Politique de confidentialité

1.1 Licéité des traitements

A ce titre, dès lors que la Société, dans le cadre des Services, est amenée à traiter des Données, elle s’engage à :

• Respecter les dispositions du RGPD ;
• Traiter de telles Données uniquement si cela est requis pour l’exécution des finalités listées ci-après et tel qu’autorisé ou exigé par la Loi et le RGPD ;
• Garder les Données strictement confidentielles ;
• Prendre les mesures de sécurité organisationnelles, physiques et techniques appropriées afin de protéger les Données ;
• Avoir recours à un tiers hébergeur agréé (Microsoft Azure) conformément au décret 2006-6 du 4 janvier 2006 qui en fixe les conditions ;
• N’effectuer de transferts de Données en dehors du territoire de l’Union Européenne qu’avec l’autorisation préalable de l’Utilisateur et dans un cadre sécurisé, conformément aux exigences de la législation applicable, c’est-à-dire soit vers des pays présentant un niveau de protection dit « adéquat » au sens des autorités européennes de protection des données personnelles (CNIL), soit vers des entités (sociétés affiliées, sous-traitants) ayant signé des clauses contractuelles types telles que édictées par les autorités européennes.

1.2 Données collectées

Dans le cadre du fonctionnement normal des Services, les Données pouvant être collectées dans le cadre de l’utilisation du Service par l’Utilisateur, y compris lors de la création d’un compte personnel, sont les suivantes :

• Nom, Prénom
• Date de naissance
• Numéro d’assuré (régime d’assurance maladie)
• Poids
• Taille
• Numéro de téléphone
• Adresse
• Numéro d’assuré (complémentaire)
• Mesures physiologiques individuelles mesurées par les dispositifs médicaux connectés
• Motif de consultation
• Prescriptions médicales
• Les éventuels antécédents médicaux communiqués par l’Utilisateur ;
• Le rapport de visite du Médecin ;
• Le courrier destiné au Médecin traitant de l’Utilisateur ;
• La copie de sa prescription médicale éventuelle délivrée par le Médecin chargé de la Téléconsultation de l’Utilisateur.

La Société présente les garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité telles que prévues par le RGPD et la Loi, à savoir notamment, l’hébergement des Données par un hébergeur agréé, et la mise en œuvre par la Société de moyens de sécurisation et de cryptage des documents qui transitent via la Plateforme. Le Service est hébergée par la société Microsoft Azure, domiciliée chez Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18 D18 P521. La société Microsoft Azure propose un service d’hébergement de données conforme au standard Hébergeur de Données de Santé (HDS) tel que défini par les autorités françaises.

1.3 Exploitation des Données

La collecte des Données ont pour objectif la mise à disposition des Services, leur amélioration, le maintien d’un environnement sécurisé et, d’un point de vue plus global, la réalisation de la prestation de service sollicitée par l’Utilisateur. Les Données sont strictement nécessaires à l’utilisation normale des Dispositifs de télémédecine TESSAN.

Les finalités des traitements des Données concernent :

• La fourniture aux Utilisateurs du Logiciel et de l’accès aux Dispositifs de télémédecine et autres services de TESSAN permettant la réalisation des Services ;
• Le suivi des rendez-vous des Utilisateurs ainsi que de leur parcours de soin notamment :
• La transmission au Médecin des informations nécessaires à l’organisation ou à la préparation du rendez-vous de l’Utilisateur et pour délivrer le Service à l’Utilisateur ;
• L’organisation de l’utilisation des Dispositifs de télémédecine TESSAN et autres services de TESSAN ;
• La possibilité pour l’Utilisateur de consulter ses Données ;
• L’envoi à l’Utilisateur de SMS et/ou courriel de confirmation de rendez-vous et de rappel des rendez-vous programmés ;
• Le suivi de la traçabilité des Téléconsultations.

1.4 Conservation des Données

La durée de conservation des Données est de 10 ans conformément à la Loi du 4 mars 2002 (à compter de la date de la dernière consultation de l’Utilisateur).

La Société s’engage à supprimer toute Donnée à la première demande de l’Utilisateur et, en toute hypothèse, à l’expiration de la durée mentionnée.

1.5 Obligations de la Société en qualité de prestataire

Dans le cadre de la fourniture par la Société de ses Services, la Société fournit une solution structurellement respectueuse des principes de proportionnalité, de minimisation et de limitation des Données assurant que seules les Données pertinentes sont traitées dans le cadre d’exécution des Services, pour les seules finalités exposées ci-dessus.

