Politique de confidentialité - MedHey

 

Version du 9 mars 2021

Les traitements de données personnelles collectées à partir de la Plateforme accessible à l’adresse medhey.com (ci-après le « Site ») ou depuis l’Application, sont mis en œuvre dans les conditions de la présente politique de confidentialité (ci-après la « Politique de Confidentialité »).

La Politique de Confidentialité tend à assurer le respect des dispositions relatives à la protection des données personnelles, et notamment, la loi Informatique et Libertés de 1978 modifiée, le Règlement européen 2016/679 du 27 avril 2016, ainsi que les dispositions du Code de la santé publique (CSP) pour ce qui concerne les données de santé des patients.

ARTICLE 1 – DÉFINITIONS

Les termes commençant par une majuscule qui ne seraient pas définis dans la présente Politique de Confidentialité, le sont dans les Conditions Générales d’Utilisation.

Les termes et expressions suivants commençant par une majuscule, qu’ils soient rédigés au singulier ou au pluriel, ont la signification suivante :

« Données Personnelles » désigne les données à caractère personnel au sens de la Loi Informatique et Libertés du 6 janvier 1978 et du Règlement Général relatif à la Protection des Données de l’Union Européenne nᵒ 2016/679 (RGPD).

« Données de Santé » désigne les Données Personnelles relatives aux Patients, et notamment toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical du Patient.

« Patient » désigne toute personne physique prise en charge par un Professionnel de Santé dans le cadre d’un parcours et d’un contrat de soins auquel Medhey n’est pas partie.

« Professionnel de Santé : désigne tout professionnel de santé soumis au secret médical enregistré auprès de son ordre professionnel ou de son autorité d’enregistrement et disposant d’une carte de professionnel de santé (CPS) ou d’un numéro d’identification nationale inscrit au registre des professionnels de santé (RPPS, ADELI ou RPSS+).

« Visiteur » désigne toute personne physique accédant aux pages publiques du Site.

ARTICLE 2 – OBJET

La présente Politique de Confidentialité a pour objet de définir les conditions de traitement applicable aux Données de Santé des Patients d’une part, et celles applicables aux Données Personnelles des Utilisateurs d’autre part.

La Politique de Confidentialité s’applique aux Utilisateurs des Services Medhey et aux Visiteurs de son Site.

SECTION 1 – TRAITEMENT DES DONNÉES DE SANTÉ DES PATIENTS

ARTICLE 1 – INFORMATIONS GÉNÉRALES RELATIVE AU TRAITEMENT DES DONNÉES DE SANTÉ

L’Utilisateur et Medhey sont conjointement responsables du traitement des Données de Santé des Patients au sens de l’article 26 du RGPD.

L’Utilisateur collecte directement les Données de Santé auprès de son Patient dans le respect de ses obligations légales et réglementaires. L’Utilisateur apprécie seul la pertinence des Données de Santé qu’il collecte dans ce cadre et la nécessité de les saisir dans le cadre de son utilisation du Service et dans le respect de la finalité poursuivie par le traitement.

L’Utilisateur s’engage notamment à ce titre, à :

  • Effectuer une collecte de données conforme à la finalité du traitement prévue, à savoir : la coordination ou à la continuité des soins du Patient, à la prévention ou à son suivi médico-social et social du Patient.
  • Recueillir le consentement exprès du Patient visé par le traitement des Données de Santé pour :
  • Le traitement de ses Données de Santé ; et
  • La communication et le partage de ces Données de Santé à d’autres Utilisateurs de la Plateforme et/ou Medhey dans le respect des conditions des présentes
  • La communication et le partage des Données Personnelles du Patient, à l’exclusion de toute Données de Santé, aux auxiliaires de santé et personnel intervenant dans la coordination et/ou la continuité des soins du Patient pour la prévention et/ou son suivi médico-social.
  • Informer le Patient, dans le respect des prescriptions légales, et notamment en ce qui concerne :
  • L‘identité et les coordonnées des co-responsables de traitement, le cas échéant les coordonnées du délégué à la protection des données ;
  • L’existence, les finalités et les droits des Patients dans le traitement de leurs Données de Santé ;
  • La possibilité de partager tout ou partie de ses Données de Santé avec Medhey pour les besoins de l’accès au Service ainsi qu’à des fins de recherche, études et évaluations statistiques pour améliorer le diagnostic des Patients et/ou développer des outils d’aide au diagnostic ;
  • La possibilité qu’il a de s’opposer, à tout moment, à l’échange et au partage d’informations le concernant ; et
  • La durée de conservation des Données de Santé ;
  • Tenir un registre des activités de traitements et à les tenir à disposition des Patients ; et
  • Mettre à la disposition de Medhey, toutes informations nécessaires pour démontrer le respect des obligations à sa charge.

