Politique de protection des données à caractère personnel des utilisateurs de la plateforme Eos

Introduction

Mise à jour le 16 juillet 2024

Dans le cadre de ses engagements à protéger la vie privée et la sécurité des Utilisateurs du Service Eos, la société CLEER a développé ses Services en appliquant le principe de Privacy by design (protection des données dès la conception) et mis en place une politique de protection des données rigoureuse.  

Cette politique s'applique à tous les aspects des Services délivrés via la Plateforme Eos.

La société CLEER reconnait l'importance cruciale des informations personnelles et notamment des données de santé qu’elle collecte et qu’elle traite et s’engage à les protéger avec le plus grand soin.  

L’approche de la société CLEER repose sur des normes strictes de confidentialité, de transparence et de conformité aux exigences légales et réglementaire applicable (ensemble la « Réglementation ») à savoir :  

(i)             La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée ; 
(ii)            Le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 27 avril 2016(ci-après dénommé le « RGPD »). 

En adoptant cette politique relative à la protection des données personnelles (ci-après dénommée la « Politique »), la société CLEER s’engage à ce que toutes les données collectées sont traitées de manière sécurisée et uniquement dans le cadre des finalités pour lesquelles elles ont été recueillies. 

Elle a pour objet d’informer les Utilisateurs de la Plateforme Eos sur la manière dont leurs données sont utilisées.  

Plus précisément, les Utilisateurs de laPlateforme Eos trouveront les informations suivantes :  
- Les engagements de la Société en matière de protection des Données à caractère personnel 
- Les Responsables de traitements de leurs Données à caractère personnel  
- Les catégories et types de Données à caractère personnel collectées dans le cadre de la fourniture des Services
- La description des Traitements de Données à caractère personnel réalisés avec pour chacun sa finalité (son objectif), sa base légale (sa justification) et sa durée de conservation (qui est limitée)  
- La liste des destinataires des Données  
- Les droits dont ils disposent sur leurs Données et les moyens de contacter la société CLEER à ce titre  
- Les mesures de sécurité mises en place par la Société CLEER.  ‍

Définitions

Les termes et expressions suivants, qu’ils soient utilisés indifféremment au singulier ou au pluriel, s'interpréteront comme suit : 

« Compte Eos » désigne le  compte créé par l’Utilisateur lors de sa première connexion à la Plateforme Eos  et permettant d’accéder à son espace privé et sécurisé au titre, selon le  cas, de la délivrance ou de l’utilisation des Services ;  
« Destinataire » désigne la personne physique ou morale, l'autorité publique, le service  ou tout autre organisme qui reçoit communication de Données à caractère  personnel, qu'il s'agisse ou non d'un tiers.  
« Données à caractère  personnel » désigne toute information se rapportant à une personne physique  identifiée ou identifiable.  
« Données de santé »désigne les Données à caractère personnel relatives à la santé physique  ou mentale d'une personne physique, y compris la prestation de services de  soins de santé, qui révèlent des informations sur l'état de santé de cette  personne. 
« Plateforme Eos »désigne  les applicatifs conçus, développés et maintenus par la Société (notamment le  site - www.eos-care.com - et l’application), destinés à permettre aux Utilisateurs Eos  d'accéder à différents Services ; 
« Praticien » désigne un  professionnel de santé au sens du Code de la santé publique [ex : médecin,  auxiliaire médical] ou un non professionnel de santé [ex : psychologue] qui  délivre un Service Praticien à l’Usager Eos via la Plateforme Eos ; 
« Responsable de traitement »  désigne la personne physique ou morale, l'autorité publique, le  service ou un autre organisme qui, seul ou conjointement avec d'autres,  détermine les finalités et les moyens du traitement. 
« Service de la Plateforme Eos » désigne  les services rendus par la Société aux Praticiens, conformément aux  conditions générales de services conclues entre ces derniers ; 
« Service Praticien » désigne un  service (i) de télémédecine [téléconsultation] ou (ii) de télésoin au sens  des dispositions du Code de la santé publique ou (iii) de vidéotransmission,  délivré au choix de l’Usager Eos, par un Praticien habilité, sur rendez-vous  ou en temps immédiat. Le Service Praticien est délivré sous la responsabilité  exclusive du Praticien librement choisi par l’Usager Eos, dans le respect de  ses obligations professionnelles et le cas échéant conventionnelles et dans  le cadre des CGV Praticiens ;  
« Services » désigne  l’ensemble des services accessibles via la Plateforme Eos, gratuits ou  payants ; comprenant les Services Eos ; les Services Praticien et les  Services de la Plateforme Eos ; 
« Services Eos » désigne  les services rendus par la Société aux Usagers Eos, tel que notamment les contenus et ressources disponibles sur l’application, dont les questionnaires et les informations à disposition de l’Usager, les activités individuelles ou collectives proposées, les accès à des praticiens à travers l’application  ;
« Société » désigne la  société CLEER en tant que fournisseur de la Plateforme Eos, des Services Eos  aux Usagers Eos et des Services de la Plateforme Eos aux Praticiens Eos  ;  
« Sous-traitant »  désigne la personne physique ou morale, l'autorité publique, le service  ou un autre organisme qui traite des Données à caractère personnel pour le  compte du Responsable du traitement ;
« Traitement de  Données à caractère personnel » désigne toute opération ou ensemble d’opération appliquées à vos Données  à caractère personnel.  
« Usager Eos » désigne  tout non professionnel ayant créé un Compte Eos et pouvant commander et  bénéficier des Services Eos et des Services Praticien en utilisant la  Plateforme Eos ; 
« Utilisateur » désigne,  sans qu’il soit besoin de distinguer, l’Usager Eos ou le Praticien ayant créé  un Compte Eos, utilisant chacun pour ce qui le concerne la Plateforme Eos.  

