionnels (authentification/analytics)

ITEKCOM

Votre Professionnel de Santé

Communiquer sur les Services

Gestion des inscriptions et envoi de la newsletter

ITEKCOMet son prestataire mailing

Votre Professionnel de Santé

Envoi des SMS de confirmation de rendez-vous ou de résultats

ITEKCOM

Votre Professionnel de Santé

Participer à la lutte contre la propagation de la COVID-19

(intérêt public)

Transfert des données issues des résultats de dépistage de la COVID-19 auprès du programme SI-DEP.

ITEKCOM et      Votre Professionnel de Santé

Direction générale de la Santé du Ministère des Solidarités et de la Santé

 

 3.2-  Les données à caractère personnel traitées sur la Plateforme sont :

 

Catégorie de données

Données pouvant être collectées

Données obligatoires

Données d’identification

Civilité, nom, prénom, identifiant de connexion (login), date de naissance, mot de passe.

Nom, prénom, identifiant de connexion (login), mot de passe

Données de contact

Adresse mail, n° de téléphone, adresse postale

Adresse mail

Données essentielles à la prise de rendez-vous

Sexe, n° de sécurité sociale, adresse postale, n° de téléphone, type d’hébergement, vos documents

Sexe, adresse postale, type d’hébergement, n° de téléphone

Votre pharmacien peut rendre obligatoire d’autres informations en fonction des besoins de votre rendez-vous. Pour plus d’information, référez-vous à la « * » présente à côté du champ de collecte

Données de fonctionnement

N° ID Utilisateur, Statut Utilisateur, date d’inscription, date de dernière visite, date de dernière mise à jour du compte, langue

N° ID Utilisateur, Statut Utilisateur, date d’inscription, date de dernière visite, date de dernière mise à jour du compte, langue

Données de connexion

Adresse IP, logs de connexion, cookies de navigation

Adresse IP, logs de connexion, cookies de navigation (uniquement ceux essentiels au bon fonctionnement du Site)

Données de santé

(sensibles)

Date et heure de rendez-vous, résultats test, n° de dossier, n° médecin prescripteur

Date et heure de rendez-vous, résultats test, n° de dossier, n° médecin prescripteur

 

Toute autre donnée pouvant être librement demandée par Votre Professionnel de Santé dans le cadre de l’utilisation des Services ne saurait être anticipée par ITEKCOM. C’est le cas notamment lorsque Votre Professionnel de Santé fait le choix de personnaliser les champs de collecte d’informations des prises de rendez-vous. ITEKCOM dégage toute responsabilité quant à cette collecte personnalisée de données. Néanmoins, celles-ci feront l’objet d’une protection similaire aux données demandées par défaut sur la Plateforme.

 

             3.3- Les catégories de personnes concernées par ces traitements sont les utilisateurs de la Plateforme.

                                                                                                                                                            

                   3.4- La durée de conservation des données varie en fonction des finalités poursuivies (hors programme SI-DEP) :

 

Données concernées

Durée de conservation

Mode de suppression

Données d’identification

Jusqu’à désactivation du compte

  • Soit par suppression par l’Utilisateur
  • Soit passé un délai d’inactivité de 3 ans

Données de contact

Données de fonctionnement

Données essentielles à la prise de rendez-vous

(Par défaut)   5 ans

Suppression automatique

Données de connexion

  • 24 heures pour le cookie d’authentification
  • 13 mois pour les cookies d’analytique

Suppression automatique

Données de santé

  • (Par défaut)  10 ans pour les rendez-vous
  • (Par défaut)  5 ans pour les résultats

Suppression automatique

Pour plus d’informations sur les durées de conservation du programme SI-DEP, veuillez consulter le site du ministère des solidarités et de la santé (https://solidarites-sante.gouv.fr/ministere/article/donnees-personnelles-et-cookies) ou contacter l’adresse électronique sidep-rgpd@sante.gouv.fr

