Mise à jour le 23 octobre 2024
Dans le cadre de ses engagements à protéger la vie privée et la sécurité des Utilisateurs du Service Eos, la société CLEER a développé ses Services en appliquant le principe de Privacy by design (protection des données dès la conception) et mis en place une politique de protection des données rigoureuse.
Cette politique s'applique à tous les aspects des Services délivrés via la Plateforme Eos.
La société CLEER reconnait l'importance cruciale des informations personnelles et notamment des données de santé qu’elle collecte et qu’elle traite et s’engage à les protéger avec le plus grand soin.
L’approche de la société CLEER repose sur des normes strictes de confidentialité, de transparence et de conformité aux exigences légales et réglementaire applicable (ensemble la « Réglementation ») à savoir :
(i) La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée ;
(ii) Le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 27 avril 2016(ci-après dénommé le « RGPD »).
En adoptant cette politique relative à la protection des données personnelles (ci-après dénommée la « Politique »), la société CLEER s’engage à ce que toutes les données collectées sont traitées de manière sécurisée et uniquement dans le cadre des finalités pour lesquelles elles ont été recueillies.
Elle a pour objet d’informer les Utilisateurs de la Plateforme Eos sur la manière dont leurs données sont utilisées.
Plus précisément, les Utilisateurs de laPlateforme Eos trouveront les informations suivantes :
- Les engagements de la Société en matière de protection des Données à caractère personnel
- Les Responsables de traitements de leurs Données à caractère personnel
- Les catégories et types de Données à caractère personnel collectées dans le cadre de la fourniture des Services
- La description des Traitements de Données à caractère personnel réalisés avec pour chacun sa finalité (son objectif), sa base légale (sa justification) et sa durée de conservation (qui est limitée)
- La liste des destinataires des Données
- Les droits dont ils disposent sur leurs Données et les moyens de contacter la société CLEER à ce titre
- Les mesures de sécurité mises en place par la Société CLEER.
Les termes et expressions suivants, qu’ils soient utilisés indifféremment au singulier ou au pluriel, s'interpréteront comme suit :
« Compte Eos » désigne le compte créé par l’Utilisateur lors de sa première connexion à la Plateforme Eos et permettant d’accéder à son espace privé et sécurisé au titre, selon le cas, de la délivrance ou de l’utilisation des Services ;
« Destinataire » désigne la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de Données à caractère personnel, qu'il s'agisse ou non d'un tiers.
« Données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable.
« Données de santé »désigne les Données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.
« Plateforme Eos »désigne les applicatifs conçus, développés et maintenus par la Société (notamment le site - www.eos-care.com - et l’application), destinés à permettre aux Utilisateurs Eos d'accéder à différents Services ;
« Praticien » désigne un professionnel de santé au sens du Code de la santé publique [ex : médecin, auxiliaire médical] ou un non professionnel de santé [ex : psychologue] qui délivre un Service Praticien à l’Usager Eos via la Plateforme Eos ;
« Responsable de traitement » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
« Service de la Plateforme Eos » désigne les services rendus par la Société aux Praticiens, conformément aux conditions générales de services conclues entre ces derniers ;
« Service Praticien » désigne un service (i) de télémédecine [téléconsultation] ou (ii) de télésoin au sens des dispositions du Code de la santé publique ou (iii) de vidéotransmission, délivré au choix de l’Usager Eos, par un Praticien habilité, sur rendez-vous ou en temps immédiat. Le Service Praticien est délivré sous la responsabilité exclusive du Praticien librement choisi par l’Usager Eos, dans le respect de ses obligations professionnelles et le cas échéant conventionnelles et dans le cadre des CGV Praticiens ;
« Services » désigne l’ensemble des services accessibles via la Plateforme Eos, gratuits ou payants ; comprenant les Services Eos ; les Services Praticien et les Services de la Plateforme Eos ;
« Services Eos » désigne les services rendus par la Société aux Usagers Eos, tel que notamment les contenus et ressources disponibles sur l’application, dont les questionnaires et les informations à disposition de l’Usager, les activités individuelles ou collectives proposées, les accès à des praticiens à travers l’application ;
« Société » désigne la société CLEER en tant que fournisseur de la Plateforme Eos, des Services Eos aux Usagers Eos et des Services de la Plateforme Eos aux Praticiens Eos ;
« Sous-traitant » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des Données à caractère personnel pour le compte du Responsable du traitement ;
« Traitement de Données à caractère personnel » désigne toute opération ou ensemble d’opération appliquées à vos Données à caractère personnel.