ARTICLE 2 – MESURES ORGANISATIONNELLES & MESURES DE SÉCURITÉ

Les Parties s’engagent mutuellement à :

  • S’alerter si une ou plusieurs instructions écrites constituent, directement ou indirectement, une violation du RGPD ou de toute réglementation communautaire ou nationale applicable au traitement des Données de Santé ;
  • Notifier tout transfert de Données de Santé vers un pays tiers lorsque l’une des Parties est contrainte d’y procéder en vertu du droit de l’Union ou du droit français, excepté lorsque la législation imposant le transfert interdit une telle information pour des motifs importants d’intérêt public ;
  • S’informer immédiatement et par écrit de toute modification, changement ou autre fait, notamment en matière de sécurité, la concernant et pouvant avoir un impact sur le traitement ;
  • Prendre en compte toute mise à jour, correction, suppression ou autres modifications communiquées par le Cocontractant concernant les Données de Santé ;
  • Faire respecter les obligations stipulées au présent article par son personnel.

Medhey est responsable de la configuration des outils de collecte sur la Plateforme et détermine les conditions d’accès aux Données de Santé.

Medhey s’engage à fournir et à mettre en place les mesures organisationnelles et techniques nécessaires pour préserver la sécurité des Données de Santé et le respect du secret médical.

À ce titre, Medhey prend toutes mesures permettant d’éviter toute utilisation détournée ou frauduleuse des traitements de Données de Santé dans les conditions suivantes :

  • la pseudonymisation/ anonymisation des Données de Santé ;
  • les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • les moyens permettant de rétablir la disponibilité des Données de Santé et l’accès à celles-ci dans les délais appropriés en cas d’incident physique ou technique ;
  • une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ;
  • le respect de la confidentialité, la conservation et l’intégrité des Données de Santé traitées pendant la durée des présentes et ce, jusqu’à leur complète suppression, et plus particulièrement : la mise en place de mesures de sécurité appropriées dans le cadre des échanges de données ou de fichiers relatifs aux Données de Santé réalisés entre Medhey et l’Utilisateur mais aussi entre les Utilisateurs autorisés grâce à l’utilisation de canaux de communication sécurisés; la conservation et l’archivage des Données de Santé dans les conditions de l’article 5 ; la restriction des accès aux informations et Données de Santé aux seules personnes habilitées à intervenir sur ces données de par leurs fonctions et compétences, à l’exclusion de toute autre personne ; l’assistance de l’Utilisateur pour garantir le respect des obligations prévues aux Articles 32 à 36 du RGPD compte tenu des informations dont Medhey dispose et de la nature du traitement ; et
  • la tenue d’un registre des activités de traitements et à le communiquer aux Utilisateurs sur demande écrite préalable.

ARTICLE 3 – DESTINATAIRES DES DONNÉES DE SANTE

Les Données de Santé sont strictement destinées aux Utilisateurs appartenant à la même équipe de soin et, le cas échéant sous réserve d’accord exprès du Patient, à d’autres Utilisateurs de la Plateforme.

À ce titre, l’Utilisateur est invité à prendre connaissance des dispositions relatives au secret médical incluses dans les Conditions Générales d’Utilisation.

Lorsque la réalisation des Services Medhey, leur amélioration et le maintien d’un environnement sécurisé implique pour les membres, employés ou prestataires de Medhey d’accéder directement ou indirectement aux Données de Santé, Medhey assure leur confidentialité et le respect du secret médical en limitant la détention de la clé de chiffrement des Données de Santé au directeur technique et aux fondateurs de Medhey.

Les Données de Santé sont dûment conservées et traitées sur un serveur mis à disposition par une plateforme labellisée Hébergeur de données de santé. Les Données de Santé sont contenues dans une base de données unique, dont l’accès est protégé par une clé de chiffrement, uniquement détenu par le directeur technique et les fondateurs de Medhey. Toute information permettant d’identifier le Patient auquel appartient les données est dûment cryptée au sein même de la base de données de telle sorte qu’une extraction brute assure la confidentialité des données de Patients par l’anonymisation de ces mêmes données.

ARTICLE 4 – HÉBERGEMENT DES DONNÉES DE SANTÉ

Les Données de Santé sont stockées par un hébergeur certifié Hébergeur de Données de Santé (certification HDS).