4. Droits des personnes concernées

Conformément aux dispositions du chapitre III « Droits de la personne concernée » du RGPD, l’Utilisateur bénéficie d’un droit d’accès, de rectification, de limitation, d’effacement, d’opposition et de portabilité des informations qui le concernent, qu’il peut exercer selon les manières suivantes :                                             

  • Par une communication directe auprès de Votre Pharmacien ;
  • Par l’intermédiaire du formulaire de contact présent sur la Plateforme ;
  • Par une communication auprès du Service DPO d’ITEKCOM, via le courriel dpo [ @ ] itekcom.com (votre demande sera ensuite transmise à Votre Professionnel de Santé) ;
  • Pour les droits de rectification et de suppression : par simple mise à jour ou suppression de ses informations personnelles contenues dans son compte Utilisateur. Pour cela, il lui suffit de se connecter à son Compte sur la Plateforme et à en configurer les paramètres ;
  • Pour le droit d’accès : par l’utilisation du service « Mes données personnelles » présent sur son Compte.                                                                 

Tout Utilisateur privilégiant une communication auprès de la société ITEKCOM devra accompagner son message de l’objet « Exercice de mon droit de ... » et éventuellement d’une copie d’un justificatif d’identité prouvant qu’il agit bien en qualité de personne concernée.

En sa qualité de sous-traitant, ITEKCOM prévient l’Utilisateur qu’il sera dans l’obligation de toujours se concerter avec Votre Pharmacien (responsable des traitements) avant de donner suite à une quelconque demande de l’Utilisateur.

ITEKCOM informe également l’Utilisateur que, s’il estime que ses droits ne sont pas respectés, celui-ci peut à tout moment introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL) via www.cnil.fr/fr/plaintes/  ou à l’adresse suivante :

3 place de Fontenoy - TSA 80715

 75334 PARIS CEDEX 07

www.cnil.fr

Ce droit à réclamation est également valable concernant le traitement SI-DEP et le transfert des informations à caractère personnel de l’Utilisateur auprès de la Direction Générale de la Santé du Ministère des Solidarités et de la Santé. 

5. Sécurité

ITEKCOM s’engage à mettre en œuvre toutes les mesures organisationnelles, techniques, structurelles permettant d’assurer la sécurité physique et logique des données à caractère personnel et à les maintenir jusqu’à suppression desdites données.  ITEKCOM veillera notamment à lutter activement contre toute altération, destruction ou accès non-autorisé aux données. Ce devoir est renforcé concernant le traitement des données de santé (données dites sensibles). 

ITEKCOM rappelle que le Réseau internet n’est pas un environnement entièrement sécurisé et que la Plateforme ne peut garantir la parfaite sécurité des transmissions et stockages d’information sur ce Réseau. Toutefois, ITEKCOM veille quotidiennement à améliorer ses mesures de sécurité. Les connexions, les flux et les bases de données sont intégralement chiffrées selon des procédés technologiques poussés, permettant ainsi d’assurer la plus grande sécurité de l’information contenue dans la Plateforme SOSRDV.

ITEKCOM et Votre Professionnel de Santé s’engagent également à respecter les règles de notification des violations de données telles que prévues aux articles 33 et 34 du RGPD (Notifications auprès de la CNIL et/ou des Utilisateurs).

L’ensemble de ces règles sont également appliquées par les Sous-traitants d’ITEKCOM. Cet engagement constitue une composante déterminante et essentielle des contrats de sous-traitance d’ITEKCOM.