La Société met également en œuvre les mesures techniques et organisationnelles appropriées afin de protéger les Données communiquées à la Société par le Médecin, de manière permanente et documentée, contre la destruction accidentelle ou illégale, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé, y compris dans le cadre de la transmission des Données sur un réseau, tout comme contre toute autre forme de traitement illicite ou non compris dans les traitements confiés au titre des CGU.

1.6 Obligations des sous-traitants

La Société et chacun de ses éventuels sous-traitants :

• Respectera en tout temps ses obligations ;
• Prendra toutes les mesures nécessaires à la protection de la sécurité et de la confidentialité des Données, y compris en cas de transfert international des Données ;
• Fournira les garanties suivantes pour veiller à la mise en œuvre des mesures de confidentialité et de sécurité :
• Indépendance ;
• Etablissement et fourniture à première demande de la documentation décrivant la confidentialité mise en œuvre au sein de la solution, pour protéger les Données ;
• Conclusion des clauses contractuelles types encadrant tout éventuel transfert des Données à tout sous-traitant secondaire qui ne serait pas situé sur le territoire de l’Union Européenne, ou de tout dispositif équivalent dûment reconnu par les autorités de contrôle ;
• Contrôles et audits internes réguliers de nature à vérifier la permanence des dispositifs et procédures de protection internes des Données, pendant tout le temps de leur conservation par la Société, tous traitements confondus ;
• Mise en œuvre et maintien d’une procédure de signalement de toute violation ou tout accès non autorisé aux Données, avéré ou suspecté, conduisant à l’alerte dans les meilleurs délais de l’Utilisateur ;
• Mise en œuvre et maintien d’une procédure de réception et d’exécution des demandes d’accès, de rectification ou de suppression émanant des Utilisateurs ;
• Mise en œuvre et maintien d’un mécanisme de portabilité des Données permettant de manière simple et sécurisée d’identifier l’ensemble des Données correspondant à l’Utilisateur, aux fins de suppression ou aux fins de portabilité vers un tiers prestataire, à la demande de l’Utilisateur, sans surcoût. En cas de demande de portabilité, la Société extrait et transmet les Données vers le destinataire.

1.7 Limitation de l’utilisation des Données

La Société s’engage à s’abstenir d’exploiter ou utiliser, faire des copies et créer des fichiers des Données non-anonymisées au sein du système d’information de l’Utilisateur à ses propres fins ou pour le compte de tiers. Le traitement des Données correspondra strictement à l’exécution des finalités stipulées ci-avant, dans le seul cadre de l’exploitation des Services.

1.8 Partage de Données avec les tiers

Les Données peuvent être partagées avec les tiers dans les cas suivants :

• Si la loi l’exige, la Société peut effectuer la transmission des Données pour donner suite aux réclamations présentées contre la Société et se conformer aux procédures administratives ou judiciaires ;
• Dès lors que la Société fait appel à des prestataires pour son développement, sa maintenance ou pour des raisons techniques ;
• Si la Société est impliquée dans une opération de fusion, acquisition, cession d’actifs ou procédure de redressement judiciaire, elle pourra être amenée à céder ou partager tout ou partie de ses actifs, y compris les Données. Dans ce cas, les Utilisateurs seraient informés, avant que les Données ne soient transférées à une tierce partie.

1.9 Sécurité et confidentialité

La Société met en œuvre des restrictions tant au niveau organisationnel, technique, logiciel, physique en matière de sécurité du numérique pour protéger les Données contre les altérations, destructions et accès non-autorisés.

La Société reconnaît qu’elle doit être en mesure, en tout temps, pendant l’exécution des Services, de rendre compte et de faire la preuve de l’ensemble des dispositifs et procédures de protection des Données, de minimisation de leur utilisation, et de conformité desdits dispositifs et procédures aux exigences légales susmentionnées.

La Société s’interdit de communiquer à quiconque, directement ou indirectement, tout ou partie des informations qui lui auront été communiquées par l’Utilisateur.

1.10 Cookies

Afin de permettre une navigation optimale sur la Plateforme ainsi qu’un meilleur fonctionnement des différentes interfaces, la Société pourra procéder à l’implantation d’un cookie sur le poste informatique de l’Utilisateur, du Dispositif de télémédecine TESSAN et de ses autres services.

Les cookies permettent de stocker des informations relatives à la navigation sur www.tessan.io. Ces cookies ont vocation à être conservés sur le poste informatique de l’Utilisateur pour une durée variable allant jusqu’à un an et pourront être lus et utilisés par la Plateforme lors d’une visite ultérieure de l’Utilisateur.

Les cookies utilisés dans le cadre du Service ont pour finalité exclusive :

• D’améliorer la navigation au sein de la Plateforme ;
• De créer des statistiques d’usage des divers éléments composant la Plateforme.