« Usager Eos » désigne tout non professionnel ayant créé un Compte Eos et pouvant commander et bénéficier des Services Eos et des Services Praticien en utilisant la Plateforme Eos ;
« Utilisateur » désigne, sans qu’il soit besoin de distinguer, l’Usager Eos ou le Praticien ayant créé un Compte Eos, utilisant chacun pour ce qui le concerne la Plateforme Eos.
La Société s'engage fermement à protéger vos données personnelles :
· Vos données personnelles sont collectées et utilisées uniquement à des fins explicites, légitimes et définies dans cette Politique.
· Vos données personnelles sont conservées uniquement pendant la durée nécessaire aux opérations pour lesquelles elles ont été recueillies, en tenant compte de la nature de ces opérations, ou conformément aux recommandations et référentiels de la CNIL, ainsi qu'aux prescriptions légales.
· Vos données personnelles ne sont jamais cédées à des tiers. Seuls les destinataires autorisés, dans le cadre strict des finalités définies par cette Politique, peuvent accéder à ces données.
· La Société fait appel à des sous-traitants soigneusement sélectionnés pour leurs garanties techniques et organisationnelles, afin de protéger les données personnelles qui leur sont confiées selon les instructions de la Société.
· Les Utilisateurs sont informés de manière claire et transparente, préalablement et régulièrement, sur (i) la finalité de l'utilisation de leurs données personnelles, (ii) le caractère facultatif ou obligatoire de leurs réponses dans les formulaires, (iii) les droits dont ils disposent en matière de protection des données personnelles et les modalités d'exercice de ces droits, et (iv) les destinataires de ces données.
· Lorsque la Réglementation l'exige, un consentement explicite, éclairé, actif et non équivoque de l'Utilisateur est recueilli pour le traitement de ses données personnelles.
· Des mesures de sécurité appropriées, sur les plans logique, technique, organisationnel et juridique, sont définies sur la base d'une analyse des risques liés aux différents traitements de données personnelles, et sont mises en œuvre par la Société et ses sous-traitants contractuellement engagés, pour garantir la protection de ces données.
· Chaque fois que les risques liés à un traitement le nécessitent, la Société effectue une analyse d'impact sur la vie privée et la protection des données personnelles des Utilisateurs, afin d'adopter des mesures concrètes et adaptées à ces risques et de les piloter efficacement.
· La Société s'engage à concevoir des outils et systèmes intégrant dès le départ le respect de la Réglementation et de la protection de la vie privée des personnes concernées, en appliquant le principe de "privacy by design". Cela permet le développement d'outils et de systèmes responsables dès la conception et le développement.
· Seules les données personnelles strictement nécessaires sont collectées et traitées, conformément au principe de "privacy by default" qui protège les Utilisateurs contre la collecte excessive de données personnelles.
· La Société et ses sous-traitants s'engagent à surveiller toute violation éventuelle et exceptionnelle de données personnelles, et à prendre toutes les mesures de protection et de correction nécessaires, en informant la CNIL et, le cas échéant, les personnes concernées.
· En cas de transfert de données personnelles vers des pays tiers, la Société met en place des mesures adéquates et supplémentaires, notamment en concluant des clauses contractuelles types adoptées par la Commission européenne, accessibles à l'Utilisateur sur simple demande.