6. Sous-traitance et transferts des données 

6.1 - Sous-traitants ultérieurs

ITEKCOM informe les Utilisateurs que le bon fonctionnement de la Plateforme nécessite l’intervention de plusieurs sous-traitants de rang 2 [ci-après dénommé(s) le ou les « Sous-traitant(s) »] dans le cadre des traitements suivants :

 

Traitements concernés

Sous-traitant

Coordonnées

(et localisation des serveurs si adresses distinctes)

Hébergement HDS et sauvegarde de la Plateforme

CLARANET

Siège social :

2, Rue Bréguet, 75011 PARIS, France

Localisation des serveurs : FRANCE

Mailing / Newsletter

MAILJET

13-13 bis, Rue de l’Aubrac, 75012 PARIS, France

Localisation des serveurs : BELGIQUE, ALLEMAGNE

 

ITEKCOM certifie avoir étudié et choisi le Sous-traitant pour son niveau de protection des données personnelles conforme aux exigences du RGPD et de la loi « Informatique et Libertés » du 6 janvier 1978. Le Sous-traitant s’est engagé, au même titre que ITEKCOM, à respecter lesdites dispositions relatives à la protection des données et à permettre par tout moyen à ITEKCOM de répondre à ses obligations légales concernant notamment les droits des personnes concernées mentionnées ci-dessus.

Le Sous-traitant s’est également engagé à ne jamais sous-traiter les données confiées sans l’information et l’approbation préalable de ITEKCOM, ce que ITEKCOM n’entend pas accorder, sauf nécessité impérieuse et essentielle aux Services.

6.2 – Transferts de données hors UE

ITEKCOM et son Sous-traitant de rang 2 s’engagent conjointement à ce que les données personnelles collectées sur la Plateforme soient toujours traitées et hébergées au sein de l’Union Européenne ou d’un pays ou d’un organisme disposant d'un niveau de sécurité adéquat selon la Commission européenne. 

6.3 – Cas exceptionnels de partage de données avec des tiers

Les Données à caractère personnel contenues dans la Plateforme SOSRDV seront partagées avec la DGS du Ministère des Solidarités et de la Santé dans le cadre de son programme SI-DEP.

Pour plus d’information veuillez consulter le site du ministère des solidarités et de la santé (https://solidarites-sante.gouv.fr/ministere/article/donnees-personnelles-et-cookies) ou contacter l’adresse électronique sidep-rgpd@sante.gouv.fr

7. Cookies

Comme susvisé, certaines informations sont collectées au moyen de cookies (de petits fichiers texte placés sur le navigateur du visiteur et qui stockent des informations le concernant pouvant par la suite être consultées par la Plateforme). 

ITEKCOM informe alors l’Utilisateur qu’il peut s’opposer à l’enregistrement de cookies en réglant les paramètres du gestionnaire de cookies, présent à la première connexion sur la Plateforme et, à tout moment, sur son Compte via le bouton « Vos paramètre de cookies ».

Seuls les cookies obligatoires au bon fonctionnement du Site ne peuvent faire l’objet d’aucune opposition de la part de l’Utilisateur. De même que, si l’Utilisateur refuse les cookies dit « fonctionnels », il reconnaît que le site pourrait ne pas fonctionner correctement et que son expérience utilisateur pourrait être fortement perturbée.

En outre, ITEKCOM précise à l’Utilisateur que si, de manière générale, celui-ci souhaite s’opposer à la collecte des cookies, il peut également le faire en configurant son navigateur (cf. conseils de la CNIL).

8. Mise à jour de la Politique de traitement des données à caractère personnel

La présente politique est susceptible d’être modifiée ou aménagée à tout moment par ITEKCOM. Toute nouvelle version sera instantanément publiée sur la Plateforme. Votre Pharmacien informera ses Utilisateurs d’une telle mise à jour, par message électronique, dans un délai d’un moins 15 jours avant la date d’effet.  

Les Utilisateurs sont invités à consulter régulièrement la présente Politique de protection des données à caractère personnel et les CGU de la Plateforme SOSRDV.

Dernière modification :       version du 08/03/2021.

Les Utilisateurs sont également invités à suivre la campagne de lutte contre la propagation de la COVID-19 menée par le Ministère des Solidarités et de la Santé et à consulter régulièrement la politique de traitement des données du programme SI-DEP (https://solidarites-sante.gouv.fr/ministere/article/donnees-personnelles-et-cookies).