A ce titre, un bandeau d’information s’affiche lors de la connexion de l’Utilisateur à la Plateforme, afin de l’informer préalablement à l’activation des cookies :

• De son droit d’accès aux Données ;
• Des finalités précises des cookies utilisés ;
• De la possibilité́ de s’opposer au dépôt de cookies pour l’analyse de sa navigation, et du fait que la poursuite de la navigation vaut accord au dépôt de cookies sur son terminal ;
• Des modalités permettant à l’Utilisateur de changer les paramètres, au titre du dépôt de cookies ayant pour finalité d’accéder à des informations déjà stockées dans son poste informatique, le cas échéant.

Dans le cas de suppression des cookies, la navigation sur www.tessan.io ne sera pas optimisée. Si la désactivation systématique des cookies empêche l’Utilisateur d’utiliser certains services, ce dysfonctionnement ne saurait en aucun cas constituer un dommage.

L’internaute a aussi la possibilité de supprimer les cookies implantés sur son ordinateur, en se rendant dans le menu de son navigateur prévu à cet effet.

• Sous Internet Explorer : onglet outil (pictogramme en forme de rouage en haut à droite) / options internet. Cliquez sur Confidentialité et choisissez Bloquer tous les cookies. Validez sur Ok.
• Sous Firefox : en haut de la fenêtre du navigateur, cliquez sur le bouton Firefox, puis aller dans l’onglet Options. Cliquer sur l’onglet Vie privée. Paramétrez les Règles de conservation sur : utiliser les paramètres personnalisés pour l’historique. Enfin décochez la pour désactiver les cookies.
• Sous Safari : Cliquez en haut à droite du navigateur sur le pictogramme de menu (symbolisé par un rouage). Sélectionnez Paramètres. Cliquez sur Afficher les paramètres avancés. Dans la section « Confidentialité », cliquez sur Paramètres de contenu. Dans la section « Cookies », vous pouvez bloquer les cookies.
• Sous Chrome : Cliquez en haut à droite du navigateur sur le pictogramme de menu (symbolisé par trois lignes horizontales). Sélectionnez Paramètres. Cliquez sur Afficher les paramètres avancés. Dans la section « Confidentialité », cliquez sur préférences. Dans l’onglet « Confidentialité », vous pouvez bloquer les cookies.

Les Données sont à l’usage exclusif de la Société ou de ses prestataires techniques, et ne sont en aucun cas transmises à des tiers.

1.11 Délégué à la Protection des Données (DPO)

Compte tenu de la grande quantité de Données gérées par la Société, le RGDP dispose d’une obligation de nomination d’un Délégué à la Protection des Données (ci-après le « DPO »). Il lui appartient de s’informer sur les nouvelles obligations, d’assister les décideurs sur les conséquences des traitements des Données, d’en réaliser l’inventaire, de concevoir des actions de sensibilisation et de piloter en continu la conformité. Il doit être impliqué correctement et en temps utile dans toutes les problématiques liées à la protection des Données. A ce titre, les ressources et le temps nécessaires à l’accomplissement de ses missions et à l’entretien de ses connaissances spécialisées doivent impérativement lui être donnés.

Le DPO de la société peut être contacté à tout moment à l’adresse suivante : dpo@tessan.io

1.12 Droits de l’Utilisateur

L’Utilisateur dispose des droits suivants :

• Il peut mettre à jour ou supprimer les Données en se connectant à son compte et en configurant les paramètres du compte Utilisateur ;
• Si les Données détenues par la Société sont inexactes, il peut demander la mise à jour des informations soit en les modifiant directement sur le compte Utilisateur, ou en écrivant à l’adresse électronique suivante : dpo@tessan.io ;
• Il peut demander la suppression de son compte Utilisateur en écrivant à l’adresse électronique suivante : dpo@tessan.io;
• Il peut exercer son droit d’accès pour connaître les Données en écrivant à l’adresse électronique suivante : dpo@tessan.io;
• Il peut demander la suppression de ses Données, conformément aux lois applicables en matière de protection des données, en écrivant à l’adresse électronique suivante : dpo@tessan.io.

La suppression des Données se réalise dans un délai de trente jours au maximum, à compter de la réception de la demande de l’Utilisateur.

Durant la fourniture des Services, la Société s’engage à modifier ou supprimer, à la demande de l’Utilisateur, toute Donnée, notamment en cas d’exercice par un individu de ses droits d’accès, de rectification et de suppression.

ARTICLE 2. RESPONSABILITÉ DES PARTIES