L’Utilisateur reconnaît et accepte que Medhey fasse appel à des sous-traitants ultérieurs et recoure à des prestataires tiers aux fins de l’exécution de ses obligations au titre des CGU, dès lors que :

  • Les sous-traitants ultérieurs sont placés sous la responsabilité de Medhey ;
  • Medhey choisit des sous-traitants ultérieurs selon des critères de fiabilité et de respect des mesures organisationnelles et de sécurité pertinentes compte tenu des enjeux des traitements de données personnelles.

Medhey communique la liste des sous-traitants ultérieurs à l’Utilisateur ainsi que toute mise à jour afin de recueillir ses éventuelles objections justifiées.

ARTICLE 5 – DURÉE DE CONSERVATION

Les Données de Santé des Patients sont conservées pour la durée nécessaire à la prise en charge du Patient et à la réalisation des finalités pour lesquelles elles ont été collectées.

 

Catégorie de données Durée de conservation
 

Données d’identification (ex : nom, prénom, sexe, date de naissance)

 

En application de la délibération n° 2020-076 de la CNIL du 18 juin 2020 portant adoption d’un référentiel relatif aux durées de conservation des données à caractère personnel traitées dans le secteur de la santé et de l’article R. 1112-7 du Code de la santé publique, les Données de Santé sont conservées en base active :

·       vingt (20) ans à compter de la dernière consultation du Patient par l’Utilisateur ;

 

·       ou dix (10) ans à compter du décès du Patient.

 

Données de santé : information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical du Patient (ex : ordonnance médicale, radiographies, résultats de prises de sang, comptes rendus médicaux, etc.)

 

L’Utilisateur est informé que certaines Données Personnelles peuvent ensuite être conservées de manière archivée dix (10) ans conformément à la durée de prescription légale fixée à l’article L. 1142-28 du Code de la santé Publique.

ARTICLE 6 – DROITS DES PATIENTS

Le Patient peut à tout moment, sur simple demande faite à l’Utilisateur à qui il a communiqué des Données de Santé et sur présentation d’un justificatif d’identité :

  • Exiger que les données à caractère personnel le concernant lui soient communiquées ou qu’elles soient, selon les cas, rectifiées, complétées, mises à jour ou effacées ;
  • Retirer son consentement à tout moment, sans porter atteinte à la licéité́ du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
  • Bénéficier du droit à la portabilité de ses données ;
  • Limiter ou bien s’opposer au traitement des données à caractère personnel le concernant pour des motifs légitimes.

Les demandes doivent être adressées à l’Utilisateur uniquement. L’Utilisateur s’engage à faire ses meilleurs efforts pour répondre dans un délai deux mois suivant la réception de la demande. Ce délai pourra être prolongé de deux mois au regard la complexité et du nombre de demandes. Medhey fera ses meilleurs efforts pour aider l’Utilisateur à répondre à toute demande d’un Patient dans les conditions du présent article. Medhey pourra, à la demande des Patients, assurer la transmission des demandes des Patients aux Utilisateurs qui lui auront été transmises à l’adresse contact@medhey.com.

Le Patient peut introduire une réclamation auprès de la CNIL 3 place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07, en cas de contestation du traitement de ses Données de Santé.

SECTION 2 – TRAITEMENT DES DONNÉES PERSONNELLES DES UTILISATEURS

ARTICLE 7 – INFORMATIONS GÉNÉRALES RELATIVES AUX TRAITEMENTS DES DONNÉES

Medhey est responsable des traitements des Données Personnelles des Utilisateurs qu’elle collecte et traite dans le strict respect des dispositions légales applicables en matière de protection des Données Personnelles.

Les informations collectées auprès des Utilisateurs lors de leur inscription sont indispensables à l’exécution du contrat avec Medhey et conditionnent l’accès au(x) Service(s).

Ces Données Personnelles correspondent à des données d’identification des Utilisateurs, des données relatives à leur carte de santé professionnelle, des données d’utilisation du Service et/ou des données bancaires. Les données générées par les Utilisateurs à l’occasion de l’utilisation du Service telles que les statistiques de d’utilisation sont qualifiées de Données Personnelles tant qu’elles peuvent être rattachées à un Utilisateur identifié ou identifiable.

Les traitements de Données Personnelles des Utilisateurs mis en œuvre par Medhey le sont uniquement dans le respect des finalités suivantes :

  • L’inscription, le paiement de l’abonnement et l’accès au Service ;
  • L’échange et le partage de Données de Santé par l’Utilisateur ; et
  • Le développement et l’amélioration de la Plateforme et/ou des Services.