· Tous les salariés et intervenants impliqués dans la conception et le fonctionnement de la Plateforme Eos sont formés régulièrement aux principes de protection des données personnelles, avec des formations adaptées à leur activité et à leurs responsabilités.
· Les collaborateurs n'ont accès qu'aux informations nécessaires à leur activité. Les données personnelles sensibles sont soumises à des habilitations et contrôles spécifiques. En particulier, les données personnelles concernant la santé sont confiées à un hébergeur de données de santé agréé ou certifié conformément à l'article L. 1111-8 du Code de la santé publique.
- S’agissant des Données des Utilisateurs au titre des Services Eos et Services de la Plateforme Eos fournis par la Société : La Société est Responsable de traitement
- S’agissant des Données des Usagers Eos au titre des Services Praticien fournis parle Praticien : Le Praticien est Responsable de traitement et la Société agit en qualité de sous-traitant pour le compte du Praticien
Définition : le Responsable de traitement désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
Données des Usagers Eos
Données collectées et traitées par la Société en qualité de Responsable de traitement
- Données d’identification
- Données de santé
- Données de facturation
Données collectées et traitées par le Praticien en qualité de Responsable de traitement :
- Données d’identification
- Données de santé
- Données de facturation
Données des Praticiens
Données collectées et traitées par la Société en qualité de Responsable de traitement
- Données d’identification
- Données professionnelles (spécialité, numéro d’inscription, lieux de pratique, etc.)
Selon la nature des traitements mis en œuvre dans le cadre de l’utilisation des Services, la Société est susceptible d’intervenir en qualité de Responsable de traitement ou de Sous-traitant pour le compte des Praticiens.
5.1 S’agissant des données traitées par la Société en sa qualité de Responsable de traitement
Finalité Création d’un Compte Eos Base légale Exécution du contrat (Article 6.1 b) du RGPD) Durée de conservation Durée de la relation contractuelle (base active) Archivage intermédiaire : 5 ans
Finalité Fourniture des Services Eos [concernant les Usagers Eos] et des Services de la Plateforme Eos [concernant les Praticiens] Base légale
Exécution du contrat (Article 6.1 b) du RGPD) Durée de conservation Durée de la relation contractuelle (base active), Archivage intermédiaire : 5 ans
Finalité Gestion des réclamations demandes d’exercice des droits Base légale Obligation légale (Article 6.1 c) du RGPD, Si Données de santé traitées avec le consentement (article 9.2.a) du RGPD Durée de conservation Durée de la relation contractuelle (base active), Archivage intermédiaire : 5 ans
Finalité Gestion de la facturation des services Eos Base légale Exécution du contrat (Article 6.1 b) du RGPD) Durée de conservation 5 ans à compter de la demande
Finalité Réutilisation de vos données à caractère personnel à des fins d’études rétrospectives dans le domaine de la santé Base légale Intérêt légitime (Article 6.1 f) du RGPD) Données de santé traitées pour des motifs d’intérêt public dans le domaine de la santé publique (article 9.2.i) Durée de conservation Durée de conservation définie par la CNIL au sein la méthodologie de référence MR-004 (article 2.6 de la délibération n° 2018-155 du 3 mai 2018 portant homologation de la méthodologie de référence MR-004) : 2 ans après la dernière publication des résultats de la recherche ou, en cas d’absence de publication, jusqu'à la signature du rapport final de la recherche. Finalité Génération de statistique Base légale Intérêt légitime (Article 6.1 f) du RGPD)Pas de données de santé Traitées Durée de conservation Jusqu’à la suppression du compte
Finalité Envoi d’informations en lien avec la santé sur les Services fournis
par la Société CLEER Base légale Intérêt légitime (Article 6.1 f) du RGPD)Pas de données de santé Traitées Durée de conservation 3 ans à compter de la dernière activité Finalité Envoi d’informations sur des services fournis par des sociétés tierces Base légale Intérêt légitime (Article 6.1 f) du RGPD)Pas de données de santé Traitées Durée de conservation 3 ans à compter de la dernière activité ou jusqu’au retrait du consentement