Les engagements de la Société

La Société s'engage fermement à protéger vos données personnelles : 

·      Vos données personnelles sont collectées et utilisées uniquement à des fins explicites, légitimes et définies dans cette Politique. 
·      Vos données personnelles sont conservées uniquement pendant la durée nécessaire aux opérations pour lesquelles elles ont été recueillies, en tenant compte de la nature de ces opérations, ou conformément aux recommandations et référentiels de la CNIL, ainsi qu'aux prescriptions légales. 
·      Vos données personnelles ne sont jamais cédées à des tiers. Seuls les destinataires autorisés, dans le cadre strict des finalités définies par cette Politique, peuvent accéder à ces données. 
·      La Société fait appel à des sous-traitants soigneusement sélectionnés pour leurs garanties techniques et organisationnelles, afin de protéger les données personnelles qui leur sont confiées selon les instructions de la Société. 
·      Les Utilisateurs sont informés de manière claire et transparente, préalablement et régulièrement, sur (i) la finalité de l'utilisation de leurs données personnelles, (ii) le caractère facultatif ou obligatoire de leurs réponses dans les formulaires, (iii) les droits dont ils disposent en matière de protection des données personnelles et les modalités d'exercice de ces droits, et (iv) les destinataires de ces données. 
·      Lorsque la Réglementation l'exige, un consentement explicite, éclairé, actif et non équivoque de l'Utilisateur est recueilli pour le traitement de ses données personnelles. 
·      Des mesures de sécurité appropriées, sur les plans logique, technique, organisationnel et juridique, sont définies sur la base d'une analyse des risques liés aux différents traitements de données personnelles, et sont mises en œuvre par la Société et ses sous-traitants contractuellement engagés, pour garantir la protection de ces données. 
·      Chaque fois que les risques liés à un traitement le nécessitent, la Société effectue une analyse d'impact sur la vie privée et la protection des données personnelles des Utilisateurs, afin d'adopter des mesures concrètes et adaptées à ces risques et de les piloter efficacement. 
·      La Société s'engage à concevoir des outils et systèmes intégrant dès le départ le respect de la Réglementation et de la protection de la vie privée des personnes concernées, en appliquant le principe de "privacy by design". Cela permet le développement d'outils et de systèmes responsables dès la conception et le développement. 
·      Seules les données personnelles strictement nécessaires sont collectées et traitées, conformément au principe de "privacy by default" qui protège les Utilisateurs contre la collecte excessive de données personnelles. 
·      La Société et ses sous-traitants s'engagent à surveiller toute violation éventuelle et exceptionnelle de données personnelles, et à prendre toutes les mesures de protection et de correction nécessaires, en informant la CNIL et, le cas échéant, les personnes concernées. 
·      En cas de transfert de données personnelles vers des pays tiers, la Société met en place des mesures adéquates et supplémentaires, notamment en concluant des clauses contractuelles types adoptées par la Commission européenne, accessibles à l'Utilisateur sur simple demande.  
·      Tous les salariés et intervenants impliqués dans la conception et le fonctionnement de la Plateforme Eos sont formés régulièrement aux principes de protection des données personnelles, avec des formations adaptées à leur activité et à leurs responsabilités. 
·      Les collaborateurs n'ont accès qu'aux informations nécessaires à leur activité. Les données personnelles sensibles sont soumises à des habilitations et contrôles spécifiques. En particulier, les données personnelles concernant la santé sont confiées à un hébergeur de données de santé agréé ou certifié conformément à l'article L. 1111-8 du Code de la santé publique.  