ARTICLE 8 – DESTINATAIRES ET CONDITIONS D’HÉBERGEMENT DES DONNÉES

Les Données Personnelles des Utilisateurs sont traitées par Medhey de manière confidentielle et sécurisée dans les conditions décrites aux présentes.

Medhey les partage uniquement avec :

  • Un hébergeur de données engagé pour traiter les données au nom de Medhey. Les Données Personnelles des Utilisateurs sont stockées sur le territoire de l’Union européenne. Medhey s’assure que le prestataire auquel elle recourt adopte les mesures organisationnelles et techniques nécessaires pour assurer la sécurité et la confidentialité des Données Personnelles.
  • Medhey communique la liste des sous-traitants ultérieurs à l’Utilisateur ainsi que toute mise à jour afin de recueillir ses éventuelles objections justifiées.

L’Utilisateur est en outre informé que lorsque qu’il procède à l’envoi d’invitation par sms à se connecter et/ou partager des données sur la Plateforme à destination d’autres Utilisateurs, l’envoi d’invitation par sms implique un partage de son numéro de téléphone avec le destinataire et inversement.

ARTICLE 9 – DURÉE DE CONSERVATION

Medhey ne conserve les Données Personnelles des Utilisateurs que pour la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées et pour la durée précisée ci-après :

 

Catégorie de données Durée de conservation
Données d’identification : nom, prénom, profession, email, lieu d’exercice, numéro de téléphone, numéro d’identification nationale (RPPS, ADELI ou RPSS+), copie de pièce d’identité Jusqu’à la désactivation du compte Utilisateur
Données professionnelles accessibles sur la CPS : profession, spécialité, mode et lieu d’exercice Jusqu’à la désactivation du compte Utilisateur
Données de connexion : adresse IP, cookies Jusqu’à la désactivation du compte Utilisateur
Données bancaires : IBAN et BIC Jusqu’à la désactivation du compte Utilisateur

 

L’Utilisateur est informé que certaines Données Personnelles peuvent être conservées de manière archivée dix (10) ans conformément à la durée de prescription légale fixée à l’article L. 1142-28 du Code de la santé Publique.

ARTICLE 10

Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement de Données Personnelles mis en œuvre par Medhey ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, Medhey met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque potentiel de violation de Données Personnelles.

ARTICLE 11 – DROITS DES UTILISATEURS

L’Utilisateur peut à tout moment, sur simple demande accompagnée d’un justificatif d’identité :

  • Exiger que les Données Personnelles le concernant lui soient communiquées ou qu’elles soient, selon les cas, rectifiées, complétées, mises à jour ou effacées ;
  • Retirer son consentement à tout moment, sans porter atteinte à la licéité́ du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
  • Bénéficier du droit à la portabilité de ses Données Personnelles ainsi que du droit de définir des directives relatives au sort de ses Données Personnelles après sa mort ;
  • Demander la limitation ou bien s’opposer au traitement des Données Personnelles le concernant pour des motifs légitimes.

Les demandes doivent être adressées à : contact@medhey.com

Medhey s’engage à faire ses meilleurs efforts pour répondre dans un délai d’un mois suivant la réception de la demande. Ce délai pourra être prolongé de deux mois au regard la complexité et du nombre de demandes. Medhey tiendra informé l’Utilisateur le cas échéant.

En cas de contestation du traitement de ses Données Personnelles, l’Utilisateur peut introduire une réclamation auprès de la CNIL 3 place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.

 

SECTION 3 – DISPOSITIONS D’ORDRE GÉNÉRAL

ARTICLE 12 – VIOLATION DE DONNÉES PERSONNELLES

Medhey s’engage à notifier à l’Utilisateur toute violation de Données Personnelles et/ou Données de Santé sur la Plateforme, et ce dans les meilleurs délais après en avoir pris connaissance.

Si les conditions d’une notification à la CNIL sont réunies, l’Utilisateur sera en charge de cette notification de violation de Données Personnelles dans un délai maximum de 72 heures à compter du moment où il aura eu connaissance d’une telle violation. Si la violation trouve son origine, en tout ou partie, dans la Plateforme et/ou le Service, Medhey assistera l’Utilisateur dans ses démarches auprès de la CNIL.

L’Utilisateur sera également en charge de décider de l’opportunité d’informer ou non les Patients en fonction de la gravité de la violation de Données Personnelles.