5.2 S’agissant des données personnelles traitées par la Société en qualité de sous-traitant (le Praticien est responsable de traitement)
Finalité Fourniture d’un service de prise de rendez-vous Base légale Intérêt légitime (Article 6.1 f) du RGPD) [Si données de santé] Article 9.2 a) du RGPD (pour les Praticiens non professionnels de santé) Article 9.2 h) du RGPD (pour les Praticiens ayant la qualité de Professionnel de santé Finalité Fourniture d’un service de consultation en ligne Base légale Exécution du contrat de soins (Article 6.1 b) du RGPD) [Si données de santé] Article 9.2 a) du RGPD (pour les Praticiens non professionnels de santé) Article 9.2 h) du RGPD (pour les Praticiens ayant la qualité de Professionnel de santé Finalité Gestion de la facturation du service de consultation en ligne Base légale Exécution du contrat de soins (Article 6.1 b) du RGPD) Finalité Gestion des conditions de prise en charge par l’assurance maladie Base légale Exécution du contrat de soins (Article 6.1 b) du RGPD) Finalité Production de statistiques Base légale Intérêt légitime (Article 6.1 f) du RGPD) Pas de données de santé traitées
Lorsqu’elle agit en qualité de Sous-traitant, la Société CLEER agit uniquement sur instruction des Responsables de traitement et ne détermine pas elle-même la durée de conservation des Données. Pour toute question relative à la durée de conservation relative aux Données pour lesquelles la Société CLEER n’intervient qu’en qualité de Sous-traitant, vous devez vous adresser directement au Responsable de traitement.
Vos données indirectement identifiantes pourront également faire l'objet d'une réutilisation par la Société CLEER, l’un quelconque des Responsables de traitement ou un de ses partenaire à condition qu’il s’engage au respect de la règlementation en ce compris la réalisation de toute formalité auprès de la CNIL, sous la responsabilité de scientifiques, à des fins d'études rétrospectives présentant un intérêt public dans le domaine de la santé et visant à améliorer les connaissances et la prise en charge des pathologies : vous serez régulièrement informé de chaque étude qui sera mise en œuvre à partir de vos Données et vous pourrez vous y opposer si vous le souhaitez.
Ces études dans le domaine de la santé conduites à partir de la réutilisation de vos Données :
- seront destinées à améliorer les connaissances et la prise en charge des pathologies,
- devront présenter un intérêt public au sens des dispositions légales et règlementaires en vigueur,
- seront conduites par des scientifiques ayant respecté préalablement les formalités applicables le cas échéant devant les autorités, et en particulier la CNIL,
- seront validées par le Comité scientifique constitué à ce titre le cas échéant.
Le traitement de vos Données est nécessaire pour répondre à ces finalités.
Les Données sont uniquement destinées aux personnes suivantes :
- Aux membres du personnel des Responsables de traitements, spécifiquement habilités et dans la limite de leurs missions.
- Aux personnels spécifiquement habilités des hébergeurs certifiés de Données de santé, dans la limite de leurs attributions, désignés et sous contrat avec les Responsables de traitements.
- Aux membres du personnel des Sous-traitants, prestataires techniques, spécifiquement habilités, dans la limite de leurs missions.
- Aux personnes habilitées au titre des tiers autorisés par la loi.
- Aux membres du personnel des Sous-traitants des Responsables de traitements, prestataires techniques, spécifiquement habilités, dans la limite de leurs missions.
La liste des sous-traitants de la société CLEER est précisée en annexe de la Politique.
En toutes hypothèses, la société CLEER garantit que les Données de l’Utilisateur ne seront transmises à aucun tiers non autorisé, sans son consentement exprès.
1.1. Droits des Utilisateurs
Conformément à la Réglementation, vous disposez des droits suivants :
Droit d’accès Vous disposez du droit d’accéder aux Données à caractère personnel qui font l’objet d’un Traitement et le cas échéant d’en obtenir une copie.