Qui sont les responsables de traitement des données

 - S’agissant des Données des Utilisateurs au titre des Services Eos et Services de la Plateforme Eos fournis par la Société : La Société est Responsable de traitement 

S’agissant des Données des Usagers Eos au titre des Services Praticien fournis parle Praticien : Le Praticien est Responsable de traitement et la Société agit en qualité de sous-traitant pour le compte du Praticien

Définition : le Responsable de traitement désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. 

Données à caractère personnel collectées

Données des Usagers Eos

Données collectées et  traitées par la Société en qualité de Responsable de traitement 

-        Données d’identification
-        Données de santé
-        Données de facturation        

Données collectées et  traitées par le Praticien en qualité de Responsable de traitement :  
-        Données d’identification
-        Données de santé
-        Données de facturation


Données des  Praticiens 

Données collectées et  traitées par la Société en qualité de Responsable de traitement 

-        Données d’identification
-        Données professionnelles (spécialité,  numéro d’inscription, lieux de pratique, etc.)  

Description des traitements

Selon la nature des traitements mis en œuvre dans le cadre de l’utilisation des Services, la Société est susceptible d’intervenir en qualité de Responsable de traitement ou de Sous-traitant pour le compte des Praticiens.
5.1  S’agissant des données traitées par la Société en sa qualité de Responsable de traitement  

Finalité Création d’un Compte Eos Base légale Exécution du contrat (Article 6.1 b) du RGPD) Durée de conservation Durée de la relation  contractuelle (base active) Archivage  intermédiaire : 5 ans  
Finalité Fourniture des Services Eos [concernant les  Usagers Eos] et des Services de la Plateforme Eos [concernant les Praticiens] Base légale
Exécution du contrat (Article 6.1 b) du RGPD) Durée de conservation Durée de la relation  contractuelle (base active), Archivage  intermédiaire : 5 ans      
Finalité Gestion des réclamations demandes d’exercice des droits Base légale Obligation légale (Article 6.1 c) du RGPD, Si Données de santé traitées avec le consentement (article  9.2.a) du RGPD  Durée de conservation Durée de la relation  contractuelle (base active), Archivage  intermédiaire : 5 ans  
Finalité Gestion de la facturation Base légale Exécution du contrat (Article 6.1 b) du RGPD) Durée de conservation 5 ans à compter de la  demande 
Finalité Réutilisation de vos  données à caractère personnel à des fins d’études rétrospectives dans le  domaine de la santé Base légale Intérêt légitime (Article 6.1 f) du RGPD)  Données de santé traitées pour des motifs d’intérêt public  dans le domaine de la santé publique (article 9.2.i) Durée de conservation Durée de conservation définie par la CNIL au sein la  méthodologie de référence MR-004 (article 2.6 de la délibération n° 2018-155  du 3 mai 2018 portant homologation de la méthodologie de référence MR-004) :  2 ans après la dernière publication des résultats de la  recherche ou, en cas d’absence de publication, jusqu'à la signature du  rapport final de la recherche.  Finalité Génération de statistique Base légale Intérêt légitime (Article 6.1 f) du RGPD)Pas de données de santé Traitées Durée de conservation Jusqu’à la suppression du compte

5.2 S’agissant des données personnelles traitées par la Société en qualité de sous-traitant (le Praticien est responsable de traitement) 

Finalité Fourniture d’un service de prise de rendez-vous  Base légale Intérêt légitime (Article 6.1 f) du RGPD) [Si données de santé] Article 9.2 a) du RGPD (pour les  Praticiens non professionnels de santé) Article 9.2 h) du RGPD (pour les Praticiens ayant la qualité  de Professionnel de santé  Finalité Fourniture d’un service de consultation en ligne Base légale Exécution du contrat de soins (Article 6.1 b) du RGPD) [Si données de santé] Article 9.2 a) du RGPD (pour les  Praticiens non professionnels de santé) Article 9.2 h) du RGPD (pour les Praticiens ayant la qualité  de Professionnel de santé  Finalité Gestion de la facturation  Base légale Exécution du contrat de soins (Article 6.1 b) du RGPD) Finalité Gestion des conditions de prise en charge par l’assurance  maladie Base légale Exécution du contrat de soins (Article 6.1 b) du RGPD)  Finalité Production de statistiques  Base légale Intérêt légitime (Article 6.1 f) du RGPD) Pas de données de santé traitées

Destinataire des données

Les Données sont uniquement destinées aux personnes suivantes :    

-       Aux membres du personnel des Responsables de traitements, spécifiquement habilités et dans la limite de leurs missions. 
-       Aux personnels spécifiquement habilités des hébergeurs certifiés de Données de santé, dans la limite de leurs attributions, désignés et sous contrat avec les Responsables de traitements.  
-       Aux membres du personnel des Sous-traitants, prestataires techniques, spécifiquement habilités, dans la limite de leurs missions. 
-       Aux personnes habilitées au titre des tiers autorisés par la loi. 
-       Aux membres du personnel des Sous-traitants des Responsables de traitements, prestataires techniques, spécifiquement habilités, dans la limite de leurs missions. 