ARTICLE 13 – MISE À JOUR

Medhey se réserve la possibilité de modifier Politique de Confidentialité. Les modifications affectant la Politique de Confidentialité et leur date d’entrée en vigueur seront communiquées aux Utilisateurs en avance. Après la date d’entrée en vigueur, la poursuite de la navigation sur le Site vaudra acceptation de ces modifications.

ARTICLE 14 – COOKIES {à compléter le cas échéant}

  1. À propos des cookies
  2. Qu’est-ce qu’un « cookie » ?
  3. Comment refuser l’application des cookies ?
  4. Modifications
  5. Contact

Medhey accorde beaucoup d’importance à la vie privée et prend très au sérieux ses responsabilités en matière de traitement de Données Personnelles.

La présente politique fournit des informations sur la façon dont Medhey utilise des « cookies » ou des technologies similaires sur son Site et l’ensemble de ses Services. Ces cookies aident Medhey à comprendre comment l’Utilisateur et/ou le Visiteur interagit avec ses Services et permettent d’améliorer l’expérience et l’usage de certaines fonctionnalités, comme par exemple le partage de contenu sur les réseaux sociaux.

La présente politique fournit également des informations sur la manière dont des tierces parties peuvent utiliser ces technologies en association avec les Services.

14.1         A propos des cookies

La présente politique de gestion des cookies s’applique pour tout Utilisateur et/ou Visiteur visitant le Site et/ou utilisant l’un des Services de Medhey.

A l’exception des cookies qui sont administrés par des tierces parties, Medhey est responsable des données personnelles en sa qualité de responsable de traitement.

14.2         Qu’est-ce qu’un « cookie » ?

Un « cookie » est une suite d’informations, généralement de petite taille et identifié par un nom, qui peut être transmis au navigateur par un site web sur lequel l’Utilisateur ou Visiteur se connecte. Le navigateur web le conservera pendant une certaine durée, et le renverra au serveur web chaque fois qu’il s’y reconnecte. Les cookies ont de multiples usages : ils peuvent servir par exemple à mémoriser l’identifiant client, la navigation pour des finalités statistiques ou publicitaire, etc.

Comme cela est détaillé ci-dessous, l’utilisation des cookies peut impliquer une collecte et une utilisation des Données Personnelles de l’Utilisateur ou Visiteur, telles que son adresse IP ou d’autres identifiants mobiles en ligne. Pour obtenir plus d’informations sur la collecte et l’utilisation de ces Données Personnelles, l’Utilisateur et le Visiteur peuvent consulter la Politique de Confidentialité.

Les cookies utilisés sur le Site sont les suivants :

Cookies internes nécessaires au Site pour fonctionner

NOM DU COOKIE FINALITÉ DURÉE DE CONSERVATION
Tarteaucitron

 

Cookies tiers destinés à améliorer l’interactivité du Site

DOMAINE(S) FINALITÉ LIENS VERS LA POLITIQUE DE COOKIES DU PARTENAIRE
Licdn.com

 

14.3         Comment refuser l’utilisation de cookies ?

Lors de sa première visite sur le Site, un bandeau informe de la présence de cookies et invite l’Utilisateur ou le Visiteur à indiquer son choix. Ils ne sont déposés que si l’Utilisateur ou le Visiteur accepte ou poursuit sa navigation sur le Site en visitant une seconde page. L’Utilisateur ou le Visiteur peut à tout moment être informé et paramétrer ses cookies pour les accepter ou les refuser en se rendant sur la page accessible via un lien sur chaque page du site. Il peut indiquer sa préférence soit globalement pour le Site, soit selon les options proposées.

Il peut également empêcher le navigateur d’accepter certains cookies, faire en sorte que le navigateur lui demande son consentement avant qu’un nouveau cookie soit placé dans son navigateur, ou bloquer totalement les cookies en sélectionnant les paramètres pertinents dans le menu des préférences de confidentialité de son navigateur.

Les liens ci-dessous l’aideront à trouver les paramètres pour certains navigateurs courants (il importe de noter que Medhey n’est pas responsable du contenu des sites web externes) :

14.4         Modifications

Toutes les modifications de la présente politique de cookies seront publiées sur cette page dont la consultation régulière est recommandée.

14.5         Contact

Pour toutes questions, commentaires, réclamations ou demandes concernant la présente politique de gestion des cookies, ou sur le traitement de ses Données Personnelles, l’Utilisateur ou le Visiteur peut, dans les mêmes conditions précitées à l’article 11, contacter Medhey à l’adresse suivante : contact@medhey.com

En cas de contestation du traitement de ses Données Personnelles, l’Utilisateur ou le Visiteur peut introduire une réclamation auprès de la CNIL 3 place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.