Droit de rectification Vous disposez du droit d’obtenir du Responsable de traitement la rectification des Données à caractère personnel vous concernant qui sont inexactes et/ou qu’elles soient complétées si elles sont incomplètes.
Droit à l’effacement Vous pouvez solliciter l’effacement dans les meilleurs délais des Données à caractère personnel vous concernant sauf lorsque le Traitement repose une obligation légale à laquelle est soumis le Responsable de traitement
Droit à la limitation du traitement Vous pouvez demander à ce que le Traitement de vos Données à caractère personnel soit limité, de sorte que le Responsable de traitement peut conserver ces données, mais ne peut ni les utiliser ni les traiter
Droit à la portabilité Vous disposez du droit de solliciter auprès du Responsable de traitement de recevoir les Données à caractère personnel vous concernant dans un format structuré, couramment utilisé et lisible par machine (et/ou du droit de transmettre ces données à un autre Responsable du traitement) dès lors que le Traitement est fondé sur l’exécution d’un contrat.
Droit d’opposition Lorsque le Traitement de vos Données à caractère personnel est fondé sur un intérêt légitime du Responsable de traitement, vous pouvez à tout moment vous pouvez vous opposer à la poursuite du Traitement et pour des raisons tenant à votre situation particulière.
Droit de définir le sort des Données à caractère personnel après la mort Vous disposez du droit de définir vos directives générales relatives à la conservation, à l’effacement et à la communication de vos Données à caractère personnel après votre décès. Ces directives peuvent être enregistrées auprès d'un tiers de confiance numérique certifié par la Commission nationale de l'informatique et des libertés.
En cas de décès et à défaut d’instruction de votre part, la Société s’engage à détruire vos données sauf si leur conservation est nécessaire à des fins probatoires ou pour répondre à une obligation légale.
Lorsqu’un traitement a été mis en œuvre sur la base légale du consentement conformément à la Réglementation, l’Utilisateur dispose du droit de retirer son consentement à tous moments, sans que ce retrait ne remette en cause la licéité du traitement des données effectué avant ce retrait.
1.2. Modalités d’exercice des droits
Lorsque la Société agit en qualité de Responsable de traitement, ces droits peuvent être exercés auprès du DPO à l’adresse mail suivante : dpo@eos-care.com
Lorsque la Société agit en qualité de Sous-traitant, ces droits pourront être exercés directement auprès du Praticien.
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés :
- En ligne depuis le téléservice de plainte en ligne ;
- Par courrier postal en écrivant à l’adresse suivante : CNIL - Service desPlaintes - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07.
En particulier, la Société met en œuvre des mesures techniques et organisationnelles afin notamment d’éviter qu’elles ne soient détruites, altérées ou divulguées à des tiers non autorisés.
Par ailleurs et conformément aux dispositions de l’article L. 1111-8 du code de la santé publique, les données de santé à caractère personnel sont hébergées en France chez un hébergeur certifié hébergeur de Données de santé : Amazon Web Services EMEA SARL, dont le siège social est situé 38 Avenue John F. Kennedy, L-1855 Luxembourg, et immatriculée au Registre du Commerce et des Sociétés de Luxembourg sous le numéro B186284.
Dans le cadre de l’utilisation des Services, cet hébergement est nécessaire pour :
o Garantir la conservation, l’archivage et la sécurité des Données à caractère personnel ;
o Assurer le respect des exigences de confidentialité, de sécurité et de pérennité de vos Données à caractère personnel.
La Société est susceptible de modifier, compléter ou mettre à jour la Politique afin de tenir compte toute évolution légale, réglementaire et/ou technique.
En cas de modification substantielle de la présente Politique, la Société s’engage à en informer partout moyen adapté les Utilisateurs avant sa date de prise d’effet.
Pour toute question complémentaire relative à l’utilisation de vos Données à caractère personnel vous pouvez vous adresser à notre Délégué à la protection des données par email: dpo@eos-care.com