La liste des sous-traitants de la société CLEER est précisée en annexe de la Politique.  

En toutes hypothèses, la société CLEER garantit que les Données de l’Utilisateur ne seront transmises à aucun tiers non autorisé, sans son accord.

Quels sont les droits des personnes concernées

1.1. Droits des Utilisateurs  

Conformément à la Réglementation, vous disposez des droits suivants :   

Droit d’accès Vous disposez du droit  d’accéder aux Données à caractère personnel qui font l’objet d’un Traitement  et le cas échéant d’en obtenir une copie. 
Droit de rectification Vous disposez du droit  d’obtenir du Responsable de traitement la rectification des Données à  caractère personnel vous concernant qui sont inexactes et/ou qu’elles soient  complétées si elles sont incomplètes. 
Droit à l’effacement Vous pouvez solliciter  l’effacement dans les meilleurs délais des Données à caractère personnel vous  concernant sauf lorsque le Traitement repose une obligation légale à laquelle  est soumis le Responsable de traitement 
Droit à la limitation du  traitement Vous pouvez demander à ce  que le Traitement de vos Données à caractère personnel soit limité, de sorte  que le Responsable de traitement peut conserver ces données, mais ne peut ni  les utiliser ni les traiter 
Droit à la portabilité Vous disposez du droit de  solliciter auprès du Responsable de traitement de recevoir les Données à  caractère personnel vous concernant dans un format structuré, couramment  utilisé et lisible par machine (et/ou du droit de transmettre ces données à  un autre Responsable du traitement) dès lors que le Traitement est fondé sur  l’exécution d’un contrat. 
Droit d’opposition Lorsque le Traitement de  vos Données à caractère personnel est fondé sur un intérêt légitime du  Responsable de traitement, vous pouvez à tout moment vous pouvez vous opposer  à la poursuite du Traitement et pour des raisons tenant à votre situation  particulière. 
Droit de définir le sort  des Données à caractère personnel après la mort Vous disposez du droit de  définir vos directives générales relatives à la conservation, à l’effacement  et à la communication de vos Données à caractère personnel après votre décès.  Ces directives peuvent être enregistrées auprès d'un tiers de confiance numérique  certifié par la Commission nationale de l'informatique et des libertés.
En cas de décès et à défaut d’instruction  de votre part, la Société s’engage à détruire vos données sauf si leur  conservation est nécessaire à des fins probatoires ou pour répondre à une  obligation légale.   

Lorsqu’un traitement a été mis en œuvre sur la base légale du consentement conformément à la Réglementation, l’Utilisateur dispose du droit de retirer son consentement à tous moments, sans que ce retrait ne remette en cause la licéité du traitement des données effectué avant ce retrait. 

1.2. Modalités d’exercice des droits  

Lorsque la Société agit en qualité de Responsable de traitement, ces droits peuvent être exercés auprès du DPO à l’adresse mail suivante : dpo@eos-care.com  

Lorsque la Société agit en qualité de Sous-traitant, ces droits pourront être exercés directement auprès du Praticien. 

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés :
-       En ligne depuis le téléservice de plainte en ligne ;
-       Par courrier postal en écrivant à l’adresse suivante : CNIL - Service desPlaintes - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07.

Mesures de sécurité

En particulier, la Société met en œuvre des mesures techniques et organisationnelles afin notamment d’éviter qu’elles ne soient détruites, altérées ou divulguées à des tiers non autorisés. 

Par ailleurs et conformément aux dispositions de l’article L. 1111-8 du code de la santé publique, les données de santé à caractère personnel sont hébergées en France chez un hébergeur certifié hébergeur de Données de santé :  Amazon Web Services EMEA SARL, dont le siège social est situé 38 Avenue John F. Kennedy, L-1855 Luxembourg, et immatriculée au Registre du Commerce et des Sociétés de Luxembourg sous le numéro B186284.

Dans le cadre de l’utilisation des Services, cet hébergement est nécessaire pour :

o   Garantir la conservation, l’archivage et la sécurité des Données à caractère personnel ;
o   Assurer le respect des exigences de confidentialité, de sécurité et de pérennité de vos Données à caractère personnel.

Modification de la politique

La Société est susceptible de modifier, compléter ou mettre à jour la Politique afin de tenir compte toute évolution légale, réglementaire et/ou technique. 

En cas de modification substantielle de la présente Politique, la Société s’engage à en informer partout moyen adapté les Utilisateurs avant sa date de prise d’effet.

Nous contacter

Pour toute question complémentaire relative à l’utilisation de vos Données à caractère personnel vous pouvez vous adresser à notre Délégué à la protection des données par email: dpo@eos-care.com